แดนเถื่อนไร้กฎของการสอดส่องทั่วโลกที่เกิดจากข้อมูลโฆษณาบนมือถือ
(krebsonsecurity.com)- คดีความตาม Daniel’s Law ในรัฐ New Jersey เผยให้เห็นว่า ข้อมูลโฆษณาจากแอปและเว็บไซต์ถูกรวบรวมเป็นบริการเชิงพาณิชย์ ทำให้ลูกค้าเอกชนก็สามารถใช้ การติดตามการเคลื่อนไหวของบุคคล ซึ่งในอดีตเคยถูกมองว่าเป็นการสอดส่องระดับหน่วยงานรัฐได้
- LocateX ของ Babel Street สามารถระบุสถานที่เฉพาะบนแผนที่เป็นรูปหลายเหลี่ยม และแสดงประวัติการเคลื่อนที่แบบล่าช้าหลายวันของอุปกรณ์มือถือที่เข้าออกพื้นที่นั้น โดยสามารถติดตามอุปกรณ์แต่ละเครื่องได้ด้วย MAID
- นักสืบที่ Atlas Data Privacy ว่าจ้างสามารถใช้เพียงบัญชีทดลองใช้ฟรี 2 สัปดาห์ เพื่อติดตามตำแหน่งของเป้าหมายอ่อนไหว เช่น เจ้าหน้าที่ตำรวจใน New Jersey ผู้ที่อาจเป็นคณะลูกขุนของศาล และผู้มาเยือนหรือพนักงานคลินิกทำแท้ง
- ข้อมูลตำแหน่งแพร่กระจายผ่านสิทธิ์ของแอป คำขอประมูลโฆษณา และเครือข่ายประมูลแบบเรียลไทม์ โดย Atlas มองว่าสามารถเข้าถึงจุดข้อมูลหลายพันล้านถึงหลายหมื่นล้านจุดได้ในราคา 10,000~50,000 ดอลลาร์ต่อปี
- ทั้ง Android และ iOS สามารถจำกัด ID โฆษณาและสิทธิ์ตำแหน่งได้ แต่หากอุปกรณ์ของครอบครัวหรือเพื่อนร่วมงานถูกติดตาม ก็อาจอนุมานตำแหน่งของคนที่อยู่ใกล้กันได้เช่นกัน
คดี Daniel’s Law และ Babel Street LocateX
- Atlas Data Privacy Corp. ซึ่งตั้งอยู่ใน Delaware เป็นบริษัทที่ช่วยลบข้อมูลส่วนบุคคลออกจากนายหน้าข้อมูลผู้บริโภคและบริการค้นหาบุคคลออนไลน์
- ในปี 2024 Atlas ยื่นฟ้อง นายหน้าข้อมูลผู้บริโภค 151 ราย ในนามของกลุ่มลูกค้าที่รวมถึงเจ้าหน้าที่บังคับใช้กฎหมายใน New Jersey มากกว่า 20,000 คน
- ประเด็นคือเหล่านายหน้าข้อมูลละเมิด Daniel’s Law ซ้ำแล้วซ้ำเล่าหรือไม่
- Daniel’s Law เป็นกฎหมายที่อนุญาตให้บุคลากรบังคับใช้กฎหมายและรัฐของ New Jersey ผู้พิพากษา และครอบครัวของพวกเขา ขอให้ลบข้อมูลของตนออกจากนายหน้าข้อมูลเชิงพาณิชย์อย่างสมบูรณ์
- กฎหมายนี้ผ่านในปี 2020 หลังจาก Daniel Anderl บุตรชายของผู้พิพากษารัฐบาลกลางเสียชีวิตจากการโจมตีที่มุ่งเป้าไปยังผู้พิพากษาคนนั้น
- เมื่อสัปดาห์ที่แล้ว Atlas ยื่นฟ้องบริษัทเทคโนโลยี Babel Street ซึ่งจดทะเบียนใน Reston, Virginia โดยอ้าง Daniel’s Law
- ผลิตภัณฑ์หลักของ Babel Street ช่วยให้ผู้ใช้วาดรูปหลายเหลี่ยมดิจิทัลรอบแทบทุกตำแหน่งบนแผนที่โลก แล้วแสดงบันทึกตามช่วงเวลาที่ล่าช้าหลายวันของอุปกรณ์มือถือที่เข้าออกพื้นที่นั้น
วิธีติดตามของ LocateX
- LocateX ของ Babel Street สามารถติดตามผู้ใช้มือถือแต่ละรายได้ด้วย Mobile Advertising ID(MAID) ซึ่งเป็นตัวระบุแบบตัวอักษรและตัวเลขที่ไม่ซ้ำกันซึ่งฝังอยู่ในอุปกรณ์ Google Android และ Apple
- ฟังก์ชันนี้ใช้ข้อมูลตำแหน่งและข้อมูลระบุตัวตนที่เว็บไซต์และแอปหลายแห่งรวบรวมไว้
- ข้อมูลดังกล่าวอาจถูกส่งไปยังเครือข่ายโฆษณาตั้งแต่หลายสิบถึงหลายร้อยแห่งที่พยายามแสดงโฆษณาให้ผู้ใช้เฉพาะราย
- นักสืบเอกชนที่ Atlas ว่าจ้างได้รับข้อเสนอให้ทดลองใช้ Babel Street ฟรี และกล่าวว่าสามารถใช้สิ่งนั้นเพื่อระบุที่อยู่บ้านและการเคลื่อนที่ในชีวิตประจำวันของครอบครัวเจ้าหน้าที่ตำรวจใน New Jersey ที่เคยถูกคุกคามและขู่ฆ่ามาก่อนแล้ว
- นักสืบยืนยันว่า Babel Street รวมบริการค้นหาบุคคลไว้ในแพลตฟอร์ม ทำให้ลูกค้าสามารถคัดกรองหาอุปกรณ์เฉพาะได้ง่ายขึ้น
- Atlas ระบุว่า แม้ฝ่ายขายของ Babel Street จะบอกว่าบริการมีให้เฉพาะรัฐบาลหรือ “ผู้รับเหมาของรัฐบาล” เท่านั้น แต่เมื่อผู้สืบสวนบอกว่ากำลังพิจารณางานสัญญารัฐบาลในอนาคต ฝ่ายขายก็บอกว่า “แค่นั้นก็พอแล้ว” และ “เราไม่ได้ตรวจสอบจริง ๆ”
กรณีที่อาจนำไปสู่การสอดส่องโดยไม่มีหมายศาล
- นักสืบของ Atlas กล่าวว่าในช่วงทดลองใช้ Babel Street สามารถค้นหาข้อมูลผู้ที่ไปยังสถานที่เสี่ยงสูง เช่น มัสยิด โบสถ์ยิว ศาล และคลินิกทำแท้ง ได้
- วิดีโอหนึ่งแสดงขั้นตอนการแยกอุปกรณ์มือถือที่อยู่ในลานจอดรถเฉพาะคณะลูกขุนของศาล New Jersey แล้วติดตามโทรศัพท์ของบุคคลที่ดูเหมือนเป็นคณะลูกขุนไปจนถึงที่อยู่บ้านเป็นเวลาหลายวัน
- LocateX สามารถวาดรูปหลายเหลี่ยมดิจิทัลรอบที่อยู่บ้านหรือที่ทำงานของเป้าหมาย เพื่อคัดเฉพาะอุปกรณ์ที่ผ่านที่อยู่นั้นทุกวัน
- หนึ่งในความสามารถเฉพาะของ Babel Street คือ night mode ซึ่งทำให้ง่ายต่อการระบุตำแหน่งที่เป้าหมายพักอยู่ทุกคืนในระดับไม่กี่เมตร
- ข้อกำหนดการใช้งานของ LocateX ระบุว่าผลิตภัณฑ์นี้ไม่สามารถใช้เป็นหลักฐานในกระบวนการทางกฎหมายของประเทศใด ๆ ได้ ไม่ว่าจะเป็นหมายศาล หมายเรียก หรือมาตรการทางกฎหมายหรือปกครองอื่น ๆ
- Scott Maloney เจ้าหน้าที่ตำรวจ Rahway ใน New Jersey กล่าวว่า ในการสืบสวนคดีอาญา หากต้องการติดตามบุคคลต้องมีหมายศาลจากผู้พิพากษา และเขารู้สึกไม่สบายใจอย่างมากกับสถานการณ์ที่นายหน้าข้อมูลติดตามและขายข้อมูลครอบครัวโดยไม่ได้รับความยินยอม
กรณีของคู่สามีภรรยา Maloney และข้อมูลตำแหน่งจากแอป
- Scott Maloney และ Justyna Maloney ซึ่งเป็นโจทก์ของ Atlas เป็นเจ้าหน้าที่ตำรวจใน Rahway, NJ และอาศัยอยู่กับบุตรสองคน
- ในเดือนเมษายน 2023 หลังจาก Justyna ตอบสนองต่อการแจ้งเหตุทั่วไปเกี่ยวกับชายคนหนึ่งที่ถ่ายภาพผู้คนอยู่นอก Motor Vehicle Commission วิดีโอที่ถูกตัดต่อแบบเลือกเฉพาะบางส่วนก็แพร่กระจาย และที่อยู่บ้านกับหมายเลขโทรศัพท์ส่วนตัวของทั้งคู่ถูกโพสต์ออนไลน์
- หลังจากนั้น คำฟ้องระบุว่าทั้งคู่ได้รับข้อเรียกร้องเงิน คำขู่ฆ่าว่าจะ “จ่ายด้วยเลือด” และวิดีโอข่มขู่ด้วยปืนที่ระบุว่าจะตัดศีรษะคนในครอบครัว
- ไม่กี่สัปดาห์ต่อมา เพื่อนบ้านเห็นบุคคลน่าสงสัยสวมหน้ากากสกีจอดรถอยู่ใกล้บ้านและแจ้งตำรวจ ส่วนภาพจากกล้องวงจรปิดของบ้านใกล้เคียงบันทึกภาพพวกเขาเดินวนรอบบ้านของ Maloney
- ตำรวจที่ไปถึงจับกุมชายติดอาวุธ 2 คนในข้อหาครอบครองอาวุธปืนผิดกฎหมาย
- นักสืบของ Atlas ไม่สามารถระบุ iPhone ของ Scott ใน Babel Street ได้อย่างแน่ชัด แต่ระบุว่าพบอุปกรณ์ของ Justyna
- ใน Babel Street มี hit ที่เกี่ยวข้องกับโทรศัพท์ของ Justyna เกือบ 100,000 รายการ ตลอดหลายเดือน ซึ่งทำให้สามารถประกอบภาพการเดินทางประจำวันและการพบปะกับผู้อื่นได้
- แอปเดียวใน iPhone ของ Justyna ที่ใช้ข้อมูลตำแหน่งคือแอปของห้างสรรพสินค้า Macy’s
- Macy’s ตอบว่าแอปมีฟีเจอร์แบบ opt-in เพื่อประสบการณ์ช้อปปิ้งที่ดีขึ้นตามตำแหน่ง ไม่ได้เก็บข้อมูลตำแหน่งของลูกค้า และแชร์ข้อมูลตำแหน่งกับพันธมิตรจำนวนจำกัด แต่ไม่มีความเกี่ยวข้องกับ Babel Street
- แม้อุปกรณ์ของบุคคลเฉพาะรายจะไม่ได้ถูกระบุโดยตรง หากอุปกรณ์ของสมาชิกครอบครัวถูกระบุ ก็สามารถอนุมานตำแหน่งของอีกคนได้ง่าย
ข้อมูลประมูลโฆษณาและระบบนิเวศ MAID
- เดิมที MAID ถูกออกแบบเป็นตัวระบุเฉพาะสำหรับแยกลูกค้ามือถือออกจากกันโดยไม่ต้องใช้ข้อมูลระบุตัวบุคคล เช่น เบอร์โทรศัพท์หรืออีเมล
- ปัจจุบันมีอุตสาหกรรมของบริษัทการตลาดและโฆษณาที่สร้างรายการขนาดใหญ่โดย “เสริม” MAID ด้วยข้อมูลในอดีตและข้อมูลส่วนบุคคล
- นักสืบของ Atlas ตรวจสอบว่าสามารถค้นหาบันทึก MAID ที่ถูกเสริมข้อมูลของลูกค้ากลุ่มบังคับใช้กฎหมายใน New Jersey ได้หรือไม่ และพบว่านายหน้าข้อมูลโฆษณาหลายรายยินดีขายข้อมูลดังกล่าว
- ผู้ขายบางรายให้เฉพาะฟิลด์จำกัด เช่น ชื่อ MAID และที่อยู่อีเมล
- นายหน้ารายอื่นขายบันทึกที่ละเอียดกว่า รวมถึงโปรไฟล์โซเชียลมีเดีย พิกัด GPS ที่แม่นยำ และหมวดหมู่ผู้บริโภคโดยประมาณ
- แหล่งที่มาของข้อมูล MAID อาจรวมถึงแอปอย่าง AccuWeather, GasBuddy, Grindr, MyFitnessPal ซึ่งสามารถเก็บ MAID และตำแหน่งแล้วขายให้กับนายหน้าได้
- แค่เข้าชมเว็บเพจที่มีโฆษณาด้วยสมาร์ทโฟน ก็อาจทำให้โปรไฟล์ MAID และข้อมูลตำแหน่งถูกแชร์ได้
- ในช่วงไม่กี่มิลลิวินาทีก่อนที่โฆษณาจะโหลด เว็บไซต์จะส่ง bid request ไปยังตลาดแลกเปลี่ยนโฆษณา ซึ่งอาจรวมตำแหน่งที่แม่นยำของผู้ใช้
- มาตรฐานสาธารณะปัจจุบันถูกรวบรวมไว้ใน OpenRTB
- ความเสี่ยงสำคัญคือข้อมูล bidstream ถูกส่งพร้อมกันแบบข้อความธรรมดาไปยังหลายร้อยหน่วยงานทั่วโลก ทำให้แทบทุกคนเข้าถึงได้
ชุดข้อมูลเยอรมนีและงานวิจัยผู้เยี่ยม SEC
- สื่อเยอรมัน netzpolitik.org ซื้อชุดข้อมูล bidstream ที่มีจุดข้อมูลมากกว่า 3.6 พันล้านจุดในช่วงต้นปี 2024 และแชร์กับ BR24
- ทั้งสองสรุปว่า แม้ใช้เพียงข้อมูลที่ได้จากการทดลองใช้ฟรี ก็สามารถสร้างโปรไฟล์การเดินทางของผู้คนหลายล้านคนทั่วเยอรมนีได้
- งานวิจัยที่ Politico รายงานใช้ข้อมูลโฆษณาบนมือถือที่นักวิจัยจากมหาวิทยาลัยใน New Hampshire, Kentucky และ St. Louis ได้มา เพื่อแสดงว่าสามารถเชื่อมโยงการเยี่ยมของผู้สืบสวน SEC กับการขายหุ้นของคนวงในก่อนการเปิดเผยการสอบสวนได้
- นักวิจัยเหล่านั้นไม่ได้ติดตามผู้กำกับดูแลจากหน่วยงานอื่นด้วยวิธีเดียวกัน แต่ระบุว่าในทางปฏิบัติใคร ๆ ก็ทำได้
- Justin Sherman จาก Georgetown Law Center for Privacy and Technology ประเมินว่านี่เป็นกรณีที่แสดงให้เห็นผลลัพธ์เมื่อบริษัทสามารถเก็บเกี่ยวข้อมูลตำแหน่งของชาวอเมริกันได้อย่างเสรีและขายในราคาที่ต้องการ
ความกังวลเรื่องการติดตามตำแหน่งที่เกี่ยวข้องกับการทำแท้ง
- คำตัดสิน Dobbs ของศาลสูงสุดสหรัฐฯ ในปี 2022 ยกเลิกสิทธิทำแท้งระดับรัฐบาลกลาง และหลังจากนั้น 14 รัฐบังคับใช้คำสั่งห้ามทำแท้งอย่างเข้มงวด
- ในเดือนพฤษภาคม 2023 The Wall Street Journal รายงานว่า องค์กรต่อต้านการทำแท้งแห่งหนึ่งใน Wisconsin ใช้ข้อมูลตำแหน่งที่แม่นยำเพื่อส่งโฆษณาไปยังผู้หญิงที่ต้องสงสัยว่ากำลังมองหาการทำแท้ง
- ปัจจุบันแทบไม่มีมาตรการใดที่ขัดขวางไม่ให้องค์กรต่อต้านการทำแท้งซื้อข้อมูล bidstream หรือเช่าสิทธิ์เข้าถึงแพลตฟอร์มอย่าง Babel Street เพื่อทำ geofencing รอบคลินิกทำแท้งและเปิดเผยอุปกรณ์มือถือที่เดินทางเข้าออกสถานที่นั้น
- นักสืบของ Atlas กล่าวว่าเขาสามารถทำ geofencing รอบคลินิกทำแท้งเพื่อระบุบุคคลที่ดูเหมือนเป็นพนักงาน แล้วติดตามที่อยู่บ้านและเส้นทางไปกลับที่ทำงานประจำวันของคนนั้นได้
- นอกจากนี้ยังกล่าวว่าใช้ Babel Street ระบุและติดตามบุคคลที่เดินทางจากบ้านใน Alabama ไปยังคลินิกใน Tallahassee, Florida ซึ่งการทำแท้งถูกกฎหมาย แล้วกลับมาในอีกไม่กี่ชั่วโมงต่อมา
- Eva Galperin จาก EFF กล่าวว่าเธอกังวลอย่างยิ่งต่อการสอดส่องในวงกว้างที่มุ่งเป้าไปยังผู้ที่ข้ามพรมแดนรัฐเพื่อทำแท้ง
ความแตกต่างระหว่าง Android และ iPhone
- Atlas มองว่าโดยทั่วไปด้วยเงิน 10,000~50,000 ดอลลาร์ต่อปี นายหน้าสามารถให้สิทธิ์เข้าถึงจุดข้อมูลหลายหมื่นล้านจุดที่ครอบคลุมประชากรในสหรัฐฯ และหลายภูมิภาคทั่วโลกได้
- ชุดข้อมูลที่ Atlas ได้มามีบันทึก MAID เก่าจำนวนมาก และจากข้อมูลนี้ประเมินว่าสามารถระบุตำแหน่งอุปกรณ์ Android ได้ราว 80% และโทรศัพท์ Apple ราว 25%
- Google เรียก MAID ว่า Android Advertising ID(AAID) ส่วน Apple เรียกว่า Identifier for Advertisers(IDFA)
- ในเดือนเมษายน 2021 Apple เปิดตัว App Tracking Transparency(ATT) ใน iOS 14.5 โดยกำหนดให้แอปต้องขอความยินยอมอย่างชัดเจนก่อนติดตามผู้ใช้ด้วย IDFA หรือตัวระบุอื่น
- การเปิดตัว ATT ส่งผลอย่างมากต่อตลาดโฆษณา และ Facebook เคยระบุว่าฟีเจอร์ความเป็นส่วนตัวของ iPhone นี้จะทำให้รายได้ปี 2022 ลดลงราว 10 พันล้านดอลลาร์
- กระทรวงยุติธรรมสหรัฐฯ ประเมินว่าแพลตฟอร์มแลกเปลี่ยนโฆษณาของ Google อย่าง AdX ควบคุมตลาดสหรัฐฯ 47% และตลาดทั่วโลก 56%
- Android ครองมากกว่า 72% ของตลาดระบบปฏิบัติการมือถือทั่วโลก ขณะที่ในสหรัฐฯ ผู้ใช้ iPhone มีสัดส่วนราว 55%
ท่าทีของ Google และ Apple
- Google ระบุว่าไม่ได้ส่งคำขอประมูลแบบเรียลไทม์ไปยัง Babel Street และไม่ได้แชร์ข้อมูลตำแหน่งที่แม่นยำในคำขอประมูล
- บริษัทระบุว่านโยบายห้ามอย่างชัดเจนไม่ให้ขายข้อมูลประมูลแบบเรียลไทม์หรือใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากโฆษณา
- Google อธิบายว่า MAID ถูกสร้างแบบสุ่ม ไม่รวมที่อยู่ IP พิกัด GPS หรือข้อมูลตำแหน่งอื่น และระบบโฆษณาไม่ได้แชร์ข้อมูลตำแหน่งที่แม่นยำของใคร
- Android มีตัวควบคุมสำหรับจัดการการเข้าถึงตำแหน่งของอุปกรณ์โดยแอป และสามารถรีเซ็ตหรือลบ advertising ID ได้
- Apple ระบุว่า Location Services ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้นบนอุปกรณ์ และข้อมูลตำแหน่งจะถูกใช้ก็ต่อเมื่อผู้ใช้เปิดบริการตำแหน่งและให้สิทธิ์แก่แต่ละแอปหรือเว็บไซต์
- ผู้ใช้ Apple สามารถปิดบริการตำแหน่งได้ทุกเมื่อ และเปลี่ยนสิทธิ์เข้าถึงตำแหน่งแยกตามแอปได้
- ตัวเลือกประกอบด้วยตำแหน่งที่แม่นยำ ตำแหน่งโดยประมาณ และการอนุญาตเข้าถึงตำแหน่งแบบครั้งเดียว
- Zach Edwards จาก SilentPush กล่าวว่า ความเสี่ยงด้านความเป็นส่วนตัวยังคงอยู่จนกว่า Apple และ Google จะปิดระบบ ID โฆษณาบนมือถืออย่างถาวร และยอมรับว่าเทคโนโลยีนี้ค้ำจุนระบบนิเวศนายหน้าข้อมูลทั่วโลกมาโดยตลอด
การตอบสนองทางกฎหมายระดับรัฐและประเด็นรัฐธรรมนูญ
- ตามข้อมูลของ Bloomberg Law ระหว่างปี 2019~2023 ภัยคุกคามต่อผู้พิพากษารัฐบาลกลางเพิ่มขึ้นมากกว่าสองเท่า
- เมื่อวาทกรรมทางการเมืองที่เป็นปฏิปักษ์และทฤษฎีสมคบคิดเกี่ยวกับเจ้าหน้าที่รัฐเพิ่มขึ้น หลายรัฐจึงผลักดันกฎหมายคล้าย Daniel’s Law
- อดีตตำรวจใน West Virginia ยื่นฟ้องแบบกลุ่มต่อบริการค้นหาบุคคล Whitepages โดยอ้างว่าละเมิดกฎหมายของรัฐที่คล้าย Daniel’s Law ซึ่งผ่านในปี 2021
- Maryland ผ่าน Judge Andrew F. Wilkinson Judicial Security Act ในเดือนพฤษภาคม 2024
- กฎหมายนี้ตั้งชื่อตาม Andrew F. Wilkinson ผู้พิพากษาศาลวงจรของเคาน์ตีที่ถูกสังหาร
- กฎหมายอนุญาตให้สมาชิกฝ่ายตุลาการของ Maryland ทั้งปัจจุบันและอดีต ขอไม่ให้เปิดเผยข้อมูลส่วนบุคคลของตน
- ข้อมูลส่วนบุคคลอาจรวมถึงที่อยู่บ้าน หมายเลขโทรศัพท์ อีเมล Social Security number หรือเลขประจำตัวภาษีรัฐบาลกลาง หมายเลขบัญชีธนาคารและบัตร ตัวระบุยานพาหนะ บันทึกการเกิดและการสมรส ชื่อ โรงเรียน และสถานดูแลเด็กของบุตร สถานที่ประกอบศาสนกิจ และสถานที่ทำงานของคู่สมรส บุตร หรือผู้อยู่ในอุปการะ
- Troutman Pepper เขียนว่าในปี 2024 มี 37 รัฐที่พิจารณาหรือรับรองร่างกฎหมายความเป็นส่วนตัวลักษณะคล้ายกันเพื่อคุ้มครองสมาชิกฝ่ายตุลาการและเจ้าหน้าที่รัฐด้านบังคับใช้กฎหมายบางส่วน
- Atlas อ้างว่า LexisNexis ตอบสนองต่อคำขอลบข้อมูลลูกค้าบังคับใช้กฎหมายใน New Jersey ด้วยการอายัดเครดิตของคนราว 18,500 คน และรายงานเท็จว่าพวกเขาเป็นเหยื่อการขโมยตัวตน
- อุตสาหกรรมนายหน้าข้อมูลย้ายคดีของ Atlas อย่างน้อย 70 คดีไปยังศาลรัฐบาลกลาง และโต้แย้งว่ากฎหมาย New Jersey กว้างเกินไปและละเมิดการแก้ไขรัฐธรรมนูญครั้งที่ 1
- ผู้พิพากษาที่ดูแลคดีคาดว่าจะตัดสินคำร้องขอยกฟ้องภายในไม่กี่สัปดาห์ และไม่ว่าผลจะเป็นอย่างไร คำตัดสินนี้มีแนวโน้มสูงที่จะถูกอุทธรณ์ไปจนถึงศาลสูงสุดสหรัฐฯ
- ผู้เชี่ยวชาญด้านกฎหมายสื่อกังวลว่า หาก Daniel’s Law ถูกนำไปใช้ในรัฐอื่น อาจจำกัดความสามารถของสื่อในการตรวจสอบเจ้าหน้าที่รัฐ และทำให้องค์กรสื่อที่รายงานบันทึกสาธารณะและบันทึกของรัฐบาลซึ่งเป็นแหล่งข้อมูลของอุตสาหกรรมค้นหาบุคคลตกเป็นเป้าการลงโทษทางอาญาได้
การขาดบทบาทของสภาคองเกรสและการกำกับดูแลนายหน้าข้อมูล
- Sen. Ron Wyden กล่าวว่า วิกฤตความเป็นส่วนตัวในปัจจุบันเกิดจากการที่สภาคองเกรสล้มเหลวในการกำกับดูแลนายหน้าข้อมูล และฝ่ายบริหารยังคงคัดค้านกฎหมายสองพรรคที่จำกัดการขายข้อมูลให้หน่วยงานบังคับใช้กฎหมาย
- Wyden เตือนว่าข้อมูลตำแหน่งอาจถูกใช้เพื่อระบุและเปิดเผยชาวอเมริกัน LGBTQ+ หรือเพื่อติดตามผู้ที่ข้ามพรมแดนรัฐเพื่อรับบริการอนามัยเจริญพันธุ์
- อีกประเด็นที่ Wyden วิจารณ์คือ นายหน้าข้อมูลขายความลับที่ลึกที่สุดของชาวอเมริกันในราคาไม่กี่ดอลลาร์และทำให้พวกเขาเสี่ยงต่ออันตรายร้ายแรง
- Wyden ยังมองว่า Google ต้องรับผิดชอบที่ไม่ได้กำจัดความสามารถของบริษัทต่าง ๆ ในการติดตามโทรศัพท์มือถือเหมือนที่ Apple ทำ
- Justin Sherman กล่าวว่า อุตสาหกรรมนายหน้าข้อมูลและโฆษณาบนมือถือมักพูดถึงการทำให้ไม่ระบุตัวตน การจำกัดการเข้าถึง และขอบเขตของการอนุมานจากข้อมูลตำแหน่ง แต่ในความเป็นจริงสามารถอนุมานได้ถึงเหยื่อการล่วงละเมิด สภาวะสุขภาพ ความเชื่อทางศาสนา คณะลูกขุน เจ้าหน้าที่บังคับใช้กฎหมายที่ไปเยี่ยมบ้านผู้ต้องสงสัย บุคลากรหน่วยข่าวกรอง และผู้ติดต่อของพวกเขา
การตั้งค่าที่ผู้ใช้เปลี่ยนได้
- ผู้เชี่ยวชาญด้านความเป็นส่วนตัวมองว่า การปิดใช้งานหรือลบ MAID ของอุปกรณ์จะไม่ส่งผลต่อการทำงานของโทรศัพท์ และอาจลดโฆษณาแบบเจาะจงเป้าหมายบนอุปกรณ์นั้นลงอย่างมาก
- บน Android สามารถไปที่ Location > App Permissions ในแอป Settings เพื่อดูว่าแอปใดมีสิทธิ์ตำแหน่ง
- “Allowed all the time” คือสิทธิ์ที่กว้างที่สุด
- ถัดมาคือ “Allowed only while in use”, “Ask every time”, “Not allowed” ตามลำดับ
- ผู้ใช้ Android สามารถไปที่ Settings > Privacy > Ads แล้วกด Delete advertising ID เพื่อลบ advertising ID อย่างถาวร
- ตามข้อมูลของ EFF การทำเช่นนี้จะทำให้แอปใด ๆ บนโทรศัพท์ไม่สามารถเข้าถึง advertising ID ได้ในอนาคต
- โดยค่าเริ่มต้น iOS จะขออนุญาตก่อนที่แอปจะเข้าถึง IDFA ของอุปกรณ์
- เมื่อติดตั้งแอปใหม่ หากมีข้อความถามสิทธิ์การติดตาม สามารถเลือก “Ask App Not to Track” ได้
- หากปิดสวิตช์ “Allow apps to request to track” แอปจะไม่สามารถขอสิทธิ์ติดตามได้
- ระบบโฆษณาแบบเจาะจงเป้าหมายของ Apple เองแยกจากการติดตามของบุคคลที่สามที่อิง IDFA
- ต้องไปที่ Settings > Privacy > Apple Advertising แล้วปิด Personalized Ads
- ผู้ที่ทำหน้าที่เป็นฝ่ายซัพพอร์ต IT ให้ครอบครัวหรือเพื่อน ควรปิดการติดตามบนอุปกรณ์ของคนรอบตัวด้วย และปิดใช้งานแอปที่เปิดการแชร์ตำแหน่งตลอด 24 ชั่วโมง
- แม้อุปกรณ์ของตนเองจะไม่ถูกติดตามโดยตรงผ่านข้อมูลโฆษณา แต่หากอุปกรณ์ของคนใกล้ตัวถูกติดตาม ตำแหน่งของตนเองก็อาจถูกอนุมานได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เราอาจถกเถียงกันได้ว่าตำรวจควรเข้าถึงข้อมูลนี้ได้หรือไม่ และควรมีกฎกำกับวิธีการเข้าถึงกับเหตุผลในการเข้าถึงอย่างไร
เพราะความคาดหวังทางวัฒนธรรมเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยต่างกัน จึงอาจไม่มีคำตอบเดียวที่ถูกต้อง แต่ก็พูดไม่ได้ว่าสภาพที่ ไร้การกำกับดูแลโดยสิ้นเชิง แบบตอนนี้เป็นสิ่งที่ถูกต้อง
การที่ใครก็ได้สามารถจ่ายเงินแล้วรวบรวม ข้อมูลตำแหน่งความละเอียดสูงมาก ของคนอื่นได้นั้นไร้เหตุผลจริงๆ
โปรโมตประมาณว่าเวลามีตั๋วเบสบอลฟรีในตัวเมืองก็หาเพื่อนไปด้วยกันได้ แต่ผู้คนกลัวกับความจริงที่ว่าอุปกรณ์รู้ตำแหน่งของตน จึงล้มเหลวโดยสิ้นเชิง
Nextel ก็เคยออก แอปติดตามสำหรับองค์กร สำหรับบริษัทขนส่ง เพื่อเฝ้าดูตำแหน่งรถและเวลาที่จอด โดยบริษัทหนึ่งยกเลิกการนำมาใช้เพราะพนักงานต่อต้าน ส่วนอีกบริษัทติดตั้งไปแล้วพนักงานยื่นฟ้องว่าละเมิดความเป็นส่วนตัว จึงถอดออกภายในไม่กี่เดือน
เมื่อก่อนเราไม่ต้องการสิ่งแบบนี้ แต่ตอนนี้กลับเปลี่ยนเป็นยอมส่งข้อมูลส่วนบุคคลทั้งหมดให้บริษัทเอกชนไปเฉยๆ ซึ่งรู้สึกแปลก
ครั้งแรกที่ผมได้รู้แนวคิดว่าข้อมูลโทรศัพท์มือถือถูกขายให้บุคคลที่สาม คือตอนไปเช็กเกียเมื่อปี 2003
ทันทีที่ข้ามพรมแดนออสเตรีย โทรศัพท์มือถือสหรัฐฯ ของผมก็เริ่มได้รับ SMS สแปม ตอนแรกเป็นข้อความต้อนรับจากผู้ให้บริการท้องถิ่น ไม่กี่นาทีต่อมาก็เป็นคำแนะนำโรมมิ่งจาก T-Mobile จากนั้นตามด้วยโฆษณาโรงแรม ร้านอาหาร และคาสิโน
ขนาดยุคก่อน “สมาร์ตโฟน” ยังเป็นแบบนั้น จึงไม่น่าแปลกใจที่ตอนนี้จะแย่ลงไปมาก
ไม่มีสแปมเพิ่มเติม แต่ทำให้ผมเริ่มคิดเป็นครั้งแรกว่าปัญหาทางเทคนิคของการรับสัญญาณจากหลายประเทศใกล้พรมแดนนั้นน่าจะเป็นโจทย์ที่ “น่าสนุก” ไม่น้อย
โหมด “กลางคืน” ของ Babel Street ทำให้รู้ได้ง่ายในระดับไม่กี่เมตรว่าเป้าหมายมักนอนที่ไหนทุกคืน
โดยเฉพาะเมื่อรวมถึงหน่วยงานบังคับใช้กฎหมาย แทบไม่มีเหตุผลใดที่ใครสักคนจะต้องการ ฟีเจอร์ประเมินตำแหน่งยามกลางคืน แบบนี้ และเหตุผลที่นึกออกก็ล้วนรู้สึกค่อนข้างมืดมน
เพราะถ้ารู้ว่าผู้ต้องสงสัยกำลังหลับ โอกาสที่ตำรวจจะถูกยิงจะลดลงมาก
อย่างไรก็ตาม ข้อมูลนี้ไม่ได้เกี่ยวข้องโดยตรงกับการพิสูจน์คดี แต่ เกี่ยวข้องเฉพาะเชิงยุทธวิธี และไม่เกี่ยวข้องเชิงยุทธศาสตร์
เลยสงสัยว่าจำเป็นต้องมีกลไกมากกว่าบทแก้ไขรัฐธรรมนูญสหรัฐฯ ครั้งที่ 4 หรือไม่
ถ้ามองแบบไร้เดียงสา ข้อมูลที่ใช้เป็นพยานหลักฐานเพื่อพิสูจน์คดีไม่ได้ ก็ควรเป็นข้อมูลที่หน่วยงานบังคับใช้กฎหมายเข้าถึงไม่ได้ และอาจไม่มีใครควรเข้าถึงด้วย
ใช้และตั้งค่า Pi-Hole ก็พอ
การตั้งค่า Pi-Hole: https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
วิดีโอสำหรับคนที่สะดวกทาง YouTube มากกว่า: https://www.youtube.com/watch?v=eCA24qJBG8Q
ต่อให้ใช้ VPN แบบนั้น อินเทอร์เฟซเครือข่ายเซลลูลาร์ของ Android และ iOS ก็ยังคงมี เส้นทางสำรอง ในตัวอยู่
พอรวม Pi-Hole กับการตั้งค่า LAN และ DoH เข้าไป ก็ยิ่งซับซ้อนขึ้น
ตามที่ Krebs และคนที่เขาอ้างถึงพูดไว้ ถึงเวลาแล้วที่ Apple และ Google ต้องกำจัด MAID ออกไปให้หมด
ถึงอย่างนั้นก็อย่า downvote ความเห็นต้นทางเลย และควรใช้ตัวบล็อกโฆษณาที่เชื่อถือได้ในทุกที่ที่ทำได้
ผมคุยกับคนที่เคยทำงานเกี่ยวกับโฆษณาของ Google เขายืนยันว่าการติดตามประเภทนี้ไม่ได้ถูกใช้ที่นั่น
แต่ถึงอย่างไร แม้ในบริษัทแบบนี้ ผมก็คิดว่าพวกเขาน่าจะพยายามปิดบัง ระดับการติดตาม ที่ตนทำอยู่
หากจะหยุดเรื่องนี้ ต้องทำให้บริษัทต้องรับผิดชอบต่อสิ่งที่เกิดขึ้นเพราะข้อมูลที่ตนเก็บรวบรวม
ไม่ว่าจะถูกขาย ถูกขโมย หรือถูกส่งต่อ หากข้อมูลที่บริษัทเก็บไว้ถูกนำไปใช้อย่างไม่เหมาะสม บริษัทที่รวบรวมข้อมูลนั้นต้องจ่ายราคา
ทั้งบริษัทใหญ่และองค์กรรัฐต่างก็ชอบข้อมูล
อุตสาหกรรมอย่างเทคโนโลยีและการเงิน รวมถึงรูปแบบการปกครองที่วางแผนไว้ในอนาคต หรือก็คือ เทคโนแครซี ล้วนสร้างอยู่บนสิ่งนั้น
ท้ายที่สุด การเก็บข้อมูลก็อยู่ในแผนอยู่แล้ว เหลือเพียงว่าปัจเจกบุคคลจะรู้เรื่องนั้นได้หรือไม่
เมื่อดูจากหลายๆ สแกนดัลว่ามีคนจำนวนมากแค่ไหนที่รู้มาตั้งแต่ต้น และการใช้อำนาจในทางที่ผิดกับอาชญากรรมถูกปกปิดหรือถูกนำไปใช้ประโยชน์บ่อยแค่ไหน แทนที่จะถูกรายงานหรือคัดค้าน ความชั่วร้ายก็ดูเป็นเรื่องธรรมดามาก
“เงื่อนไขเดียวที่จำเป็นให้ความชั่วร้ายชนะ คือคนดีไม่ทำอะไรเลย”
บริษัทสุดท้ายแล้วก็คือกลุ่มของผู้คน ดังนั้นอาจต้องมีแรงจูงใจที่แรงกว่านี้เพื่อไม่ให้ผู้คนปล่อยให้ “บริษัท” ทำสิ่งต่อต้านสังคม
อย่างน้อยก็ควรเป็นเช่นนั้นกับผู้บริหาร
อาจเป็นเพราะบริษัทปิดบัง หรืออาจเป็นเพราะผู้คนโกหกตัวเอง
พวกเขาเป็นคนฉลาดพอที่จะคิดออกได้ แต่เมื่อถึงจุดหนึ่ง มันก็กลายเป็น ความไม่รู้โดยเจตนา
เมื่อเวลาผ่านไป ผมคิดว่าจะยิ่งชัดเจนขึ้นว่า ทางออกเดียวคือการทำให้ การครอบครองข้อมูลประเภทนี้เองเป็นอาชญากรรม และสร้างกระบวนการให้เรียกร้องค่าเสียหายตามกฎหมายได้เมื่อพบการครอบครอง
มีตัวอย่างจากอุตสาหกรรมเพลงที่การแชร์เพลงมีลิขสิทธิ์มีค่าเสียหายอัตโนมัติ โดยไม่ต้องคำนวณความเสียหายจริง
กระบวนการนั้นมีกลไกที่สมเหตุสมผลอยู่แล้วในการแยกระหว่างการใช้โดยเจตนากับการใช้โดยผิดพลาด
จากนั้นก็จะเกิดอุตสาหกรรมที่ค้นหาหลักฐานบนฐานค่าตอบแทนแบบ success fee
เคยเป็น Xoogler (2011~2018)
ครั้งหนึ่งเคยเสนอไอเดียที่ทำให้ผู้ใช้ “โกหก” แอปได้ง่ายขึ้น เช่น เมื่อแอปขอตำแหน่ง ก็ส่ง ข้อมูลตำแหน่งปลอม ให้
ถ้าทำแบบนั้น ก็จะรักษาทางเลือกที่แท้จริงของลูกค้าเรื่องการไม่เปิดเผยตัวตนไว้ได้
ปฏิกิริยาต่อไอเดียนั้นสอนอะไรหลายอย่างเกี่ยวกับ แรงจูงใจ
ถ้าไม่ได้ติด NDA อะไรทำนองนั้น ก็อยากให้เล่าให้ฟัง
โฆษณาโดยสรุปแล้วคือ ไวรัส ที่แพร่เชื้อไปทั่วทุกระบบนิเวศ
เพราะช่วยให้บริษัทเล็ก ๆ แข่งขันกับบริษัทยักษ์ใหญ่ที่เป็นที่รู้จักได้
แต่ไม่มีใครจำเป็นต้องใช้ข้อมูลมากถึงขนาดนี้
สิ่งที่ผู้ลงโฆษณาต้องการมีแค่ประมาณว่า เมื่อผู้ใช้ค้นหารองเท้าบน Google ก็แสดงโฆษณารองเท้าให้เห็น
โฆษณาตามบริบท แบบนั้นคือโฆษณาที่ดี และบางครั้งก็มีประโยชน์ต่อผู้ใช้ด้วย
การที่โฆษณาบนเว็บและแอปถูกใช้เพื่อจุดประสงค์ชั่วร้าย ก็คล้ายกับเงินสดหรือแทบทุกสิ่งที่ถูกใช้เพื่อจุดประสงค์ชั่วร้ายได้เช่นกัน
กฎระเบียบคือความพยายามที่จะลดความเสียหายเหล่านั้น แต่สุดท้ายก็เป็นเพียงกลไกที่จัดการกับเจตนาร้ายของมนุษย์ทางอ้อมเท่านั้น
ถ้าจะเรียกการติดตามที่ละเอียดระดับบ้าคลั่งแบบนี้ให้ตรงกับผลลัพธ์จริง ๆ ก็คือ การสะกดรอยตาม และควรถูกทำให้เป็นอาชญากรรม
หากจิตวิญญาณแห่งยุคสมัยปัจจุบันถูกครอบงำด้วยช่องว่างของความไร้ปรานี ข้อมูลส่วนตัวของคนที่ทำงานในอุตสาหกรรม “โฆษณา” และการติดตาม รวมถึงสิ่งที่พวกเขาแอบดูผ่านเทคโนโลยีสอดแนม ก็ควรถูกนำขึ้นฐานข้อมูลสาธารณะด้วย
หาก Google Glass มีการใช้งานที่ยอดเยี่ยมสักอย่างหนึ่ง ก็คงเป็นการ สอดส่องผู้สอดส่อง
สงสัยว่าเรื่องนี้ทำงานอย่างไรบน iOS หลังจาก Apple เอา IDFA ออกไปแล้ว
ID โฆษณา (MAID) ของแอปใดแอปหนึ่งดูเหมือนจะเกี่ยวข้องเฉพาะกับแอปนั้น จึงไม่น่ามีประโยชน์ต่อการทำโปรไฟล์ และก็ไม่ค่อยเห็นวิธีที่แอปบน iOS จะเข้าถึงตัวระบุอื่น ๆ ได้
ที่อยู่ Wi-Fi MAC ก็ถูกสุ่มด้วย
ถ้าก้าวไปอีกขั้น โดยปิดการเข้าถึงตำแหน่งของแอปและปิดใช้งาน ID โฆษณาระดับระบบแล้ว การค้นหาตามที่บทความอธิบายก็ดูจะทำได้ยาก
“25% ของโทรศัพท์ Apple” ที่กล่าวในบทความ หมายถึง อุปกรณ์เลกาซี ที่ใช้ iOS เวอร์ชันเก่าก่อนการเอา IDFA ออกหรือเปล่า?
รายงานนี้กลับดูเหมือนจะสนับสนุนคำกล่าวอ้างที่ Apple ทำไว้เกี่ยวกับผลของการตัดสินใจนั้น