Max Home IndustryНесколько месяцев назад я получил презентацию для статьи — в этом нет ничего необычного, поскольку я журналист и получаю много презентаций, — но то, что оттолкнуло меня, так это то, что идея рассказа пришла в виде шквала сообщений в WhatsApp.
И я был удивлен, так как раньше ко мне через приложение для обмена сообщениями не подходил незнакомец.
Мне это показалось необычным и немного агрессивным, поэтому я спросил человека, отправившего сообщения, как они получили мой номер телефона.
Она сказала, что купила его, по ее словам, у компании RocketReach, которая на своем веб-сайте обещает пользователям «получать электронную почту и прямой набор для любого профессионала» через их сервис.
Я впервые услышал о том, что оказалось несколько непрозрачным, хотя и прибыльным миром контактных продаж.
Количество американских компаний, собирающих и монетизирующих персональные данные, растет.
Они утверждают, что он извлекается из общедоступных источников, таких как Twitter и LinkedIn, а также с корпоративных сайтов, средств массовой информации, а также с веб-сайтов людей и телефонных справочников.
Поэтому я подумал, что займусь парсингом самостоятельно, нашел в LinkedIn генерального директора RocketReach Скотта Кима и отправил ему сообщение.
Он немедленно согласился удалить мои личные данные, но выяснение того, как они вообще оказались там, превратилось в нечто вроде миссии.
Неудобные вопросы
Сначала мне сказали, что отследить источник невозможно, потому что мой номер телефона был удален.
Но Роберт Ромен из группы кампании по защите конфиденциальности Noyb сказал мне: «Вы не можете просто ответить человеку, чьи данные обрабатываются, сказав ему, что его данные были удалены, и сделать вид, что проблема исчезла».
И когда я сказал господину Киму, что собираюсь написать рассказ о моих попытках отследить цифровой след моего собственного телефонного номера, я получил несколько иной ответ на свои вопросы.
Ответ RocketReach был помечен как «Не для публикации», поэтому я не собираюсь цитировать его напрямую, но компания в основном заявила, что реконструировала мой профиль, и решила, что он, скорее всего, был получен через мой канал Twitter, через службу, которую она использует. называется Пипл.
Поэтому я немедленно связался с исполнительным директором Pipl Мэтью Герцем, который очень лаконично ответил: «Похоже, источником данных является Sync.me».
Sync.me — это общедоступная служба телефонных справочников, к которой я затем обратился через форму на ее веб-сайте.
«Ошибочно идентифицировано»
«Мы проверили наши записи, и ваши данные не отображаются в нашем сервисе», — ответил Sync.me.
«Мы могли ошибочно идентифицировать ваш номер в прошлом как номер телефона компании.
«Однако, поскольку мы применили правила GDPR [General Data Protection Regulation], мы удалили такие номера из нашего сервиса».
Я думаю, что тайна раскрыта, но менее ясно, было ли правомерно для RocketReach продавать мой номер телефона, особенно если он был получен из базы данных до GDPR.
«Возможная чувствительность»
RocketReach заявила, что стремится защищать конфиденциальность и обеспечивать безопасность данных, а также соблюдает свои обязательства по закону.
И Пипл сказал BBC News: «Мы уважаем ваше право и право других на неприкосновенность частной жизни.
«Информация была найдена в общедоступном источнике и, следовательно, не рассматривалась как частная информация.
«Несмотря на то, что как компания, не входящая в ЕС, GDPR не распространяется на нас, мы понимаем возможную конфиденциальность личной информации и разрешаем вам или кому-либо другому удалить информацию о себе».
Общие правила защиты данных — это крупный европейский законодательный акт, призванный вернуть контроль пользователям в эпоху, когда данные стали обычным товаром.
Подобные правила сейчас существуют в Британии после Брексита.
И они применимы в той же мере к данным, которые были собраны из общественного достояния.
«Недостаточно сказать, что данные являются общедоступными, — говорит г-н Ромен, — просто потому, что вы разместили свой номер телефона на веб-сайте, не означает, что вы готовы, чтобы кто-то очистил его и поместил в базу данных, чтобы быть продано.»
Шлейфовая цепочка
Рафи Азим-Хан, глава юридической фирмы Pillsbury по защите данных, согласен с этим.
«Даже если у компании« А »есть законные основания для обработки ваших личных данных, это не означает, что у компании« Б »или« В »есть такие же основания», — говорит он.
«Данные передаются последовательно, и каждый бизнес становится отдельным юридическим контролером в соответствии с законом.
«Если компания получила ваши данные и позволила другим связываться с вами способом, которым вы не хотели, чтобы с вами связывались, возникает вопрос — соответствует ли этот бизнес требованиям GDPR?»
Веб-скрапинг
Офис Комиссара по информации Великобритании предложил мне подать официальную жалобу, что я и сделал.
Между тем, в нем говорится: «В случае сопоставления данных и извлечения данных из Интернета закон о защите данных не запрещает вам обрабатывать общедоступные личные данные, но вы должны делать это в соответствии с законом.
«Например, если вы извлекаете общедоступные личные данные из профилей социальных сетей, вы становитесь их контролером.
«Поэтому вам необходимо обеспечить соблюдение требований к защите данных, включая наличие законных оснований для обработки и предоставления информации о конфиденциальности отдельным лицам».
«Немного смешно»
Американские компании должны иметь так называемого представителя по статье 27 в Европе, если они обрабатывают европейские данные, кого регулирующие органы могут решить в случае утечки данных или другой проблемы.
Но Пипл сказал BBC News, что у него его нет.
Орган по защите данных Люксембурга постановил, что жалоба Noyb на RocketReach и аналогичную компанию Apollo была необоснованной, отчасти потому, что у них не было этого контактного лица, поэтому дело не могло быть продолжено.
Консультант по защите данных Дайанн Хьюард-Миллс говорит, что это немного нелепая уловка-22.
«Они говорили, что мы не думаем, что то, что делают эти фирмы, правильно, но мы не можем действовать, потому что у них нет контакта», — говорит она.
По словам Хьюард-Миллс, компании часто имеют «законный деловой интерес» в использовании личных данных — но они должны уравновесить это с правами отдельных лиц, которые определенно имеют «право знать», как была получена информация.
Профессор права Ньюкаслского университета Лилиан Эдвардс говорит, что этот пример подчеркивает некоторые проблемы GDPR.
«Нет реального способа обеспечить соблюдение GDPR за пределами ЕС, будь то права на информацию или права на удаление», — говорит она.
«В США действительно работает уведомления о нарушении авторских прав, но ваш номер телефона не защищен авторскими правами.
«Это действительно указывает на различия между нашими системами».
Полученные деньги
Г-жа Хьюард-Миллс, однако, ожидает более оптимистичных действий.
«Сбор данных для профилирования человека — это то, над чем европейские регулирующие органы очень серьезно относятся», — говорит она.
«Определенно есть случай, чтобы ответить».
Что касается меня, я не чувствую себя мудрее, и мне также интересно, имею ли я право на часть денег, полученных от продажи моего номера телефона.
Но этот вопрос до сих пор остается без ответа RocketReach.