- FTC स्टाफ रिपोर्ट के अनुसार प्रमुख social media और video streaming services ने personal data से कमाई करने के लिए उपभोक्ताओं पर व्यापक निगरानी की, और बच्चों व किशोरों की सुरक्षा के उपाय भी अपर्याप्त थे
- यह जांच दिसंबर 2020 में FTC द्वारा 9 कंपनियों को भेजे गए 6(b) orders के जवाबों पर आधारित है, और इसमें Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit, WhatsApp शामिल हैं
- जांच के दायरे में आई कंपनियां users, non-users और data brokers से मिली जानकारी तक एकत्र और सुरक्षित रख सकती थीं, और data minimization, retention, deletion practices को बेहद अपर्याप्त माना गया
- कई कंपनियों का business model targeted advertising पर केंद्रित था, जिससे बड़े पैमाने पर data collection को बढ़ावा मिला; pixel जैसी tracking technologies और automated systems व AI में data इस्तेमाल हुआ, लेकिन users के पास opt-out का लगभग कोई विकल्प नहीं था
- FTC स्टाफ रिपोर्ट ने federal privacy law, data minimization व retention policies, sensitive information tracking पर सीमाएं, automated systems की transparency व validation को मजबूत करने, और COPPA को न्यूनतम मानक मानते हुए बच्चों व किशोरों की सुरक्षा बढ़ाने की सिफारिश की
जांच के लक्ष्य और रिपोर्ट का दायरा
- FTC स्टाफ रिपोर्ट ने प्रमुख social media और video streaming services की data collection और usage practices की जांच की
- स्टाफ रिपोर्ट दिसंबर 2020 में जारी 6(b) orders पर 9 कंपनियों के जवाबों पर आधारित है
- जांच में शामिल 9 कंपनियां और services इस प्रकार हैं
- Amazon.com, Inc.: gaming platform Twitch की मालिक
- Facebook, Inc.: अब Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: अब X Corp.
- Snap Inc.
- ByteDance Ltd.: video sharing platform TikTok की मालिक
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- FTC orders ने यह परखा कि कंपनियां personal information और demographic information को कैसे संभालती हैं
- personal information और demographic information का collection, tracking, usage
- उपभोक्ताओं को ads और content दिखाने के तरीके
- personal/demographic information पर algorithms या data analysis लागू किया जाता है या नहीं, और कैसे
- इन practices का बच्चों और किशोरों पर प्रभाव
data collection और retention practices की समस्याएं
- जांच में शामिल कंपनियों ने उपभोक्ताओं का personal data बड़े पैमाने पर इकट्ठा किया और उससे हर साल अरबों डॉलर की कमाई की
- FTC Chair Lina M. Khan ने कहा कि ऐसी surveillance practices privacy को खतरे में डालती हैं और identity theft से लेकर stalking तक कई तरह के नुकसान का जोखिम बढ़ा सकती हैं
- कंपनियां निम्न data एकत्र कर अनिश्चितकाल तक सुरक्षित रख सकती थीं
- user data
- platform non-user data
- data brokers से प्राप्त जानकारी
- व्यापक data sharing practices ने यह चिंता बढ़ाई कि data handling पर पर्याप्त control और oversight है या नहीं
- data collection, minimization और retention practices को “woefully inadequate” बताया गया
- कुछ कंपनियां users के deletion requests का जवाब देने के बाद भी सारा user data delete नहीं करती थीं
advertising revenue model और automated systems
- कई कंपनियों के business models खास तौर पर targeted advertising के जरिए user data से कमाई करने के लिए बनाए गए थे, और targeted advertising उनकी revenue का बड़ा हिस्सा था
- ऐसे incentives user privacy से टकराते हैं और अधिक data collection को बढ़ावा दे सकते हैं
- कुछ कंपनियों ने users की preferences और interests के आधार पर ads दिखाने के लिए pixel जैसी privacy-invasive tracking technologies का उपयोग किया
- users और non-users की personal information कई automated systems में डाली गई
- algorithms
- data analysis
- AI
- users और non-users के पास यह ठुकराने का लगभग कोई या बिल्कुल भी तरीका नहीं था कि उनका data automated systems में कैसे इस्तेमाल हो
- automated systems के उपयोग की monitoring और testing के तरीके कंपनियों के बीच अलग-अलग थे, और उनमें consistency व पर्याप्तता की कमी थी
बच्चों, किशोरों की सुरक्षा और COPPA मुद्दे
- social media और video streaming services को अपनी sites पर बच्चों और किशोरों की पर्याप्त सुरक्षा करने में विफल माना गया
- रिपोर्ट ने उन शोधों का हवाला दिया जिनमें social media और digital technologies के कम उम्र के users पर नकारात्मक mental health प्रभाव बताए गए
- कई कंपनियों ने कहा कि उनके platforms पर बच्चे नहीं हैं क्योंकि उनकी service बच्चों के लिए नहीं है या वे child accounts की अनुमति नहीं देतीं
- FTC स्टाफ रिपोर्ट ने इसे Children’s Online Privacy Protection Act Rule के तहत जिम्मेदारी से बचने की एक स्पष्ट कोशिश माना
- social media और video streaming services अक्सर किशोरों के साथ adult users जैसा ही व्यवहार करती थीं
- अधिकांश कंपनियां किशोरों को बिना account restrictions के platform इस्तेमाल करने देती थीं
प्रतिस्पर्धा पर असर और FTC की सिफारिशें
- कंपनियों की data practices का असर competition पर भी पड़ सकता है
- जिन कंपनियों ने बड़ी मात्रा में user data जमा कर लिया है, वे market dominance हासिल कर सकती हैं, और इससे user privacy की तुलना में data acquisition को प्राथमिकता देने वाली हानिकारक practices बढ़ सकती हैं
- social media और video streaming services के बीच competition सीमित होने पर उपभोक्ताओं की choice भी घटती है
- FTC स्टाफ रिपोर्ट ने policymakers और कंपनियों को निम्न सिफारिशें दीं
- Congress को comprehensive federal privacy law पारित करना चाहिए जो surveillance को सीमित करे, baseline protections तय करे और उपभोक्ताओं को data rights दे
- कंपनियों को data collection सीमित करना चाहिए और ठोस, लागू करने योग्य data minimization व retention policies अपनानी चाहिए
- third parties और affiliates के साथ data sharing सीमित करनी चाहिए, और जो consumer data अब आवश्यक नहीं है उसे delete करना चाहिए
- privacy policies स्पष्ट, सरल और consumers के लिए आसानी से समझ आने वाली होनी चाहिए
- कंपनियों को privacy-invasive ad tracking technologies के जरिए sensitive information इकट्ठा नहीं करनी चाहिए
- sensitive categories के आधार पर ad targeting policies और practices की सावधानी से समीक्षा करनी चाहिए
- data के automated systems में इस्तेमाल के बारे में user control और transparency की कमी को दूर करना चाहिए
- automated systems पर अधिक सख्त testing और monitoring standards लागू करने चाहिए
- यह अनदेखा नहीं करना चाहिए कि platforms पर child users मौजूद हैं; COPPA को न्यूनतम requirement मानते हुए अतिरिक्त safety measures देने चाहिए
- किशोर adult नहीं हैं, इसलिए उन्हें अधिक मजबूत privacy protections मिलनी चाहिए
- Congress को ऐसा federal privacy law पारित करना चाहिए जो 13 वर्ष से अधिक उम्र के किशोरों के लिए COPPA में मौजूद privacy gap को भरे
- FTC Commission ने स्टाफ रिपोर्ट जारी करने के पक्ष में 5-0 से मतदान किया
- Chair Khan और Commissioners Alvaro Bedoya, Melissa Holyoak, Andrew N. Ferguson ने अलग-अलग statements जारी किए
1 टिप्पणियां
Hacker News की राय
जिन कंपनियों ने user data को गलत तरीके से संभाला, उनकी जवाबदेही बढ़ाने का तरीका इसमें गायब है
कुछ महीने पुराने data breach की सूचना मुझे डाक से मिली, और उसमें मेरा Social Security number तक शामिल था। यह बात समझ से बाहर है कि मैं बस कई credit bureaus में credit freeze लगा सकता हूँ, इससे ज्यादा कुछ नहीं
सार्वजनिक रूप से burnout और गिरावट के दौर से गुजरने के बाद एक दोस्त की मदद से मैं credit card payment processing कंपनी में part-time काम कर रहा था। करीब दो महीने पहले, जब मैं बाहर था, boss ने कहा कि कुछ process करना है और Uber driver से email भिजवा दिया। नतीजतन bank accounts, Social Security numbers, names, addresses और financial data वाला पूरा customer database एक customer को भेज दिया गया
यह बात 11 दिन तक छिपी रही। पता चलने के बाद मैंने कहा, “यह बहुत बड़ा मामला है, और PCI के अलावा कानूनन 45 दिनों के भीतर प्रभावित customers को notify करना होगा,” लेकिन boss ने कहा, “मैं ऐसा नहीं करूँगा।” इसलिए मैंने इस्तीफा दे दिया और फिर से बेरोजगार हो गया
सही काम करने की कोशिश करने वाला मैं अब तुरंत नौकरी खोज रहा हूँ, जबकि समस्या पैदा करने वाली तरफ ऐसे दिखा रही है जैसे कुछ हुआ ही नहीं, संभव है कि पूरे customer base से समझौता हो चुका हो, और जब तक मैं PCI को report नहीं करता, शायद उन्हें कोई सजा भी न मिले। report करूँ तब भी मुझे कोई compensation नहीं मिलेगा
समझ नहीं आता, जहाँ भी जाओ management हमेशा संदिग्ध काम क्यों करती है। मैं बस किसी ईमानदार इंसान के अधीन Linux और datacenter का काम करना चाहता हूँ
बड़ा side project अभी early launch के लिए तैयार नहीं है, और मूल रूप से मैं VC या investors नहीं लेना चाहता था, लेकिन अब समझौते के बारे में सोचने लगा हूँ
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
मेरे हिसाब से, जब तक पूरी tech industry को regulate कर सकने वाली कोई independent regulatory agency नहीं बनती, यह मुश्किल है। जैसे FDA तय करता है कि कौन-सी medicines और ingredients allowed होंगे, वैसे ही कोई agency tech companies के features से लोगों की mental health पर पड़ने वाले जोखिम का आकलन कर सकती है
हालांकि ऐसी agency बनने के लिए शायद वैसी ही कोई त्रासदी चाहिए होगी जैसी वजह से पहली बार FDA बना था
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
अब जाकर इसे गंभीरता से लेना और जवाबी कदमों पर सोचना शुरू किया है, इस लिहाज से 15 साल देर हो चुकी है, फिर भी न करने से बेहतर है
अगला कदम credit bureaus को सही तरह से control करना होना चाहिए
मैंने कभी उन्हें अपना data रखने की सहमति नहीं दी, फिर भी उन्होंने data leak कर दिया और अब unwanted advertising emails भी भेज रहे हैं—यह बहुत खराब है
credit freeze करने के लिए आपको इन्हीं companies से रिश्ता रखना पड़ता है, और अगर न रखें तो वे मेरी अनुमति के बिना जिसे चाहें मेरी जानकारी दे दें, उनके रहम पर रहना पड़ता है—यह सचमुच बेतुका है
मुझे अजीब लगता है कि Meta, Google जैसी companies की कीमत सैकड़ों अरब डॉलर इसलिए है क्योंकि उन्होंने आपके बारे में जानकारी को कानूनी रूप से database में भरने का तरीका निकाल लिया
इतिहास के किसी और दौर में कोई इसे surveillance कहता, लेकिन उन्होंने इसे कानूनी रूप से करने का रास्ता ढूँढ लिया और वही सैकड़ों अरब डॉलर का हो गया
technically, consent हो तो remotely data log करना मामूली बात है। ऐसा लगता है मानो law नाम की एक काल्पनिक दीवार खड़ी की, उस दीवार को bypass करने के रास्ते बनाने में अरबों डॉलर खर्च किए, और फिर उसे आर्थिक समृद्धि के बराबर मान लिया। streaming services और file sharing का रिश्ता भी कुछ ऐसा ही है
समझ नहीं आता लोग social media को बार-बार सिर्फ database क्यों कहते हैं
Lina Khan इन दिनों काफी जोरदार तरीके से आगे बढ़ रही हैं। ऐसा लगता है जैसे वह सच में online human rights की परवाह करती हैं
Facebook और YouTube sensitive customer data की रक्षा करने की इच्छा और क्षमता रखने वाले defenders हैं। AshleyMadison documentary देखें तो customer privacy के प्रति अहंकारी उपेक्षा थी, फिर भी लगभग कोई accountability नहीं थी
consumers सबसे ज्यादा ऐसे छोटे और गैर-जिम्मेदार operators के यहाँ vulnerable होते हैं
Trump राष्ट्रपति बने तो उन्हें हटा देंगे, और अगर Harris जीत भी जाएँ लेकिन Republicans Senate पर control कर लें, तो डर है कि confirmation पाने की negotiation में Harris Khan को सौदे में छोड़ सकती हैं
2016 में Schneier on Security का “Data is a Toxic Asset”: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
यह हिस्सा खास तौर पर समस्या है
“कई companies ने व्यापक data sharing की, और इससे companies के data handling controls और oversight पर्याप्त हैं या नहीं, इसे लेकर गंभीर चिंता पैदा होती है”
पूरी report[0] पढ़ने लायक है। सिर्फ summary पर न रुकना बेहतर है
“लेकिन इन findings को अलग-थलग करके नहीं देखा जाना चाहिए। ये नौ companies में लगभग समान business model से निकलती हैं: targeted advertising, algorithm design और third-party sale के लिए data harvest करना। meaningful safeguards बहुत कम होने के कारण companies को increasingly intrusive collection practices विकसित करने का incentive मिलता है”
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
surveillance cancer की तरह फैलती है। “बस जरूरत है” के नाम पर हर data point को खाती हुई बढ़ती रहती है, और अंत में आपको मार देती है
car interiors में cameras और microphones से surveillance करने वाले automakers को भी list में जोड़ना चाहिए
अधिक जानकारी: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...