许多人可能还没有听说过的Truecaller公司刚刚宣布与CyanogenMod的商业部门Cyngn合作。乍一看,是将Truecaller功能集成到Cyngn OS拨号器中的不错的搭档。但是,不幸的是,Truecaller是一家颇有意思的公司,拥有一些颇有意思的经商方式。他们的商业模式肯定是问题的最好(和潜在的差了很多) -当您使用Truecaller的“增强型搜索”功能(这是相当多的RAI 儿子为D'e 产品的TRE),你同意Truecaller允许收集您手机中的联系信息并与该服务的其他用户共享。
“好吧,这完全是错误的”,我听到你精明的读者说。“当然,他们不能仅仅与他人共享人们的联系信息吗?” 好吧……您通常是对的-从法律上说,至少在欧洲,这将是非法的。数据保护指令是一项相当长的立法,涵盖了此类问题,为了我们的欧洲用户的利益,我们稍后将再次对其进行研究。
Truecaller所使用的“退出”隐藏在其服务条款之内,他们在其中神奇地试图设法摆脱这一困境:
通过允许收集联系信息,您授予Truecaller使用该联系信息作为服务一部分的权利,并保证您具有与我们共享此类联系信息所需的所有权限。您可以随时选择退出以阻止共享联系信息。
是的,没错...您没听错。您(最终用户)必须同意所有联系人均已同意您将其数据上传到Truecaller。他们声称可以搜索16亿人的电话号码,使您可以搜索他们的电话号码。这是一个问题–有多少人向此服务提交了他们的联系方式的详细信息?当然,您可以选择不发送数据,但这没有太大用处,因为不可能真正选择不让他人共享您的数据。事实上,虽然Truecaller提供了一个机会,你自己去上市,这需要你知道他们都抱着摆在首位您的数据。
返回欧盟数据隐私指令,这里有一些与之相关的有趣声明:
(a)“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的人是指可以直接或间接地被识别的人,特别是通过参考识别号或特定于其身体,生理,心理,经济,文化或社会身份的一个或多个因素;”
由于您的姓名是与您有关的信息,因此,作为身份识别人,与您有关的任何数据均为“个人数据”。
“数据当事人的同意”是指任何自由给出的关于其意愿的具体且知情的表示,数据当事人以此表示同意与正在处理的他有关的个人数据。”
这定义了法律范围内的同意含义,要求人们在知情的情况下指示其数据可以处理(处理包括对数据的任何形式的手动或自动操作,包括存储!)
但是,立法中最重要的部分是第7条,其中涵盖了可以处理个人数据的情况。让我们来看看这些。
成员国应规定只有在以下情况下才能处理个人数据:
(a)资料当事人已明确表示同意;要么
您是数据主体;而不是上传者。因此,您尚未同意。
(b)为了履行数据当事人参加的合同,或者为了在签订合同之前应数据当事人的要求采取措施,必须进行处理;要么
由于您不知道是否有人决定将您的数据发送给Truecaller,因此您显然没有签订合同。您将必须意识到这一点,并选择成为此类合同的当事方。
(c)为了遵守控制人应承担的法律义务,必须进行处理;要么
Truecaller没有提供此服务或收集数据的法律义务。
(d)为了保护数据主体的切身利益,有必要进行处理;要么
Truecaller不能保护您的切身利益,任何人都可以从您的电话号码中找到您的名字。确实,您对隐私(一项人权)的切身利益很可能会因此受到侵犯。
(e)为执行出于公共利益或行使控制人或披露数据的第三方的官方权力而执行的任务是必要的;要么
这种做法不符合公共利益,也没有官方权限进行处理。
(f)为了控制者或披露数据的第三方或第三方所追求的合法利益,有必要进行处理,除非这些利益被数据主体的基本权利和自由利益所取代根据第1条第(1)款获得保护。
第1条要求“保护自然人的基本权利和自由,尤其是其在处理个人数据方面的隐私权”。本条款不会帮助他们。
因此,我建议Truecaller没有法律许可来处理来自其服务非用户的任何个人数据。它从他人那里收集的数据不是他们的数据-显然是其他数据主体的个人数据。这些人(在我看来)对Truecaller提出了有效的法律主张。由于Truecaller的总部位于瑞典,而瑞典是欧盟的成员国,因此数据保护指令适用于它们。
要看到将这种功能集成到源自自定义固件的产品中,意在为用户提供选择和自由,那简直就是难以置信。随着Cyngn试图成为“反Google”,也许他们应该在将最新的#bigthing集成到他们的产品之前先看看吗?
也许是时候让Truecaller的欧洲受害者聚在一起,就这个问题进行测试了吗?在我看来,这很明显。Truecaller没有得到其处理数据的人员的同意。如果针对Truecaller的诉讼成功,那么考虑到他们的习惯(未经相关人员的同意)将您的联系数据“解放”到服务器上,以建立非Facebook用户的影子个人资料,那么像Facebook这样的公司将是下一个。鉴于我们已经知道Facebook一直在收集,整理和汇总有关非服务用户(他们不同意Facebook处理其数据的联系方式)的联系数据,也许他们在爱尔兰的存在应该打印出一份副本。数据保护指令并阅读?