1 पॉइंट द्वारा GN⁺ 2024-09-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • FTC की 4 साल की जांच में पाया गया कि Facebook, YouTube, X समेत 9 social media और video platforms ने online behavioral advertising के लिए व्यक्तिगत जानकारी को बड़े पैमाने पर इकट्ठा और share किया, और consumers के लिए इसे ठीक से control करना मुश्किल था
  • collection का दायरा platform के भीतर की activity से आगे बढ़कर दूसरी websites और apps की activity, non-users की जानकारी, और third-party data brokers से खरीदी गई जानकारी तक फैल गया; कुछ कंपनियां data source को सही-सही बता भी नहीं सकीं
  • ज्यादातर कंपनियों ने व्यक्तिगत जानकारी third parties के साथ share की, लेकिन कुछ तो sharing recipients की पूरी list तक नहीं दे सकीं, और third-party verification या usage restrictions के compliance checks भी लगभग नहीं थे
  • निगरानी background में होती है और privacy settings भी अस्पष्ट या limited effectiveness वाली हैं; कुछ कंपनियों ने deletion requests के बाद भी user data को वास्तव में delete नहीं किया
  • EFF behavioral advertising business model को commercial surveillance का मूल दबाव मानता है, और data minimization व user rights, online behavioral advertising पर ban, और private right of action वाली मजबूत federal privacy law की मांग करता है

FTC जांच से सामने आया commercial surveillance का पैमाना

  • FTC की नई report इस बारे में EFF की लंबे समय से दी जा रही चेतावनियों को समर्थन देती है कि बड़ी tech कंपनियां online behavioral advertising business के लिए व्यक्तिगत जानकारी collect और share करती रही हैं
  • जांच ने Facebook, YouTube, X(पूर्व Twitter) समेत 9 social media और video platforms की data practices को 4 साल तक cover किया
  • सभी जांच के दायरे में आई कंपनियों ने एक ही तरीके से privacy का उल्लंघन नहीं किया, लेकिन कुल मिलाकर privacy से ज्यादा revenue को प्राथमिकता देने वाला ढांचा सामने आया

users की अपेक्षाओं से परे personal information collection

  • कंपनियां सिर्फ अपने platform के भीतर की activity को track नहीं कर रही थीं
    • वे दूसरी websites और apps पर activity monitor करती थीं
    • non-users के बारे में भी जानकारी collect करती थीं
    • third-party data brokers से personal information खरीदती थीं
  • कुछ कंपनियां FTC को यह नहीं बता सकीं, या बताना नहीं चाहती थीं, कि user data ठीक-ठीक कहां से आया
  • collect की गई चीजों में visited websites, location data, demographic information और interests शामिल थे
    • interests में “divorce support”, “beer and spirits” जैसे sensitive interests भी शामिल थे
  • कुछ कंपनियां track किए गए user attributes को सिर्फ high-level descriptions के रूप में report कर सकीं, जबकि दूसरी कंपनियों ने हजारों attributes वाली spreadsheets submit कीं

third-party sharing और verification की कमी

  • ज्यादातर कंपनियों ने report किया कि उन्होंने personal information को third parties के साथ share किया
  • कुछ कंपनियों ने दावा किया कि उन्होंने personal information इतनी व्यापक रूप से share की कि वे सभी third-party recipients की list नहीं दे सकतीं
  • जिन कंपनियों के लिए recipients की पहचान संभव थी, उनकी lists में law enforcement agencies और अमेरिका के भीतर व बाहर की अन्य कंपनियां शामिल थीं
  • data share करने से पहले third parties को verify करने की process ज्यादातर कंपनियों के पास नहीं थी, और किसी भी कंपनी ने data usage restrictions के compliance को लगातार check नहीं किया
  • भले ही कोई कंपनी analytics जैसे अपेक्षाकृत कम intrusive लगने वाले purpose बताए, इस बात की कोई guarantee नहीं है कि data सिर्फ उसी purpose के लिए इस्तेमाल होगा
  • ऐसे safeguards की कमी consumers को गंभीर privacy risks में डालती है

consumers के लिए data processing समझना मुश्किल

  • personal information कैसे collect, share और use होती है, इस बारे में transparency की कमी है
  • अगर कंपनियां FTC को भी data sharing recipients नहीं बता सकतीं, तो users को ईमानदारी से बताएंगी, ऐसी उम्मीद करना मुश्किल है
  • tracking और sharing background में होते हैं, इसलिए users के लिए यह जानना मुश्किल है कि हर platform पर वे कितनी privacy छोड़ रहे हैं
  • कंपनियां सिर्फ अपने platform का data ही नहीं, बल्कि पूरे web पर users की activity और non-users की जानकारी तक collect करती हैं
  • किसी individual के लिए अपनी data को एक विशाल digital surveillance network में बह जाने से बचाना लगभग असंभव है
  • privacy controls दिए भी जाएं, तो वे अक्सर opaque होते हैं या उनका effect limited होता है
  • कुछ कंपनियों ने deletion request का जवाब देने के बाद भी user data को वास्तव में delete नहीं किया
  • FTC द्वारा cover किए गए commercial surveillance का पैमाना और secrecy दिखाते हैं कि privacy protection का बोझ सिर्फ individual consumers पर नहीं डाला जा सकता

behavioral advertising business model से बनने वाला दबाव

  • privacy उल्लंघन कोई one-off mistake नहीं, बल्कि online behavioral advertising business model में निहित समस्या है
  • कंपनियां targeted ads के लिए भारी मात्रा में data इकट्ठा कर detailed user profiles बनाती हैं
  • personal information-based ad targeting से होने वाला revenue कंपनियों को और ज्यादा intrusive data collection methods विकसित करने की ओर धकेलता है
  • FTC ने निष्कर्ष निकाला कि जांच के दायरे में आई ज्यादातर कंपनियों के business models privacy उल्लंघन को incentivize करते हैं

EFF की मांग: federal privacy legislation

  • federal privacy law के अभाव में कंपनियां लगभग न के बराबर safeguards के तहत अरबों users की personal information collect और share कर सकीं
  • FTC report पुष्टि करती है कि self-regulation विफल रहा है
    • कंपनियों की internal data privacy policies inconsistent और अपर्याप्त हैं
    • वे कंपनियों को privacy से ऊपर revenue रखने की गुंजाइश छोड़ती हैं
  • FTC ने कहा, “इसमें कोई संदेह नहीं कि अगर ठोस कदम नहीं उठाए गए तो commercial surveillance ecosystem और खराब होगा”
  • EFF जिन legislative elements की मांग करता है, वे तीन हैं
    • data minimization और user rights: कंपनियों को users द्वारा मांगी गई services देने के लिए आवश्यक दायरे से आगे data process करने की अनुमति नहीं होनी चाहिए, और users के पास data access, portability, correction और deletion के rights होने चाहिए
    • online behavioral advertising पर ban: commercial surveillance की जड़ से निपटने के लिए behavioral advertising को ban करना होगा; वरना कंपनियां intrusive data collection से मुनाफा कमाते रहने के लिए privacy laws को bypass करने के तरीके ढूंढेंगी
    • private right of action समेत मजबूत enforcement: government enforcement resources सीमित होने की स्थिति में privacy law violations व्यापक रूप से जारी न रहें, इसके लिए individuals को अपनी privacy का उल्लंघन करने वाली कंपनियों के खिलाफ मुकदमा दायर कर सकना चाहिए

अभी संभव उपाय और उनकी सीमाएं

  • online services का इस्तेमाल करना ऐसा नहीं होना चाहिए कि व्यक्तिगत जानकारी अनगिनत कंपनियों को सौंप दी जाए और वे उसका मनमाना इस्तेमाल करें
  • website account बनाते समय यह चिंता नहीं होनी चाहिए कि कोई random third party जानकारी पा जाएगी या ads serve करने के लिए हर click की निगरानी होगी
  • EFF का Privacy Badger extension FTC report में बताए गए कुछ tracking technologies को block करने में मदद कर सकता है
  • FTC जांच से सामने आए commercial surveillance के पैमाने को सिर्फ अलग-अलग tools से हल करना मुश्किल है, और मजबूत federal privacy law की जरूरत है

1 टिप्पणियां

 
GN⁺ 2024-09-30
Hacker News की राय
  • हाल ही में एक कंपनी ने demo दिखाया कि tracking code लगे किसी site के visitor का work history, credit report, bank balance वे 500ms के भीतर देख सकते हैं
    वे कहते हैं कि इस जानकारी का इस्तेमाल sales team के लिए lead-qualification product में किया जाता है, ताकि sales team जान सके कि किसके पीछे जाना समय की बर्बादी है और किसके पीछे नहीं
    यह सचमुच डरावना था, और founders को ऐसे data को खरीदने-बेचने और इस्तेमाल करने में कोई नैतिक झिझक नहीं दिखी

    • उनमें से कोई भी चीज़ accurate नहीं है, और लगभग सब कुछ sparse और low-quality training data से model किया गया है
      Banks personal info से जुड़े account balance data को संदिग्ध aggregators को नहीं बेच रहे हैं
      ज्यादा दिलचस्प और बेतुकी बात यह है कि कितने aggregators कचरा data को इतनी कामयाबी से बेच लेते हैं
    • मुफ्त startup idea: trolley problem solving SaaS
      इसे license plate data, real-estate records, person recognition और real-time location के साथ integrate कर दीजिए
      जब self-driving car यह detect करे कि वह control से बाहर है और आने वाली liability से बचना नामुमकिन है, तो वह आसपास के consumers और property में से हर एक के avoidance score देने वाली API को query कर सकती है, और संभावित पीड़ितों के हिसाब से cost-benefit analysis कर सकती है
      उस score के आधार पर vehicle सबसे कम liability वाला path ढूंढ सकता है, और unidentified targets को score 0 देकर consumers को ऐसी services से जुड़ने के लिए प्रेरित भी किया जा सकता है
    • जब मैंने पहली बार देखा कि किसी marketing website spyware ने user के computer पर mouse movements और inputs सब कुछ session replay के रूप में record किया है, तो मैंने तय कर लिया कि internet एक गलती था
    • अगर target आपकी बेटी हो तो?
      22 साल की, height और weight संतुलित, लेकिन decision-making ability कमजोर
      अगर बेटा हो तो?
      किराया देने वाले युवाओं को ऐसी line दिखाई जाती देखी: “Flex आपको monthly budget के हिसाब से बेहतर schedule पर rent चुकाने और cash flow बनाए रखने देता है.”
      “समय पर rent देने में मदद करता है, cash flow सुधारता है, और credit history बनाने में मदद करता है.”
    • ad-tracking tech बेचने वाली एक company ने कभी ऐसा ही demo दिया था
      यह GDPR से पहले France में था, और वे weather app जैसी कई apps के साथ partnership करके user location तक पहुंच रखते थे
      target scale ठीक-ठीक याद नहीं, लेकिन यह France की आबादी का बड़ा हिस्सा था
      उन्होंने Paris का map दिखाया और बताया कि कोई खास user घर से निकलने के बाद किस route से गया, किस दुकान के सामने कितनी देर रुका, और दूसरी दुकान के अंदर कितना समय बिताया
      उस समय मेरे boss को यह बहुत रोमांचक लगा था
  • आखिरकार। हर कोई “जानता” है कि companies सचमुच हर चीज़ से ऊपर profit को प्राथमिकता देती हैं
    FTC को वापस सक्रिय देखकर अच्छा लग रहा है, और लगता है कि मजबूत regulation होने पर ही meaningful progress होती है
    दूसरा बड़ा उदाहरण EPA है। regulation और enforcement लागू होने से पहले pollution इतना ज्यादा था कि कुछ शहरों में लोगों को बाहर gas mask पहनना पड़ता था, और CFC emissions के साथ भी कुछ ऐसा ही था
    Internet का development ज्यादातर उस conservative leadership के दौर में तेज हुआ जिसने regulations को rollback किया, और उस दौरान बहुत innovation हुआ, लेकिन मेरा मानना है कि अगर ध्यान ऐसे profit-first environment पर केंद्रित न होता तो हम कहीं ज्यादा हासिल कर सकते थे

    • काश EPA ने noise pollution के मामले में गड़बड़ न की होती
    • लोग भी privacy के बजाय पैसा चुनते हैं
      वे ऐसी companies में काम करने से इनकार नहीं करते, और ऐसे systems implement करके खूब पैसा कमाते हैं
    • ऐसी companies को control करने के लिए बेहतर regulation चाहिए, यह सही है, लेकिन वही companies politicians और हर संभव व्यक्ति को खरीदने की कोशिश करेंगी
      यह कोई आसान या तेज solution नहीं होगा, और जरूरी laws और regulations पास हों, इसके लिए public को ज्यादा involve होना पड़ेगा
    • बाहर gas mask पहनना पड़े, यह pollution regulation की कमी से हुआ काफी बुरा और concrete नुकसान लगता है
      क्या data collection regulation की कमी से हुआ कोई वैसा ही concrete नुकसान का उदाहरण है?
    • regulation से पहले companies नदियों में हर तरह की चीज़ें फेंकती थीं, जिससे सचमुच कई नदियों में आग लग गई, और ऐसा कई बार हुआ
      कभी-कभी लोग सच में कहते हैं कि “इसे रोकने की जरूरत नहीं,” यह यकीन करना मुश्किल है
  • article के शुरुआती हिस्से में report का link है:
    https://www.ftc.gov/news-events/news/press-releases/2024/09/...
    https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
    Edit: PDF link जोड़ा

    • staff report कहती है, “Collected data के अनुसार, कई companies दावा करती हैं कि उनके platform पर बच्चे नहीं हैं, क्योंकि उनकी services बच्चों के लिए नहीं हैं या वे बच्चों को account बनाने की अनुमति नहीं देतीं”
      हर तरह की detailed interests और contexts के हिसाब से ad groups को बारीकी से target करते हुए भी, यह मजेदार है कि वे यह पता लगाने की technology पूरी नहीं कर पाए कि कोई बच्चा है या नहीं
      यकीनन यह कोई बहुत elusive technology होगी, जिसे implement करने के लिए वे कई सालों से दिन-रात कोशिश कर रहे होंगे
      ऐसा लगता है जैसे अनजान बने रहने में ही उनका फायदा है
  • यानी हमने जो पहले से जानते थे, वही बताने के लिए 4 साल की जांच कर ली
    असली सवाल यह है कि federal government या कोई भी इसके बारे में क्या करेगा

    • बहुत लोग पूछते हैं कि जो पहले से “common sense” है, उसका अध्ययन और documentation क्यों किया जाए
      scientific research में भी ऐसा ही होता है, इसलिए यह पैसे की बर्बादी जैसा लग सकता है
      लेकिन जब तक आप असल में वह काम नहीं करते, तब तक आप जानते नहीं हैं
      वैज्ञानिक और सरकारी अधिकारी common sense को quote नहीं कर सकते, और निष्कर्ष सही हो तब भी details मायने रखती हैं
      scale मायने रखता है, और काम करने का mechanism मायने रखता है
    • सरकार कुछ नहीं करेगी
      क्योंकि सरकार भी वह surveillance करना चाहती है जो वह कानून के तहत सीधे नहीं कर सकती
      अगर corporate surveillance मौजूद है, तो सरकार भी उसका इस्तेमाल कर सकती है, इसलिए यह सरकार के लिए भी फायदे का है
    • मैं जो चाहता हूं वह है privacy पर सरकारी अतिक्रमण को प्रतिबंधित करने वाला constitutional amendment, उस अधिकार को व्यक्तियों और private parties के बीच interactions तक बढ़ाने वाला कानून, उस protection को enforce करने का बजट, rights violations पर civil penalties, और ऐसे मामलों को संभालने के लिए courts का बजट
      असल में मुझे उम्मीद बस इतनी है कि बेहद intrusive surveillance को घरेलू नियंत्रण वाली कंपनियों तक सीमित कर दिया जाएगा
    • यह report legislation के लिए एक framework देती है
      यह बिल्कुल भी सिर्फ “जो हम पहले से जानते हैं वही बताने” के स्तर की नहीं है
    • बहुत लोग ऐसी चीजों को “जानते” मान लेते हैं जो वास्तव में गलत होती हैं
      यह investigation सरकार द्वारा state power इस्तेमाल करने से पहले यह पक्का करने का अहम पहला कदम है कि क्या हो रहा है, और यह अच्छी बात है
      माहौल या अफवाहों के आधार पर state power का इस्तेमाल ठीक नहीं है
      Biden FTC पूरी economy में कई anti-consumer practices के खिलाफ काफी aggressively कार्रवाई करता आया है, और ऐसी reports के बाद ऐसी कार्रवाई होने की tendency रहती है
      लगता है कि action काफी जल्द आएगा
  • credit rating agencies और banks जो जानकारी store करते हैं, वह कहीं ज्यादा डरावनी है
    वे जानते हैं कि आपने जहां-जहां काम किया, वहां की salary और residence क्या था
    हाल में इतने leaks हुए हैं कि अब कोई भी dark web पर ऐसी जानकारी खोज सकता है

  • वह बात तो 10 साल से भी पहले हाथ से निकल चुकी थी
    पहले मैं आने वाली corporate cyberpunk dystopia के जोखिम को कम करने के लिए security और privacy protection का काम करता था, लेकिन अब मुझे लगता है कि सरकार के पास surveillance monopoly होना सबसे खराब नतीजा होगा
    असली समाधान यह है कि personal information कैसे collect की गई, उसके आधार पर civil और non-violent criminal proceedings में personal information की कुछ categories को legally privileged या excluded किया जाए, और commercial decisions में अहम personally identifiable information collection sources को proposals और contracts में disclose करना अनिवार्य किया जाए
    तब insurers और creditors को rent-seekers की तरह बर्ताव करने के बजाय फिर से वास्तविक risk उठाना पड़ेगा, और police को शासक नहीं बल्कि public servant होना चाहिए, तथा evidence के तौर पर इस्तेमाल की गई personal information का source explicit consent सहित legal और prescribed sources था, यह prove करना होगा
    data collection के flow को रोक नहीं सकते, लेकिन इसे govern करने वाले laws को बेहतर किया जा सकता है

    • यह दोनों में से एक चुनने की बात नहीं है
      personal information collection को बस ban कर दें, तो यह state और advertisers दोनों पर लागू हो सकता है
      information is power, और अगर insurers और producers आपके बारे में सब कुछ जानते हैं, तो आपको गरीब victim की तरह निचोड़ा जाएगा
      बुरे दिन पर मैं यह भी मान लेता हूं कि जो लोग information जरूरत से ज्यादा share करते हैं, उन्होंने अपनी किस्मत खुद बनाई है, लेकिन information collection को regulate करने या leak होने पर भारी financial penalties के साथ कड़ी accountability तय करने के खिलाफ बहुत कम तर्क हैं
      regulation खुद मुश्किल नहीं होगा। enforcement आसान नहीं होगी, लेकिन कई companies के लिए कोशिश करना भी बहुत risky हो सकता है
  • मैं ad industry को military-industrial complex से भी कहीं ज्यादा खराब मानने लगा हूं, और उम्मीद करता हूं कि किसी दिन कोई higher power इससे जुड़े executives को बड़े प्रतिशोध और प्रचंड क्रोध से दंडित करेगा

  • मुझे लगता है कि state द्वारा private companies की surveillance को regulate करना hypocrisy है
    उन companies की data collection techniques का इस्तेमाल न करने का विकल्प है, लेकिन state surveillance को reject नहीं किया जा सकता
    state को good side और companies को bad side बनाने वाला game न खेलें

    • तो weapons पर भी यही लागू करके देखें
    • अगर आप नहीं चाहते कि corporations को state जैसे rights मिलें, तो यहां hypocrisy शब्द पूरी तरह गलत expression है
      बेशक, उस मुद्दे से अलग state को भी ऐसी जानकारी collect नहीं करनी चाहिए
    • मैं state surveillance का बचाव नहीं करना चाहता, लेकिन फिर भी कम से कम मेरे लिए यह कुछ हद तक safety और निस्वार्थ crime investigation देता है, भले ही वह बहस के लायक fake ही क्यों न हो
      private investigators सिर्फ अंतहीन advertising muck देते हैं, और वही मुझे रोज थका देता है
    • यह सोचना बेहद naive है कि companies द्वारा किए जा रहे विशाल और pervasive data collection से आसानी से बाहर निकला जा सकता है
      companies को innocent bystanders और state को evil adversary बनाने वाला game भी न खेलें
  • हम अंधेरे में फंसे नहीं हैं
    अभी 2016 नहीं है, और अगर आप ऐसी companies इस्तेमाल कर रहे हैं, तो आपको बहुत अच्छी तरह पता है कि वे क्या कर रही हैं
    थोड़े mature बनें, उन services का इस्तेमाल करने की जिम्मेदारी लें या अपना data delete करके चले जाएं
    2024 में यह देखकर shocked होने वाले किसी व्यक्ति के लिए मुझे बिल्कुल sympathy नहीं है
    और आप अपने data के मालिक नहीं हैं
    वह idea अपने आप में अब meaningless absurdity है
    इसे स्वीकार कर लेंगे तो जीवन बहुत सरल हो जाएगा
    अगर आपको stock price growth और tech jobs चाहिए, तो यह deal का हिस्सा है
    मैंने इसे बनाया नहीं और यह मेरी responsibility नहीं, लेकिन reality यही है

  • इससे optimal worldwide pricing पागलपन भरी दुनिया बन जाएगी
    हर चीज की कीमत हर व्यक्ति द्वारा चुकाई जा सकने वाली maximum amount पर तय होगी, लेकिन लोग बहुत कम consume करेंगे और ज्यादा miserable हो जाएंगे, इसलिए पूरा system collapse हो जाएगा