立ち上げてから数年間、Path は別の種類のソーシャル ネットワークであると主張してきました。その「価値観」の説明によると、「パスはデフォルトでプライベートであるべきです。永久に。自分の情報とエクスペリエンスを常に管理する必要があります。」素敵な感想ですね。ただし、FTC の法執行措置によると、デフォルトでは非公開ではありませんでした。それは永遠にプライベートではありませんでした。ユーザーは自分の情報とエクスペリエンスをコントロールできませんでした。そして、児童オンラインプライバシー保護法違反の疑いも忘れてはなりません。
リリースされたばかりのスタッフレポート「モバイル プライバシーの開示: 透明性による信頼の構築」と新しいパンフレット「モバイル アプリ開発者: セキュリティから始める」(これらについては次の投稿で詳しく説明します) に加えて、FTC と Path との和解は多くのことを提供します。考慮すべきアプリ業界。 Path は主にモバイル アプリを通じてユーザーが利用できますが、自らを「愛する人たちと人生を共有するのに役立つスマート ジャーナル」と呼んでいます。サタデー・ナイト・ライブのエピソードのジャック・ハンディのように聞こえる危険を承知で、ユーザーは 150 人に限定されたネットワークで「考え」や「瞬間」を共有できました。また、写真、聴いている音楽、さらには位置情報などをその小さな友人サークルと共有することもできました。 (「小規模」とは言いましたが、アプリ自体は広く普及しており、ダウンロードとインストールは 250 万件を超えました。)
iOS 用 Path アプリのバージョン 2.0 では、同社はユーザーに「連絡先から友達を探す」、「Facebook から友達を探す」、「メールで友達を Path に招待する」という 3 つの選択肢を提供する新しい「友達の追加」機能を組み込みました。またはSMS。」しかし、ユーザーが選択したオプションに関係なく、Path はユーザーのモバイル デバイスの連絡先 (アドレス帳) から個人データを自動的に収集し、Path のサーバーに保存しました。パスは何を集めましたか?入手可能な範囲で、アドレス帳に登録されている各人の名、姓、住所、電話番号、電子メール アドレス、Facebook ユーザー名、Twitter ユーザー名、および生年月日。
そしてFTCによれば、それは一度限りのことではなかったという。アドレス帳からの情報の自動収集は、ユーザーが Path アプリのバージョン 2.0 を初めて起動したときと、サービスからサインアウトした場合は再度サインインするたびに行われます。この練習は 2012 年 2 月 8 日まで続きました。
FTCの訴状では、パス社が個人情報を使って行っていると人々に語っていたことは、舞台裏で起こっていることと著しく対照的であると主張している。カウント#1は、同社の「友達追加」機能の操作に挑戦します。訴状によると、パス社は、ユーザーが「友達を追加」をクリックし、「連絡先から友達を探す」オプションを選択した場合にのみ、ユーザーのモバイルデバイスの連絡先から個人情報が収集されると表明した。しかし、その約束にもかかわらず、Path はユーザーが初めてアプリを起動したとき、およびサインアウトした場合は再度サインインするたびに、個人データを自動的に収集して保存していました。 FTCは、これによりPathの声明は虚偽であると述べた。
Count #2 は、Path もプライバシー ポリシーで虚偽の主張を行ったと主張しています。ユーザーには、Path が IP アドレス、オペレーティング システム、ブラウザの種類、参照サイトのアドレス、サイトのアクティビティ情報などのデータのみを自動的に収集すると説明されました。しかし、Path はユーザーのアドレス帳からすべての追加情報を自動的に収集することで、それ以上の情報を取得しました。
COPPA の申し立てについてはどうですか?訴状では、iOS 用 Path アプリ、Android 用 Path アプリ、およびその path.com Web サイトの運営に関連して、同社 (登録プロセス中に生年月日を収集した) が、約 3,000 人のユーザーが 13 歳未満であることを実際に知っていたと主張しています。これにより、Path が子供に関する情報を収集、使用、または開示する前に親の同意を得るという COPPA の要件が発動されましたが、Path はこの義務を履行していませんでした。 FTCによると、PathはCOPPAの対象となる事業者が明確で理解しやすく完全なプライバシーポリシーを掲載するという要件にも違反しているという。 PathのCOPPA違反疑惑の結果は? 13 歳未満の子供は日記を作成し、写真や「考え」を共有し、正確な位置情報を共有できます。 FTCによると、Pathバージョン2.0のアドレス帳の問題は子供のアドレス帳にも影響を与えたという。
訴訟を解決するために、Path は COPPA 違反に対して 80 万ドルの民事罰金を支払い、13 歳未満の子供から収集した情報を削除する予定です。さらに、同社は個人情報のプライバシーと機密性をどのように維持するかについての主張を尊重します。ユーザーにとって朗報です。Path は、FTC が違法行為が行われていた期間中に収集したアドレス帳情報をすでに削除しました。
企業がパスの和解から得られる重要なポイントは次の 4 つです。
- 主なメッセージは驚くことではありません。プライバシーの約束を尊重し、子供の情報に関しては特に注意してください。少し違うのは、メッセージが送信されることです。 対象: モバイルアプリ開発者 上部全体に。確立された消費者保護原則は、モバイル市場の企業を含め、全般に適用されます。
- データ収集に関するデフォルトの考え方は、可能な限りできるだけ多くのデータを収集することでした。前にも言いましたが、そのアプローチは
すごい20世紀みたい 女の子の声>。賢明な企業ならご存知のように、より賢明なアプローチ、そして「プライバシー・バイ・デザイン」の中心的な理念は、ニーズを熟考し、収集する正当な理由がある情報のみを求めることです。 「ただ単に」データを収集するだけでは、もはや消費者との関係を築くことはできません。 - プラットフォームが何かを行うための技術的機能を提供するからといって、それがあなたのビジネスやユーザーにとって正しいとは限りません。他の誰か (たとえば、モバイル オペレーティング システム プロバイダーやデバイス メーカー) がプライバシーへの影響について十分に検討していると考えるのは間違いです。アプリとユーザーに関して言えば、出費はあなたに止まります。
- COPPA は子供向けサイトだけを対象としたものではありません。はい、このルールはサイトやオンライン サービスが 13 歳未満向けに特別に設計されている場合に適用されますが、自分が対象になっていないと早合点しないでください。この規則はまた、子供から個人情報を収集していることを実際に知っているオペレーターに法的責任を課します。
2013 年 2 月 1 日金曜日、東部時間午後 1 時から午後 2 時まで Twitter に参加して、Path 事件とレポートについて話してください。フォローする @FTC ハッシュタグ #FTCpriv を付けて質問を送信してください。
