Rastrear ou tratar? O rastreamento de localização de InMobi ignorou as configurações de privacidade dos consumidores

Acontece que as pessoas imobiliárias estão bem o tempo todo. Um acordo com InMobiUma das maiores redes de anúncios para celular do mundo, sugere que, para os consumidores, é realmente sobre localização, localização, localização – ou pelo menos honrar as preferências de privacidade de localização dos consumidores e não rastreá -las sem permissão. O caso é a primeira ação da FTC contra o operador de uma rede de anúncios para celular. Além disso, inclui uma contagem interessante da COPPA, porque entre as pessoas cujos dados de localização coletados pela empresa eram crianças usando aplicativos direcionados a crianças.

A InMobi oferece uma plataforma de publicidade para desenvolvedores de aplicativos e anunciantes. Ao usar o Kit de Desenvolvimento de Software (SDK) da InMobi, os desenvolvedores podem vender espaço para anúncios em seus aplicativos. Os anunciantes, por sua vez, podem atingir os consumidores que usam qualquer um dos aplicativos que possuem o SDK da InMobi. A InMobi se conta com a “maior empresa independente de publicidade móvel independente do mundo” com uma rede que atingiu mais de um bilhão de dispositivos móveis exclusivos e atende a 6 bilhões de solicitações de anúncios por dia.

Obviamente, os anunciantes querem segmentar pessoas com maior probabilidade de comprar seus produtos e a geolocalização é um ponto de dados essencial. (Imagine, por exemplo, um traficante de carros de luxo que deseja atingir apenas pessoas que moram nos bairros mais elegantes da cidade e estão visitando revendedores de automóveis ultimamente.) Portanto, a InMobi ofereceu produtos anunciantes chamados “suítes geo-alvo” que poderiam fornecer dados sobre os locais dos consumidores. As opções variaram de “Onde eles estão agora?” Para “Onde eles estiveram nos últimos dois meses?”

Vamos mudar para o lado do consumidor da equação. Os sistemas operacionais Android e iOS possuem interfaces de programação de aplicativos (APIs) que fornecem aos aplicativos o local atual de um consumidor. Mas, para acessar esses dados, ambos os sistemas exigem que os desenvolvedores obtenham o consentimento do consumidor por meio de permissões. Os consumidores podem se recusar a permitir que um determinado aplicativo obtenha suas informações de localização ou pode usar as configurações do Android e do iOS para invocar uma regra geral que rejeita as solicitações de localização.

Você provavelmente adivinhou o problema irresistível da força que se encontra com o objeto imóvel, quando o SDK que recebe a localização da InMobi enfrentou a escolha de um consumidor de não compartilhar informações de geolocalização. Esse é a gênese do caso da FTC.

De acordo com o reclamaçãoMesmo que um consumidor tivesse negado o acesso à API de localização em seu dispositivo-na verdade, dizendo a um aplicativo “Não, você não pode ter esses dados”-até dezembro de 2015, quando a FTC veio chamando, a InMobi ainda rastreia a localização da pessoa e, em muitos casos, servia anúncios geo-direcionados. Como o InMobi conseguiu isso? A empresa coletou informações sobre as redes Wi -Fi a que o dispositivo estava conectado ou que estava próximo e trabalhou para trás para determinar a localização do consumidor.

A denúncia explica em detalhes como a InMobi evitou a escolha do consumidor, mas tudo se resume a isso. Dependendo do sistema operacional, a InMobi pegou informações de rede – por exemplo, o Essid (nome da rede), o BSSID (um identificador exclusivo) e a força do sinal – de cada rede Wi -Fi que o dispositivo de um consumidor se conectava ou estava próximo. Portanto, mesmo quando um consumidor negou o acesso à API de localização, a InMobi ainda poderia monitorar suas conexões de rede Wi -Fi para rastrear seus movimentos. Pronto! A geolocalização de um consumidor-seguida de anúncios direcionados à localização.

O liquidação proposta Oferece vários pontos de viagem para os membros do setor. Enquanto a FTC processa principalmente empresas por reivindicações enganosas feitas aos consumidores, o caso contra a InMobi demonstra que as empresas também podem ser responsabilizadas por declarações enganosas feitas a outros negócios quando essas deturpações afetam os consumidores. Nesse caso, as declarações enganosas estavam no Guia para desenvolvedores de aplicativos da InMobi. InMobi disse que rastreou a localização de um consumidor e serviu anúncios geo-alvo apenas se o desenvolvedor de aplicativos fornecesse acesso à API de localização e O consumidor deu um consentimento de opção. Mas, usando o método WiFi que acabamos de descrever, a InMobi também rastreou secretamente o local sem permissão. Como a InMobi não foi honesta sobre como seu software funcionou, os desenvolvedores de aplicativos não conseguiram fornecer aos consumidores informações precisas sobre se e como eles seriam rastreados. Os consumidores, por sua vez, não tinham fatos que teriam sido materiais para a decisão de instalar ou usar um aplicativo.

O ângulo da Coppa também merece atenção. À primeira vista, a política de privacidade da InMobi soou todas as observações certas da conformidade da COPPA – por exemplo, “não coletamos conscientemente nenhuma informação pessoal sobre crianças com menos de 13 anos”. Além disso, a empresa incluiu detalhes sobre como homenagear as alterações de 2013, que estendeu a responsabilidade para incluir redes de anúncios que sabem que estão coletando informações pessoais de aplicativos ou sites dirigidos por crianças: “ prescreve. ”

Após as emendas da COPPA de 2013, a InMobi introduziu uma opção em seu processo de registro em que os desenvolvedores de aplicativos pudessem verificar uma caixa para indicar que o aplicativo foi direcionado para crianças: “Minha propriedade é especificamente direcionada a crianças menores de 13 anos e/ou eu tenho conhecimento real de que é conhecido por ter menos de 13 anos.” Desde então, milhares de desenvolvedores de aplicativos que usam o INMOBI SDK verificaram essa caixa.

O problema é que, para os aplicativos infantis, a InMobi usou o mesmo método clandestino para determinar a geolocalização usada em outros aplicativos. Não apenas isso, mas a empresa também coletou informações de localização diretamente da API de localização, quando disponível. A InMobi combinou todas as informações de localização com o identificador exclusivo do dispositivo e serviu publicidade comportamental dentro desses aplicativos dirigidos para crianças-tudo sem consentimento dos pais. O resultado? Centenas de milhões de consumidores baixaram milhares de aplicativos direcionados para crianças, dos quais a InMobi coletou e usaram informações pessoais, violando a COPPA. De acordo com a FTC, a InMobi coletava os dados toda vez que um aplicativo fazia uma solicitação à sua rede – normalmente a cada 30 segundos quando um aplicativo estava em uso.

A denúncia alega que a InMobi fez alegações falsas e enganosas sobre suas práticas de direcionamento geográfico, violando a Lei da FTC. Além disso, a FTC diz que a InMobi violou várias disposições da COPPA.

O acordo inclui uma penalidade civil de US $ 4 milhões por violações da Coppa, que é parcialmente suspensa com base na condição financeira de InMobi, e proíbe deturpações relacionadas às práticas de privacidade da InMobi. A ordem estipulada proposta também exige que a empresa homenageie as preferências de privacidade de localização dos consumidores e estabeleça um programa abrangente de privacidade sujeito a auditorias bienais independentes nos próximos 20 anos.

Visite o Portal de Privacidade e Segurança do Centro de Negócios para obter recursos de conformidade.