- Um relatório da equipe da FTC afirma que os principais serviços de mídia social e streaming de vídeo vigiaram amplamente os consumidores para monetizar dados pessoais e também tinham salvaguardas insuficientes para proteger crianças e adolescentes
- A investigação cobre Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit e WhatsApp, com base nas respostas a ordens 6(b) enviadas pela FTC a 9 empresas em dezembro de 2020
- As empresas analisadas podiam coletar e reter dados de usuários, de não usuários e até informações de corretores de dados, e suas práticas de minimização, retenção e exclusão de dados foram avaliadas como extremamente inadequadas
- O modelo de negócios de muitas empresas era centrado em publicidade direcionada, incentivando a coleta massiva de dados; esses dados também eram usados em tecnologias de rastreamento como pixels e em sistemas automatizados e IA, mas os usuários quase não tinham direito de recusa
- O relatório da equipe da FTC recomenda uma lei federal de privacidade, políticas de minimização e retenção de dados, restrições ao rastreamento de informações sensíveis, mais transparência e validação de sistemas automatizados, e ampliação da proteção a crianças e adolescentes tendo a COPPA como padrão mínimo
Alvos da investigação e escopo do relatório
- O relatório da equipe da FTC investigou as práticas de coleta e uso de dados de grandes serviços de mídia social e streaming de vídeo
- O relatório da equipe é baseado nas respostas de 9 empresas às ordens 6(b), emitidas em dezembro de 2020
- Os 9 alvos da investigação foram as seguintes empresas e serviços
- Amazon.com, Inc.: proprietária da plataforma de jogos Twitch
- Facebook, Inc.: hoje Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: hoje X Corp.
- Snap Inc.
- ByteDance Ltd.: proprietária da plataforma de compartilhamento de vídeos TikTok
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- As ordens da FTC verificaram como as empresas tratavam dados pessoais e informações demográficas
- coleta, rastreamento e uso de dados pessoais e informações demográficas
- forma de exibir anúncios e conteúdo aos consumidores
- se e como algoritmos ou análise de dados eram aplicados a informações pessoais e demográficas
- impacto dessas práticas sobre crianças e adolescentes
Problemas nas práticas de coleta e retenção de dados
- As empresas investigadas coletavam grandes volumes de dados pessoais dos consumidores e monetizavam isso em uma escala de dezenas de bilhões de dólares por ano
- A presidente da FTC, Lina M. Khan, afirmou que essas práticas de vigilância ameaçam a privacidade e podem expor as pessoas a vários danos, de roubo de identidade a stalking
- As empresas podiam coletar e reter por tempo indeterminado os seguintes dados
- dados de usuários
- dados de não usuários da plataforma
- informações obtidas de corretores de dados
- Práticas amplas de compartilhamento de dados aumentaram as preocupações sobre se havia controle e supervisão suficientes no tratamento desses dados
- As práticas de coleta, minimização e retenção de dados foram avaliadas como “woefully inadequate”
- Algumas empresas respondiam a pedidos de exclusão feitos por usuários, mas ainda assim não apagavam todos os dados do usuário
Modelo de receita com publicidade e sistemas automatizados
- O modelo de negócios de muitas empresas foi desenhado para monetizar dados de usuários, especialmente por meio de publicidade direcionada, que representava a maior parte da receita dessas empresas
- Esses incentivos entram em conflito com a privacidade do usuário e podem estimular a coleta de ainda mais dados
- Algumas empresas usavam tecnologias de rastreamento invasivas à privacidade, como pixels, para viabilizar anúncios com base nas preferências e interesses dos usuários
- Dados pessoais de usuários e não usuários eram inseridos em vários sistemas automatizados
- algoritmos
- análise de dados
- IA
- Usuários e não usuários tinham pouca ou nenhuma forma de recusar o uso de seus dados em sistemas automatizados
- A forma de monitorar e testar o uso de sistemas automatizados variava entre as empresas, sem consistência nem suficiência
Proteção de crianças e adolescentes e a questão da COPPA
- Os serviços de mídia social e streaming de vídeo foram avaliados como insuficientes na proteção de crianças e adolescentes em seus sites
- O relatório cita pesquisas segundo as quais mídia social e tecnologias digitais têm impacto negativo na saúde mental de usuários jovens
- Muitas empresas alegaram que não havia crianças em suas plataformas porque seus serviços não eram voltados a crianças ou porque não permitiam a criação de contas infantis
- O relatório da equipe da FTC vê isso como uma tentativa clara de evitar responsabilidades sob a Children’s Online Privacy Protection Act Rule
- Serviços de mídia social e streaming de vídeo frequentemente tratavam adolescentes da mesma forma que usuários adultos
- a maioria das empresas permitia que adolescentes usassem a plataforma sem restrições de conta
Impacto concorrencial e recomendações da FTC
- As práticas de dados das empresas também podem afetar a concorrência
- Empresas que acumulam volumes significativos de dados de usuários podem conquistar poder de mercado, o que pode levar a práticas nocivas que priorizam a obtenção de dados em vez da privacidade do usuário
- Se a concorrência entre serviços de mídia social e streaming de vídeo for limitada, as opções do consumidor também diminuem
- O relatório da equipe da FTC recomenda o seguinte a formuladores de políticas e empresas
- o Congresso deve aprovar uma lei federal abrangente de privacidade que limite a vigilância, estabeleça proteções básicas e conceda direitos sobre dados aos consumidores
- as empresas devem limitar a coleta de dados e adotar políticas específicas e executáveis de minimização e retenção de dados
- devem limitar o compartilhamento de dados com terceiros e afiliadas e excluir dados de consumidores que não sejam mais necessários
- as políticas de privacidade devem ser claras, simples e fáceis de entender para os consumidores
- as empresas não devem coletar informações sensíveis com tecnologias publicitárias de rastreamento invasivas à privacidade
- devem revisar cuidadosamente políticas e práticas de direcionamento de anúncios baseadas em categorias sensíveis
- devem resolver a falta de controle do usuário e a falta de transparência sobre como os dados são usados em sistemas automatizados
- devem aplicar padrões mais rigorosos de teste e monitoramento a sistemas automatizados
- não devem ignorar a realidade de que há crianças usando a plataforma, e devem tratar a COPPA como exigência mínima, oferecendo medidas adicionais de segurança
- adolescentes não são adultos e, portanto, devem receber proteções de privacidade mais fortes
- o Congresso deve aprovar uma lei federal de privacidade que preencha a lacuna de proteção para adolescentes com mais de 13 anos não coberta pela COPPA
- A comissão da FTC votou 5-0 para publicar o relatório da equipe
- Chair Khan e os Commissioners Alvaro Bedoya, Melissa Holyoak e Andrew N. Ferguson divulgaram declarações separadas
1 comentários
Comentários no Hacker News
Falta um modo de aumentar a responsabilização das empresas que lidam mal com dados de usuários.
Não faz sentido eu receber pelo correio uma notificação sobre um vazamento de dados ocorrido meses atrás, incluindo até meu número de Seguro Social, e a única coisa que posso fazer é colocar um congelamento de crédito em várias agências de crédito.
Depois de sofrer burnout e uma queda pública, um amigo me ajudou a conseguir um trabalho de meio período em uma empresa de processamento de pagamentos de cartão de crédito. Há uns dois meses, enquanto eu estava fora, o chefe pediu a um motorista de Uber que enviasse um e-mail porque precisava resolver algo, e, com isso, o banco de dados completo de clientes, contendo contas bancárias, números de Seguro Social, nomes, endereços e dados financeiros, foi enviado a um cliente.
Isso ficou escondido por 11 dias até eu descobrir. Então eu disse: “Isso é grave e, além do PCI, há uma obrigação legal de notificar os clientes afetados em até 45 dias”, mas o chefe disse que “não faria isso”. Então pedi demissão e voltei a ficar desempregado.
Eu tentei fazer a coisa certa e agora estou procurando trabalho com urgência, enquanto quem causou o problema age como se nada tivesse acontecido, possivelmente comprometendo toda a base de clientes, e provavelmente não sofrerá punição a menos que eu denuncie ao PCI. Mesmo se eu denunciar, não há nenhuma compensação para mim.
Não sei por que, aonde quer que eu vá, a diretoria sempre faz coisas suspeitas. Eu só quero trabalhar com Linux e datacenters sob alguém honesto.
Meu grande projeto paralelo ainda não está pronto nem para um lançamento antecipado e, embora eu originalmente não quisesse aceitar VC ou investidores, agora estou pensando em ceder.
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
Acho difícil até que exista uma agência reguladora independente capaz de regular toda a indústria de tecnologia. Assim como a FDA decide quais medicamentos e ingredientes são permitidos, também poderia haver um órgão que avaliasse os riscos que funcionalidades de empresas de tecnologia trazem à saúde mental das pessoas.
Mas, para que uma agência assim surja, provavelmente será necessária uma tragédia, como aconteceu com a criação inicial da FDA.
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Está 15 anos atrasado, no sentido de que só agora estão começando a levar isso a sério e a pensar em reagir, mas ainda é melhor do que nada.
O próximo passo é colocar as agências de crédito sob controle de verdade.
Eu nunca concordei que eles mantivessem meus dados; eles vazam tudo e agora ainda me mandam e-mails publicitários indesejados. É uma bagunça completa.
Para congelar o crédito, sou obrigado a me relacionar com essas empresas; se não fizer isso, fico à mercê delas, caso decidam entregar minhas informações a qualquer um sem minha permissão. Isso realmente não faz sentido.
Não é estranho que empresas como Meta e Google valham centenas de bilhões de dólares porque descobriram uma forma legal de preencher bancos de dados com informações sobre você?
Em qualquer outro período da história, alguém teria chamado isso de vigilância, mas elas encontraram um jeito de fazer legalmente, e isso passou a valer centenas de bilhões de dólares.
Tecnicamente, registrar dados remotamente é trivial se houver consentimento. Parece que criamos uma parede imaginária chamada lei, gastamos bilhões de dólares para construir caminhos ao redor dela e então tratamos isso como equivalente a prosperidade econômica. A relação entre serviços de streaming e compartilhamento de arquivos é parecida.
Não entendo por que as pessoas continuam chamando redes sociais simplesmente de banco de dados.
Lina Khan anda pressionando forte ultimamente. Parece realmente se importar com direitos humanos online.
Facebook e YouTube são defensores com vontade e capacidade de proteger dados sensíveis de clientes. Se você assistir ao documentário sobre Ashley Madison, houve um desprezo arrogante pela privacidade dos clientes e, ainda assim, quase não houve responsabilização.
Os consumidores são mais vulneráveis nesses provedores pequenos e irresponsáveis.
Se Trump virar presidente, ele a demitirá; e, mesmo que Harris vença, se os republicanos controlarem o Senado, temo que Harris possa entregar Khan como moeda de troca para conseguir confirmações.
“Data is a Toxic Asset”, de 2016, no Schneier on Security: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Esta parte é especialmente problemática:
“Muitas empresas realizaram amplo compartilhamento de dados, o que levanta sérias preocupações sobre se os controles e a supervisão do tratamento de dados dessas empresas são suficientes.”
Vale a pena ler o relatório completo[0]. Melhor não ficar só no resumo.
“Mas essas descobertas não devem ser vistas isoladamente. Elas decorrem de um modelo de negócios quase idêntico nas nove empresas: coletar dados para publicidade direcionada, desenho algorítmico e venda a terceiros. Como existem poucas salvaguardas significativas, as empresas têm incentivos para desenvolver métodos de coleta cada vez mais invasivos.”
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Vigilância se espalha como câncer. Ela continua crescendo, devorando todo ponto de dado com a justificativa de que “é só porque precisamos”, e no fim mata você.
Também deveriam adicionar à lista as montadoras que vigiam as pessoas com câmeras e microfones dentro dos carros.
Mais detalhes: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...