FTC zakaże Kochava sprzedaży precyzyjnych danych lokalizacyjnych Amerykanów

Wprowadzenie do problemu / definicja

Federalna Komisja Handlu USA (FTC) podjęła działania wobec brokera danych Kochava oraz jego spółki zależnej Collective Data Solutions w związku ze sprzedażą precyzyjnych danych geolokalizacyjnych użytkowników. Sprawa dotyczy jednego z kluczowych obszarów współczesnego cyberbezpieczeństwa i ochrony prywatności, czyli komercyjnego obrotu informacjami pozwalającymi śledzić przemieszczanie się osób na podstawie danych z urządzeń mobilnych.

W centrum zainteresowania regulatora znalazły się dane umożliwiające wykrywanie obecności użytkowników w miejscach szczególnie wrażliwych, takich jak placówki medyczne, miejsca kultu, schroniska czy ośrodki terapeutyczne. Tego typu informacje, nawet jeśli nie zawierają bezpośrednich danych osobowych, mogą prowadzić do szybkiej identyfikacji konkretnych osób oraz ich codziennych nawyków.

W skrócie

FTC zapowiedziała zakaz sprzedaży przez Kochava dokładnych danych lokalizacyjnych bez wyraźnej zgody użytkownika. Według regulatora firma miała gromadzić i udostępniać informacje umożliwiające analizę ruchu użytkowników do i z lokalizacji uznawanych za wyjątkowo wrażliwe.

• zakaz ma objąć sprzedaż precyzyjnych danych geolokalizacyjnych bez jednoznacznej zgody,
• firma ma zostać objęta dodatkowymi obowiązkami dotyczącymi retencji danych i kontroli zgód,
• regulator oczekuje wdrożenia mechanizmów raportowania nadużyć i obsługi żądań użytkowników,
• sprawa może stać się ważnym precedensem dla całego rynku brokerów danych.

Kontekst / historia

Spór pomiędzy FTC a Kochava rozpoczął się w sierpniu 2022 roku, kiedy amerykański regulator złożył pozew przeciwko spółce z Idaho. Zdaniem FTC model biznesowy firmy opierał się na agregacji i sprzedaży danych geolokalizacyjnych pochodzących z setek milionów urządzeń mobilnych, a klienci komercyjni mieli uzyskiwać do nich dostęp w modelu subskrypcyjnym.

Regulator argumentował, że konsumenci nie byli świadomi skali przetwarzania oraz dalszego obrotu informacjami o ich położeniu. Problem wykraczał przy tym poza reklamę i analitykę, ponieważ dane lokalizacyjne mogą być wykorzystywane do profilowania, ustalania relacji społecznych, mapowania rutyn oraz wyciągania wniosków o stanie zdrowia, przekonaniach religijnych czy sytuacji życiowej użytkowników.

Postępowanie wobec Kochava wpisuje się w szerszy trend wzmacniania nadzoru nad brokerami danych w USA. W ostatnich latach regulatorzy coraz wyraźniej wskazują, że masowy handel danymi lokalizacyjnymi stanowi podwyższone ryzyko zarówno dla prywatności obywateli, jak i dla bezpieczeństwa narodowego oraz bezpieczeństwa organizacji.

Analiza techniczna

Z technicznego punktu widzenia precyzyjne dane lokalizacyjne nie muszą zawierać imienia i nazwiska, aby umożliwiały identyfikację osoby. W praktyce wystarczy zestaw współrzędnych GPS, znaczników czasu oraz identyfikatorów reklamowych lub pseudonimowych identyfikatorów urządzeń, aby przypisać ścieżkę ruchu do konkretnego użytkownika z bardzo wysokim prawdopodobieństwem.

Jeżeli dane są pozyskiwane w dużej skali i z wysoką częstotliwością, możliwe staje się tworzenie szczegółowych profili behawioralnych. W takim modelu można:

• ustalić miejsce zamieszkania i pracy użytkownika,
• określić jego codzienne trasy i harmonogram aktywności,
• wykryć regularne wizyty w lokalizacjach wrażliwych,
• łączyć dane z innymi zbiorami komercyjnymi lub publicznymi w celu reidentyfikacji.

Według opisu sprawy dane oferowane przez Kochava miały obejmować surowe współrzędne geograficzne oraz bardzo duże wolumeny transakcji geolokalizacyjnych miesięcznie. Taki model dostarczania informacji znacząco obniża próg wejścia dla nabywców, którzy mogą następnie prowadzić własną analitykę, budować profile użytkowników lub wykorzystywać zbiory do dalszej odsprzedaży.

Istotne jest również to, że proponowane postanowienie FTC nie ogranicza się do zakazu sprzedaży danych. Obejmuje także wdrożenie programu zarządzania danymi lokalizacyjnymi, ocenę dostawców pod kątem ważności zgód użytkowników, procedury wycofywania zgody, mechanizmy ujawniania odbiorców danych oraz obowiązki operacyjne pozwalające na audyt i egzekwowanie zgodności.

Konsekwencje / ryzyko

Ryzyko związane z obrotem precyzyjnymi danymi lokalizacyjnymi ma charakter nie tylko prywatnościowy, ale również operacyjny i fizyczny. Dane tego typu mogą wspierać stalking, szantaż, dyskryminację, zaawansowany targeting socjotechniczny oraz przygotowanie działań przestępczych wobec konkretnych osób.

Dla organizacji zagrożenie jest równie poważne. Pracownicy firm, instytucji publicznych czy operatorów infrastruktury krytycznej mogą nieświadomie ujawniać wzorce obecności w biurach, centrach danych, placówkach medycznych albo lokalizacjach związanych z incydentami bezpieczeństwa. W efekcie dane mobilne stają się źródłem informacji wywiadowczych dla cyberprzestępców, firm analitycznych oraz podmiotów państwowych.

Sprawa Kochava pokazuje też, że klasyczne rozumienie anonimizacji jest niewystarczające w przypadku geolokalizacji. Nawet jeśli zbiór nie zawiera bezpośrednich identyfikatorów, jego wartość identyfikacyjna pozostaje bardzo wysoka po zestawieniu z innymi danymi. To oznacza, że organizacje kupujące lub przetwarzające informacje lokalizacyjne powinny traktować je jak dane szczególnie wrażliwe.

Rekomendacje

Przypadek Kochava powinien skłonić organizacje do przeglądu praktyk związanych z pozyskiwaniem, przetwarzaniem i udostępnianiem danych mobilnych. Dotyczy to zarówno działów bezpieczeństwa, jak i zespołów odpowiedzialnych za zgodność, marketing, analitykę oraz zarządzanie dostawcami.

• przeprowadzić inwentaryzację wszystkich źródeł danych lokalizacyjnych wykorzystywanych w organizacji,
• zweryfikować podstawy prawne przetwarzania oraz sposób uzyskiwania zgody użytkownika,
• ograniczyć precyzję i czas retencji danych do absolutnego minimum biznesowego,
• wdrożyć klasyfikację lokalizacji wrażliwych i blokady ich przetwarzania tam, gdzie nie jest to konieczne,
• ocenić ryzyko reidentyfikacji przy łączeniu geolokalizacji z innymi zbiorami danych,
• zapewnić pełną widoczność przepływów danych do partnerów, pośredników i dostawców zewnętrznych,
• przygotować procedury obsługi żądań dostępu, wycofania zgody i usunięcia danych,
• wymagać od dostawców dowodów zgodności, wyników audytów oraz mechanizmów raportowania nadużyć.

Z perspektywy defensywnej warto również przeanalizować, czy aplikacje mobilne wykorzystywane w organizacji nie przekazują nadmiarowych danych lokalizacyjnych do zewnętrznych SDK, sieci reklamowych lub partnerów analitycznych. To właśnie na tym etapie często rozpoczyna się łańcuch masowego profilowania użytkowników.

Podsumowanie

Działania FTC wobec Kochava stanowią istotny sygnał dla rynku brokerów danych i wszystkich podmiotów przetwarzających geolokalizację na dużą skalę. Sprawa potwierdza, że precyzyjne dane o położeniu należy traktować jako zasób wysokiego ryzyka, którego komercyjna dystrybucja bez jednoznacznej zgody użytkownika może prowadzić do realnych szkód prywatnościowych i bezpieczeństwa.

Dla branży cyberbezpieczeństwa to kolejny dowód na to, że granica między ochroną danych, bezpieczeństwem aplikacji mobilnych oraz zarządzaniem ryzykiem stron trzecich praktycznie przestała istnieć. Kontrola nad łańcuchem pozyskiwania i udostępniania danych lokalizacyjnych staje się dziś nie tylko wymogiem regulacyjnym, ale także podstawowym elementem dojrzałej strategii bezpieczeństwa.

Źródła

1. FTC to ban data broker Kochava from selling Americans’ location data — https://www.bleepingcomputer.com/news/security/ftc-to-ban-data-broker-kochava-from-selling-americans-location-data/
2. FTC complaint against Kochava, Inc. — https://www.ftc.gov/system/files/ftc_gov/pdf/ko.pdf
3. Kochava, Inc., a corporation, also doing business as Kochava Collective — https://www.ftc.gov/legal-library/browse/cases-proceedings/kochava-inc-matter