1 पॉइंट द्वारा GN⁺ 2023-09-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने कहा कि बच्चों के अकाउंट्स को संभालने के TikTok के तरीके ने EU GDPR का उल्लंघन किया, और उस पर 34.5 करोड़ यूरो का जुर्माना लगाया
  • 13–17 वर्ष के अकाउंट्स साइन-अप प्रक्रिया के दौरान डिफॉल्ट रूप से public setting पर रखे जाते थे, और बच्चों को पर्याप्त रूप से पारदर्शी जानकारी नहीं दी गई — यही मुख्य विवाद रहा
  • “family pairing” में यह सत्यापित नहीं किया गया कि अकाउंट नियंत्रित करने वाला वयस्क वास्तव में माता-पिता या अभिभावक है या नहीं, जिससे 16 वर्ष या उससे अधिक उम्र के यूज़र्स की direct message सेटिंग भी खोली जा सकती थी
  • DPC का मानना था कि 13 वर्ष से कम उम्र के यूज़र्स के प्लेटफ़ॉर्म पर आने और public setting में आ जाने के जोखिम को TikTok ने पर्याप्त रूप से नहीं आंका, लेकिन age verification method को उसने अपने आप में GDPR उल्लंघन नहीं माना
  • TikTok ने जवाब में कहा कि जांच 31 जुलाई 2020 से 31 दिसंबर 2020 के बीच की सेटिंग्स पर केंद्रित थी, और 2021 से 13–15 वर्ष के अकाउंट्स को डिफॉल्ट private करने सहित समस्याएं पहले ही ठीक कर दी गई थीं

34.5 करोड़ यूरो के जुर्माने का आधार

  • TikTok पर बच्चों के अकाउंट्स के प्रबंधन से जुड़े EU डेटा संरक्षण कानून के उल्लंघन के कारण 34.5 करोड़ यूरो, यानी लगभग 29.6 करोड़ पाउंड का जुर्माना लगाया गया
  • EU में TikTok के नियमन की जिम्मेदारी संभालने वाले आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने माना कि TikTok ने GDPR नियमों का कई बार उल्लंघन किया
  • मुख्य बात यह थी कि वह नाबालिग यूज़र्स के कंटेंट को सार्वजनिक रूप से उजागर होने से पर्याप्त रूप से सुरक्षित नहीं रख सका

डिफॉल्ट public setting से बना एक्सपोज़र का जोखिम

  • DPC का कहना है कि 13–17 वर्ष के यूज़र्स को साइन-अप के दौरान अकाउंट डिफॉल्ट public पर सेट होने की ओर ले जाया गया
    • public अकाउंट में कोई भी अकाउंट का कंटेंट देख सकता है या उस पर टिप्पणी कर सकता है
    • आयोग का निष्कर्ष था कि इस सेटिंग के कारण कोई भी यूज़र द्वारा पोस्ट किया गया social media कंटेंट देख सकता था
  • TikTok की न्यूनतम उपयोग आयु 13 वर्ष है
  • यह भी कहा गया कि 13 वर्ष से कम उम्र के यूज़र्स के प्लेटफ़ॉर्म तक पहुंचने पर उनके public setting में आ जाने के जोखिम पर पर्याप्त विचार नहीं किया गया

पारदर्शिता की कमी और family pairing की समस्या

  • बच्चों को पारदर्शी जानकारी पर्याप्त मात्रा में न देना भी GDPR उल्लंघन में शामिल था
  • “family pairing” वयस्कों को बच्चों के अकाउंट की सेटिंग नियंत्रित करने देता है, लेकिन यह सत्यापित नहीं किया गया कि जुड़ा हुआ वयस्क वास्तव में माता-पिता या अभिभावक है या नहीं
  • इस सेटिंग के जरिए बच्चों के अकाउंट तक पहुंच रखने वाला वयस्क, 16 वर्ष या उससे अधिक उम्र के यूज़र्स के लिए direct message फीचर सक्रिय कर सकता था

Duet·Stitch और age verification पर फैसला

  • Duet और Stitch ऐसे फीचर हैं जो यूज़र्स को अन्य TikTok यूज़र्स के साथ कंटेंट जोड़ने की सुविधा देते हैं
  • DPC ने कहा कि ये फीचर 17 वर्ष से कम उम्र के यूज़र्स के लिए डिफॉल्ट रूप से enabled थे
  • हालांकि, TikTok के age verification method को अपने आप में GDPR उल्लंघन नहीं माना गया

UK कार्रवाई के बाद बढ़ा अतिरिक्त नियामकीय दबाव

  • यह फैसला TikTok पर अप्रैल 2023 में UK के डेटा नियामक द्वारा 1.27 करोड़ पाउंड का जुर्माना लगाए जाने के बाद आया
    • UK नियामक ने माना था कि TikTok ने माता-पिता की सहमति के बिना प्लेटफ़ॉर्म इस्तेमाल करने वाले 13 वर्ष से कम उम्र के 14 लाख बच्चों का डेटा अवैध रूप से प्रोसेस किया
    • उस समय Information Commissioner का कहना था कि TikTok ने यह जांचने के लिए “लगभग कुछ भी नहीं किया” कि प्लेटफ़ॉर्म का उपयोग कौन कर रहा है
  • TikTok ने कहा कि यह जांच 31 जुलाई 2020 से 31 दिसंबर 2020 के बीच की privacy settings पर केंद्रित थी, और उठाए गए मुद्दों का समाधान कर दिया गया है
  • 2021 से मौजूदा और नए 13–15 वर्ष के अकाउंट्स डिफॉल्ट रूप से private पर सेट किए गए
    • private अकाउंट में केवल वे लोग कंटेंट देख सकते हैं जिन्हें यूज़र ने मंजूरी दी हो
  • TikTok ने कहा कि वह जुर्माने की राशि और फैसले से सहमत नहीं है, और DPC की आलोचना तीन साल पुराने फीचर्स और सेटिंग्स पर केंद्रित है
  • कंपनी का यह भी कहना है कि जांच शुरू होने से पहले ही 16 वर्ष से कम उम्र के अकाउंट्स को डिफॉल्ट private करने वाला बदलाव किया जा चुका था

European Data Protection Board का हस्तक्षेप

  • DPC ने स्वीकार किया कि फैसले के कुछ हिस्सों में उसकी स्थिति European Data Protection Board की वजह से बदल गई
  • इसके परिणामस्वरूप उसे जर्मन नियामक द्वारा प्रस्तावित निष्कर्ष को शामिल करना पड़ा
  • उस निष्कर्ष में कहा गया कि यूज़र्स को किसी खास व्यवहार या विकल्प की ओर धकेलने वाले भ्रामक वेबसाइट या ऐप डिज़ाइन, यानी dark patterns, GDPR के निष्पक्ष डेटा प्रोसेसिंग संबंधी प्रावधानों का उल्लंघन करते हैं

1 टिप्पणियां

 
GN⁺ 2023-09-17
Hacker News की रायें
  • “Family Pairing” फीचर में बच्चे के account settings को नियंत्रित करने वाला वयस्क सच में माता-पिता या अभिभावक है या नहीं, यह verify नहीं किया गया—लेकिन मुझे समझ नहीं आता कि TikTok को parent status ठीक-ठीक कैसे verify करना चाहिए
    क्या दूसरी tech कंपनियों से भी parent verification की मांग की जाती है? इस वजह से fine खाने वाली जगह सिर्फ TikTok ही लगती है

  • ऐसे precedents पर ताली बजाते-बजाते शायद हम उस रास्ते पर पहुंच जाएंगे जहां popular websites इस्तेमाल करने के लिए सरकारी ID और remote attestation चाहिए होगी

    • शायद अब anonymity कम करनी पड़े
      90s से यह विचार रहा है कि anonymous internet और signal amplification का कुल असर सकारात्मक है, लेकिन यह बात धीरे-धीरे कम सही साबित हो रही है
      अगर आप anonymous होकर self-publish करना चाहते हैं तो कर सकते हैं, लेकिन पांच बड़े platforms में से किसी एक को इस्तेमाल करने का अधिकार भी guaranteed नहीं है
      अगर इससे बड़े platforms टूटते हैं, तो मैं उसे भी net positive मानता हूं
    • राज्य ने इसी तरीके से मेरी porn habits सुधार दीं
    • क्या आपने article पढ़ा? यह “हमें उम्र पता नहीं थी” वाला मामला नहीं है, बल्कि accounts में नाबालिग की जन्मतिथि सेट थी
  • हाल ही में TikTok इस्तेमाल करना शुरू किया, और live stream के लिए 1000 followers और 18+ उम्र की जरूरत बताई जाती है, लेकिन असल में मैंने बहुत बच्चों को live करते देखा
    मैं सोच रहा था कि वे अपने ही rules enforce क्यों नहीं करते। शायद streamers बहुत ज्यादा हैं, लेकिन dedicated staff का एक व्यक्ति भी live कर रहे teens या बच्चों को आसानी से ढूंढ सकता है
    इसलिए यह फैसला समय पर आया है
    हालांकि सवाल है कि 13–18 साल के लोगों को streaming से ban क्यों किया जाना चाहिए। अगर वजह “छिपे हुए perverts” हैं, तो वही logic chat control पर लागू नहीं होता, फिर यहां ही क्यों लागू हो? TikTok पर sexual content allowed नहीं है, और bikini पहनी महिलाएं दिख सकती हैं, लेकिन real public beaches पर तो toplessness तक दिख सकती है। और क्या वजह है?

    • 13–18 साल वालों को streaming से ban क्यों होना चाहिए? क्योंकि खासकर बड़े audience के साथ parasocial relationships वयस्कों पर भी अजीब असर डालते हैं
    • एक तरफ beach पर topless महिला को देखने की बात है, और दूसरी तरफ anonymous अजनबी बच्चों को sexual performance के करीब जाने के लिए reward कर रहे हैं
    • बच्चे बहुत vulnerable होते हैं, और ऐसी चीजों का psyche पर नुकसानदेह असर पड़ता है
  • अच्छी शुरुआत है, लेकिन सोच रहा हूं कि EU data law को international कंपनियों के बजाय European कंपनियों पर भी बड़े पैमाने पर enforce करना कब शुरू होगा

    • European कंपनियों पर भी enforce होता है। बस वे Big Tech नहीं हैं, इसलिए HN headline में नहीं आतीं और यहां उनके बारे में बहुत कम लोगों ने सुना होगा
      EU कंपनियां GDPR से पहले से ही data protection को ज्यादा सावधानी और गंभीरता से लेती रही हैं, इसलिए serious violators मिलना भी दुर्लभ है
    • असल में कुछ हद तक enforcement हो रही है, लेकिन ज्यादातर EU कंपनियां शुरुआत से ही service चलाने के लिए जरूरी सीमा से ज्यादा बहुत कम data collect करती हैं, इसलिए बच जाती हैं
      कम से कम जब मैं EU services से deal करता हूं, तो privacy policy A4 के कुछ pages में फिट हो जाती है, महत्वपूर्ण बातें शुरुआत में होती हैं, और आसानी से समझ आने वाली भाषा में लिखी होती हैं। Banks तक यह नहीं छिपाते कि वे क्या collect करते हैं और क्यों collect करते हैं
      इसके उलट foreign कंपनियां समझना मुश्किल हो इतना विशाल privacy policy रखने पर जोर देती हैं और उससे कानून से बचने की कोशिश करती हैं। उदाहरण के लिए Google का privacy page लगभग एक विशाल single page जैसा है जो बार-बार कहता है कि “Google आपके बारे में जानकारी collect कर सकता है”, data किस काम आता है यह अस्पष्ट रहता है, और details के लिए दूसरी pages पर बहुत निर्भर करता है। average person संभवतः पहले ही flow खो चुका होगा
      आखिरकार foreign कंपनियां सोचती हैं कि वे कानून तोड़कर भी बच सकती हैं, और data कैसे इस्तेमाल होता है इसे track करना मुश्किल बनाती हैं। European कंपनियां आम तौर पर सच में कानून follow करती हैं, इसलिए major precedents foreign tech giants के खिलाफ आते हैं
    • कई European कंपनियों पर भी fines लगे हैं
      बस generally European कंपनियों ने इसे multinationals की तुलना में कहीं ज्यादा गंभीरता से लिया। कभी-कभी हद से ज्यादा भी, और आजकल थोड़ा कम हुआ है, लेकिन compliance के लिए जरूरी है ऐसा गलत मानकर data से जुड़ी बेतुकी policies enforce करने वाली कंपनियां कभी-कभी दिख जाती हैं
    • आखिर इसकी खास जरूरत क्यों हो? European कंपनियों के पहले से ही कानून मानने की संभावना ज्यादा है, और वे कानून को मोड़ने या ignore करने में कम aggressive होती हैं। अक्सर इसलिए कि वहां काम करने वाले लोग कानून को ज्यादा अच्छी तरह समझते और उस पर ज्यादा focus करते हैं
      उलट, European कंपनियां आम तौर पर छोटी होती हैं, इसलिए fines भी कम होते हैं, और इसलिए headlines में कम आती हैं। यही वजह है कि European कंपनियों पर fines अभी भी होते हुए भी हम उनके बारे में अक्सर नहीं सुनते। सच कहें तो हम आमतौर पर सिर्फ बहुत बड़े penalties के बारे में सुनते हैं
    • खुद देख लें: https://www.enforcementtracker.com/
  • single country ruling के हिसाब से fine काफी बड़ा है। annual revenue का लगभग 2.6%, यानी करीब 10 दिनों जितना

    • fine पूरे EU के लिए है, बस TikTok का headquarters Ireland में है इसलिए Irish authority ने इसे handle किया
    • article के मुताबिक Irish agency पूरे EU की ओर से enforce कर रही है। मुझे लगता है यह वही one-stop shop तरीका है जिसे बड़ी foreign कंपनियां और Twitter हर member state में अलग-अलग fine लगने से बचने के लिए इस्तेमाल करते हैं। इसमें ज्यादा करीबी supervision भी शामिल लगता है
      मैं जानबूझकर X Corp नहीं, Twitter कह रहा हूं, क्योंकि Musk ने अपने कुख्यात फैसले में Twitter Ireland में compliance संभालने वाले सभी लोगों को निकाल दिया था। लगता है requirements में यह भी था कि हर feature launch को Ireland team से review कराया जाए ताकि EU data law violation न हो, लेकिन Musk ने leveraged buyout के बाद जो changes किए उनमें से किसी के लिए ऐसा नहीं किया
  • आखिर कब armchair CEOs “lol x तो y revenue के मुकाबले कुछ भी नहीं” जैसी बातें करना बंद करेंगे? क्या 345 million euros पेड़ों पर उगते हैं?

    • इस साल revenue 13.2 billion dollars होने का अनुमान है
  • fine के साथ-साथ उन्हें कुछ महीनों के लिए penalty box में डालना चाहिए। जैसे एक तय अवधि तक उस jurisdiction में business न करने देना

  • ban के बजाय starting fine के रूप में यह अच्छी शुरुआत है, और मैं लगातार इसी तरह की मांग करता आया हूं
    अगर user privacy violations दोहराए जाते हैं, तो fines को billions of dollars तक बढ़ाना चाहिए। Facebook में भी precedent था
    बड़ी कंपनियों के पास ऐसा करके बच निकलने का कोई excuse नहीं है, और सैकड़ों millions से ज्यादा users वाली हर social media company अगर TikTok की तरह user privacy violate करे तो fine लगना चाहिए। अब कोई exceptions या बहाने नहीं होने चाहिए
    आखिर TikTok भी जब अपने users की privacy खराब करता है तो Meta से अलग नहीं है

  • कुल scale में देखें तो यह बहुत बड़ी रकम नहीं लगती। अपेक्षाकृत भारी fine भी ठीक होता, हालांकि हो सकता है मुझे सारी details न पता हों

    • सहमत। उस scale पर fine business cost जैसी tax है
      legal fight खत्म होते-होते इसके बहुत छोटी रकम में कम हो जाने की संभावना भी बड़ी लगती है
  • वह पैसा जाता कहां है?

    • धत्त। बस एक साधारण सवाल था, और अब तक तीन contradicting answers आ चुके हैं। “general government budget”, “fine लगाने वाला country”, “EU budget” कहा गया
      अगर जवाब नहीं पता, तो काल्पनिक बात बनाकर fact की तरह नहीं कहनी चाहिए
    • fine लगाने वाले country को जाता है। पहले Meta के लिए Ireland, Amazon के लिए Luxembourg था
    • मैं भी जानना चाहता हूं। ऐसे fines आखिर जाते कहां हैं?
    • general government budget में जाता है
    • EU budget में जाता है https://en.wikipedia.org/wiki/Budget_of_the_European_Union