Facebook是如何通過Android應用程序跟蹤非註冊用戶的

12月29日，Privacy International在35C3網站提交了一份報告，報告稱Facebook正通過幾十款主流Android應用程序收集其社交網路的非用戶數據，其中一些應用包括：Kayak，Yelp和Shazam。

報告稱：

Facebook會定期通過Facebook商業工具追蹤其平台之外的用戶，包括非註冊用戶和退出登錄的用戶……這些Android應用的開發者通過Facebook軟體開發工具包(SDK)與Facebook共享數據。

Privacy International檢查了34個Android應用程序，每個應用程序的安裝基數在1000萬到5億之間。調查發現這些應用會通過SDK將數據傳輸到Facebook。與Facebook共享的數據因應用程序而異，比如Kayak會向Facebook發送其應用中所有的搜索數據，而King James Bible則會透露用戶查看過的文章信息。

研究人員稱，大多數應用程序共享的數據包括應用程序的使用時長、打開和關閉的時間、Android設備類型以及根據語言和時區設置推斷出的用戶位置等。

部分與Facebook共享的敏感數據涉及到應用程序本身的使用情況，包括女性經期追蹤器、祈禱應用、求職應用和適合兒童使用的應用程序。而另外一些應用程序與Facebook共享的信息包括：用戶評級、會話ID和一些其他的數據。

Privacy International指出，Facebook只是數百家跟蹤用戶信息的公司中的一家，這些公司會收集網路營銷公司使用的數據，通過將用戶信息收集在一起，來創建大量用戶數字檔案。Facebook是僅次於谷歌的第二大互聯網跟蹤公司。

Privacy International研究員Frederike Kaltheuner表示：

我們專註於Facebook，而不是谷歌或任何其他跟蹤公司的原因是因為Facebook收集的某些應用的行為——比如經期追蹤器或LED手電筒，簡直是出人意外。而且，對那些有意不使用Facebook上的人，他（她）的信息可能也在無意間被收集了。

Privacy International對這34個應用程序的檢查後發現有近六成的應用程序會在用戶打開應用程序時自動將數據傳輸到Facebook，有些應用程序則會定期向Facebook發送詳細數據。可以在Privacy International網站上找到對各個應用程序的分析。

Kaltheuner表示，

顯然，我們只能看到應用程序傳輸的數據。然而，我們不能確定這些數據是如何被使用的。

Privacy International研究員Christopher Weatherhead表示，此次研究的重點不應歸咎於應用程序開發商，其本意並不是來批評開發者的開發方式的，而是在於SDK以及它傳輸數據的方式（無論用戶是否同意）。

Facebook SDK for Android有很多用途。它允許開發人員將他們的應用程序與Facebook的平台集成，也能為開發人員提供了許多有用的組件，例如用戶分析，顯示廣告，以及是否允許用戶使用其Facebook ID登錄的服務。

當Privacy International向Facebook詢問其SDK的使用時，Facebook指出開發人員負責配置應用程序以共享或不共享數據。

Kaltheuner說：

在SDK與Facebook共享數據之前，作為數據控制器的開發者必須得到用戶的同意，這是Facebook的法律和合同義務。

面對Privacy International的質疑，Facebook發言人回應說：

Facebook的SDK工具意味著開發者可以根據自己的具體情況，在獲得用戶同意後，選擇是自動收集、完全不收集、或者延遲收集應用事件。我們亦要求應用開發商能確保有適當的法律基礎收集和處理用戶的資料。最後，我們為開發人員提供如何在這方面遵守我們的要求的指導。

但是，Facebook向Privacy International承認，大多數開發人員都使用了SDK的默認設置，也就是在應用程序一啟動就分享數據。從今年5月開始，這種行為在開發人員中引發了憤怒，當時他們被迫遵守新的通用數據保護法規，該法規要求在收集用戶數據之前獲得明確和明確的許可。

作為回應，Facebook於6月在其SDK中發布了一項新功能，延遲了所謂的「自動事件記錄」，使開發人員可以更靈活的關閉該功能或請求用戶收集數據的許可權。然而，即使Facebook做出了更改，SDK仍然會發送一個信號，表明在打開各個應用程序時SDK已經初始化——即使關閉了SDK數據共享。

Kaltheuner說:

SDK初始化的信號，就是數據，這些數據告訴Facebook用戶使用什麼類型的應用程序，以及使用的時間，根據隱私國際(privacy International)的說法，這些數據收集是否符合GDPR和其他隱私法律，仍是一個懸而未決的問題。

Privacy International呼籲Facebook做出進一步改變，並呼籲開發者提高意識，儘可能少的傳送所需數據，讓人們在收集數據方面有更多選擇。開發者並不應該遵照默認設置，而且無論什麼時候，都要展示數據收集的透明性。

應用程序開發者對Privacy International研究的反應各不相同。

Kaltheuner說：

有些人給我們的印象是，他們並沒有完全理解SDK以及SDK是做什麼的，另一些人聲稱對他們的作為在法律上可以有截然不同的解釋。其他人並沒有真正意識到這一點，並承諾會更新他們的應用程序。

接到通知後，兩個應用程序——Skyscanner和IBM的天氣頻道（The Weather Channel）——同意立即更改它們對Facebook SDK的使用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！