| 15 февраля 2012 г. — 9:25 PT
Скандал с Path получил еще один неприятный поворот: представитель Демократической партии в Комитете Палаты представителей по энергетике и торговле Генри Ваксман и председатель подкомитета по торговле, производству и торговле Дж. К. Баттерфилд направили письмо генеральному директору Apple Тиму Куку (через The Next Web). В нем законодатели пытаются выяснить, достаточно ли делает Apple для защиты персональных данных на iPhone пользователей, включая их контакты. В частности, в письме утверждается, что были заявления о том, что сбор данных адресной книги без согласия пользователей является «обычной и приемлемой практикой среди разработчиков приложений для iOS».
Как следствие, утверждают законодатели, «Это ставит под сомнение, адекватно ли политики и практики Apple для разработчиков приложений iOS защищают конфиденциальность потребителей». Они хотят, чтобы Apple ответила на вопросы до 29 февраля. Apple просят подробно описать свои практики обзора App Store в отношении защиты информации пользователей. Как ни посмотри, трудно избежать мысли, что все на вашем iPhone готово к загрузке.
Как вы знаете, за исключением служб геолокации, iOS не запрашивает у пользователей подтверждения, когда приложения обращаются к API для доступа к личным данным, хранящимся в адресной книге iPhone, фотопленке, музыкальной библиотеке и других местах. Это также включает мелкие вещи, такие как геолокационная информация, встроенная в файлы изображений, сделанные на устройстве. Это беспокоит законодателей, и теперь они хотят знать, почему Apple не внедрила простой переключатель, позволяющий пользователям контролировать доступ к своим данным, кроме геолокации.
Вы встроили в свои устройства возможность полностью отключить передачу информации о местоположении или отключать ее для каждого приложения в отдельности. Пожалуйста, объясните, почему вы не сделали то же самое для информации из адресной книги.
Мы включили письмо целиком под чертой.
Законодатели стремятся выяснить, включают ли Руководства для разработчиков приложений iOS критерии, касающиеся конфиденциальности и безопасности данных, к которым приложение обращается или которые оно передает, и как именно Apple определяет, соответствуют ли сторонние программы iOS этим критериям. Они хотят знать, сколько приложений в App Store передает «данные о пользователе», какие данные Apple считает «данными о пользователе», и подходит ли под это определение данные адресной книги. Это еще не все. Законодатели допрашивают Кука, чтобы он раскрыл, сколько приложений iOS передают информацию из адресной книги и сколько из них запрашивают у пользователя согласие перед передачей информации их контактов. Несмотря на то, что генеральный директор Path принес извинения, удалил пользовательские данные со своих серверов и выпустил обновление Path, которое теперь предлагает согласие на хранение данных адресной книги на своих серверах, скандал все равно разразился. Другие разработчики приложений приняли это к сведению: создатель Instapaper Марк Армент выпустил обновление, которое теперь специально запрашивает разрешение пользователя при сопоставлении контактов.
Г-н Тим Кук
Главный исполнительный директор, Apple Inc.
1 Infinite Loop
Купертино, Калифорния 95014
Уважаемый г-н Кук:
На прошлой неделе независимый разработчик приложений для iOS Арун Тампм сообщил о своем открытии, что приложение для социальных сетей «Path» получало доступ и собирало содержимое его адресной книги iPhone без его согласия.[1] Информация, полученная без его разрешения — или разрешения отдельных контактов, которым принадлежит эта информация — включала полные имена, номера телефонов и адреса электронной почты.[2] После освещения открытия г-на Тампма в СМИ, соучредитель и генеральный директор Path Дэйв Морин быстро принес извинения, пообещал удалить с серверов Path все данные, взятые из адресных книг его пользователей, и объявил о выпуске новой версии Path, которая будет предлагать пользователям согласиться на передачу их контактов из адресной книги.[3]
Этот инцидент поднимает вопросы о том, не могут ли политики и практики Apple для разработчиков приложений iOS быть недостаточными, когда речь идет о защите информации пользователей iPhone и их контактов.
В разделе управления данными на вашем веб-сайте для разработчиков iOS указано: «iOS имеет обширную коллекцию инструментов и фреймворков для хранения, доступа и обмена данными… Приложения iOS даже имеют доступ к глобальным данным устройства, таким как контакты в Адресной книге и фотографии в Фотобиблиотеке».[4] В разделе руководств по обзору App Store указано: «Мы проверяем каждое приложение в App Store на основе набора технических критериев, критериев контента и дизайна. Эти критерии обзора теперь доступны вам в Руководствах по обзору App Store».[5] Этот же раздел указывает, что руководства доступны только зарегистрированным членам программы iOS Developer Program.[6] Однако, технологические блоги, освещающие скандал с Path, указывают, что Руководства для разработчиков приложений iOS требуют, чтобы приложения получали разрешение пользователя перед «передачей данных о пользователе».[7]
Несмотря на это руководство, поступили заявления о том, что «среди многих разработчиков приложений для iOS существует тихое согласие, что передача всей адресной книги пользователя без его разрешения на удаленные серверы с последующим хранением для справки является приемлемой. Это распространенная практика, и многие компании, вероятно, имеют вашу адресную книгу, хранящуюся в их базе данных».[8] Один блогер утверждает, что провел опрос разработчиков популярных приложений для iOS и обнаружил, что 13 из 15 имели «базу данных контактов с миллионами записей», причем одна компания утверждала, что имеет базу данных, содержащую «номер мобильного телефона Марка Цукерберга, домашний номер телефона Ларри Эллисона и номер мобильного телефона Билла Гейтса».[9]
Тот факт, что предыдущая версия Path смогла получить одобрение для распространения через Apple iTunes Store, несмотря на получение содержимого адресных книг пользователей без их разрешения, предполагает, что в этих заявлениях может быть доля правды. Чтобы более полно понять и оценить эти заявления, мы просим вас ответить на следующие вопросы:
– Пожалуйста, опишите все Руководства для разработчиков приложений iOS, которые касаются критериев конфиденциальности и безопасности данных, к которым приложение будет обращаться или которые оно будет передавать.
– Пожалуйста, опишите, как вы определяете, соответствует ли приложение этим критериям.
– Какие данные вы считаете «данными о пользователе», на которые распространяется требование получения согласия пользователя перед их передачей?
– В той мере, в какой это не освещено в ответе на вопрос 2, пожалуйста, опишите, как вы определяете, будет ли приложение передавать «данные о пользователе», и было ли выполнено требование о согласии.
– Сколько приложений iOS в американском iTunes Store передают «данные о пользователе»?
– Считаете ли вы содержимое адресной книги «данными о пользователе»?
– Считаете ли вы содержимое адресной книги данными контакта? Если нет, пожалуйста, объясните почему. Пожалуйста, объясните, как вы защищаете интересы конфиденциальности и безопасности этого контакта в отношении его или ее информации.
– Сколько приложений iOS в американском iTunes Store передают информацию из адресной книги? Сколько из них запрашивают у пользователя согласие перед передачей информации их контактов?
– Вы встроили в свои устройства возможность полностью отключить передачу информации о местоположении или отключать ее для каждого приложения в отдельности. Пожалуйста, объясните, почему вы не сделали то же самое для информации из адресной книги.
Пожалуйста, предоставьте запрошенную информацию не позднее 29 февраля 2012 года. Если у вас возникнут вопросы относительно этого запроса, вы можете связаться с Фелипе Мендоза из аппарата Комитета по энергетике и торговле по телефону 202-226-3400.
Искренне ваш,
Генри А. Ваксман, представитель Демократической партии
Дж.К. Баттерфилд, представитель Демократической партии
Подкомитет по торговле, производству и торговле