Reklambranschen hotar våra rättigheter

När vi använder internet och våra mobiler blir vi konstant spårade och övervakade på olika vis. Ofta är syftet att kunna profilera oss och sälja möjligheten att rikta reklam eller andra budskap.

Norska konsumentverket är aktivt inom det digitala området och har i en ny granskning gått igenom hur denna övervakning fungerar i flera populära appar.

10 stycken analyserade högprofilerade appar (bland annat dejtingappar och menscykelappar) skickade vidare information om sina användare till 135 olika reklam- och profileringsföretag.

Piratpartiet har länge pekat på faran hos inte bara statlig övervakning, utan även den här typen av opak, påträngande övervakning från privata aktörer.

Vilken information samlas in?

De olika apparna samlade in lite olika information. Den som är nyfiken på exakt vad kan läsa granskningen i sin helhet. Genomgående handlar det om uppgifter som IP-adress, GPS-koordinater, kön, ålder och beteendemönster. Bland apparna är det värt att peka ut OkCupid som en av de värsta aktörerna – de sålde vidare information om sexualitet, politiska åsikter och mycket annat.

Utifrån dessa uppgifter dras sedan slutsatser om bland annat sexuell läggning, religiös tro och liknande, som säljs vidare på marknaden.

Vad är Big Techs roll i skeendet?

De stora teknikföretagen Google, Facebook och Twitter agerar som olika former av mellanhänder. Genom Android Advertising ID (som klumpas ihop med bland annnat GPS-koordinater) hjälper Google företag att spåra människor över flera olika appar och tjänster. Facebook är inbäddat i de flesta apparna som analyserades och Twitter medierar informationsflödena för de flesta apparna.

Övervakningen av människor sker alltså ofta i tre faser: olika appar samlar in informationen och förmedlar den sedan till reklam- och profileringsföretag med hjälp av Big Tech.

Vad är faran med övervakningen?

Eftersom majoriteten av människor inte vill övervakas på detta sättet men inte upplever att de har något alternativ tränas de till en känsla av maktlöshet i den digitala miljön. Det leder till att större övergrepp kan accepteras enklare i framtiden. När färre än 0,1% av personer aktivt väljer att övervakas när de erbjuds ett öppet val och det ändå är så att övervakningen är konstant; då vet vi att något är fel.

De profiler som skapas och säljs med hjälp av den insamlade informationen används för att rikta reklam, men blir också verktyg för diskriminering (prishöjningar, exkludering från tjänster), manipulering, bedrägerier och utnyttjande.

De övervakade personerna har ingen möjlighet att granska vem som tagit del av informationen och vad den använts till. Ett bra exempel på hur detta ser ut hämtas från Indien förra året. Personer laddade ner en musikapp. Appen samlade in information om kontaktlistor, GPS-koordinater med mera och skickade sedan vidare informationen till ett finansföretag, som använde den för att avgöra låneansökningar.

Övervakning leder till ett tystare samhälle där människor självcensurerar avvikande åsikter och tankar. Därför hotas yttrande- och åsiktsfriheten av övervakning. Dessutom undviker människor att söka information som de misstänker kan uppfattas på ett felaktigt sätt ifall de vet att de övervakas.

Amnesty konstaterade i en rapport 2019 att den här typen av övervakning är ett direkt och allvarligt hot mot flera mänskliga rättigheter. I de allvarligaste fallen kan det handla om livsfara. I vissa länder har förföljelser av homosexuella utgått från information från appen Grindr.

Vad säger GDPR om detta?

GDPR reglerar vilka aktörer som får hantera personuppgifter, under vilka omständigheter och på vilket sätt. Eftersom samtycke till denna informationsdelning saknas verkar det tydligt att GDPR gör denna vanliga praktik inom reklambranschen och app-ekosystemet till ett systematiskt olagligt intrång i våra rättigheter. Det finns dessutom inget enkelt sätt att välja bort denna övervakning, vilket också är ett krav i GDPR.

Vad borde göras?

För det första behöver GDPR upprätthållas i praktiken. På vissa håll i Europa har medlemsländer aktivt försökte undergräva lagen och på andra håll har man helt enkelt sett till att tillsynsmyndigheterna inte har resurser nog att göra det. I Sverige saknar Datainspektionen de resurser som behövs för att se till att GDPR inte bara är en papperstiger.

För det andra behöver GDPR kompletteras med en stark ePrivacy-förordning, en lagstiftning som i flera år nu blockerats av EUs medlemsländer i ministerrådet.

För det tredje kan det vara aktuellt att införa en möjlighet för privatpersoner att stämma de aktörer som olagligen övervakar dem. Det kan fungera som ett sätt att kringgå regulatory capture av tillsynsmyndigheter och deras bristande resurser.

Läs mer hos EDRi, EFF, och Norska Konsumentverket.