अदालत का फैसला: Meta ने Flo ऐप से महिलाओं का स्वास्थ्य डेटा बिना सहमति एक्सेस किया
(malwarebytes.com)- Meta के बारे में अदालत ने फैसला दिया कि उसने महिलाओं के period health tracking app Flo Health से users की सहमति के बिना संवेदनशील डेटा इकट्ठा किया
- Flo Health users के menstrual cycle, mood, sexual activity information जैसी बेहद निजी जानकारी इकट्ठा करता था, और 2016 से 2019 के बीच इसे Facebook, Google सहित कई third parties के साथ साझा किया गया
- Flo Health ने users से privacy और data non-sharing का वादा किया था, लेकिन वास्तव में third parties को उस डेटा का अन्य उद्देश्यों के लिए भी स्वतंत्र रूप से उपयोग करने दिया गया
- इस पर अमेरिकी Federal Trade Commission (FTC) ने Flo Health को तथ्य-जांच और policy सुधार का आदेश दिया, जबकि Flo Health और Google पहले ही समझौता कर चुके थे, लेकिन Meta ने आखिर तक समझौता नहीं किया
- हाल के वर्षों में अमेरिका में abortion rights के मुद्दे के साथ महिलाओं के स्वास्थ्य डेटा के privacy risk पर और अधिक ध्यान गया है
Meta द्वारा Flo Health ऐप users का डेटा बिना अनुमति इकट्ठा करने के मामले का सार
- अमेरिकी jury ने माना कि Meta ने women’s health tracking app Flo Health के जरिए users की संवेदनशील reproductive health information बिना सहमति के इकट्ठा की
- Flo Health 2015 में Belarus में शुरू हुआ था और महिलाओं के period तथा health status जैसे बहुत ही विस्तृत और निजी डेटा को track करने के लिए बनाया गया app है, जिसे दुनिया भर में 15 करोड़ से अधिक लोग इस्तेमाल करते हैं
Flo Health का डेटा इकट्ठा करने और साझा करने का तरीका
- Flo Health users period dates, mood changes, contraception methods, sexual satisfaction, pregnancy plans जैसी बेहद निजी पूछताछ का नियमित रूप से जवाब देते थे
- app ने user input data को बाहर साझा न करने और केवल service देने के लिए जरूरी होने पर ही कुछ डेटा संबंधित कंपनियों को देने का स्पष्ट वादा किया था
- लेकिन 2016~2019 के बीच Flo Health ने यह personal information Facebook (अब Meta), Google, AppsFlyer, Flurry आदि को व्यापक रूप से उपलब्ध कराई
- हर बार app चलने पर access log बनता था, और app के भीतर की हर user activity रिकॉर्ड होकर बाहर भेजी जाती थी
- third parties इस जानकारी का service provision के अलावा अन्य उद्देश्यों के लिए भी उपयोग कर सकते थे
Flo Health की policy और trust की समस्या
- Flo Health ने users से trust और privacy protection का वादा किया, लेकिन वास्तव में third parties के डेटा उपयोग पर कोई सीमा या guideline नहीं थी
- app के terms of service के अनुसार, बाहरी partners को Flo Health users के कुछ डेटा का स्वतंत्र रूप से उपयोग करने की अनुमति थी
- 2020 तक Flo Health ने 15 करोड़ users से कहा था कि वह “personal data protection को सर्वोच्च प्राथमिकता” देता है, जिससे trust बनाया गया
कानूनी जिम्मेदारी और FTC की कार्रवाई
- वास्तविक user Erica Frasco ने 2021 में Flo Health और उससे जुड़ी कंपनियों, खासकर Meta, के खिलाफ class action lawsuit दायर किया
- मुख्य मुद्दों में privacy violation, contract breach, unjust enrichment, और medical information law violation शामिल थे
- मामले में damages और अनुचित लाभ की वापसी की मांग की गई
- Flo Health और Google पहले ही plaintiffs से समझौता कर चुके थे, लेकिन Meta ने अंत तक समझौता नहीं किया और मुकदमे में बना रहा
- jury ने माना कि Meta ने electronic device के जरिए बातचीत की निगरानी या रिकॉर्डिंग की, और users की सहमति के बिना कार्रवाई की
मामले की सामाजिक पृष्ठभूमि और संकेत
- अमेरिकी Federal Trade Commission (FTC) ने Flo Health को policy की बाहरी audit और personal information misuse पर रोक जैसे corrective orders दिए
- 2022 में अमेरिकी Supreme Court द्वारा abortion rights समाप्त किए जाने के बाद महिलाओं के स्वास्थ्य डेटा की privacy और बड़ा मुद्दा बन गई
- Meta पर 2022 में पुलिस जांच में सहयोग करते हुए एक महिला और उसकी दो बेटियों के बीच abortion-related messages का डेटा देने को लेकर अतिरिक्त विवाद हुआ
- Propublica की रिपोर्ट के अनुसार, online pharmacies भी Google आदि के साथ संवेदनशील जानकारी साझा कर रही थीं, जिससे उनके कानूनी सबूत के रूप में इस्तेमाल होने का जोखिम मौजूद है
निष्कर्ष और security के प्रति चेतावनी
- कई users ने Flo Health पर भरोसा किया था, लेकिन वास्तविक data handling सामने आने के बाद भरोसा टूटने की स्थिति गहरी हुई
- यह मामला सिर्फ app उपयोग से बचने की बात नहीं है, बल्कि व्यक्तिगत health data की privacy और technology पर trust के व्यापक सवाल उठाता है
- technology सुविधा देती है, लेकिन data misuse होने पर users के लिए वास्तविक खतरे भी पैदा हो सकते हैं
1 टिप्पणियां
Hacker News प्रतिक्रियाएँ
मुझे Facebook नाम की कंपनी खुद पसंद नहीं है, लेकिन इस बार का फैसला गलत निष्कर्ष पर पहुंचा हुआ लगता है। शिकायत की भाषा में जिस हिस्से को “इलेक्ट्रॉनिक डिवाइस का इस्तेमाल कर वायरटैप या रिकॉर्डिंग” कहा गया, उसका असली मतलब यह था कि “Flo ने Facebook SDK का इस्तेमाल करके custom events भेजे।” Flo ने ऐसी जानकारी Facebook को भेजी, इसके लिए उसकी आलोचना होनी चाहिए, लेकिन यह कहना कि Facebook ने “जानबूझकर जासूसी की”, बिल्कुल तर्कसंगत नहीं लगता। मेरी समझ से Flo ने बिना किसी अनुरोध के स्वेच्छा से menstrual data Facebook को भेजा, और Facebook के पास SDK के जरिए sensitive information भेजने पर रोक लगाने वाली policy भी थी। Facebook पर मुकदमा करना वैसा ही तर्क है जैसे किसी डॉक्टर ने patient data Google Drive पर रखा हो और उसके लिए Google पर मुकदमा किया जाए
संबंधित मुकदमे के दस्तावेज़
Facebook SDK policy document पेज 6, पहली पंक्ति
[1] के आधार पर देखें तो शुरुआत में प्रतिवादी सिर्फ Flo था, इसलिए Facebook के खिलाफ दावे शामिल न होना स्वाभाविक था। लेकिन संशोधित शिकायत(3) में Facebook के खिलाफ नए आरोप जोड़े गए। संशोधित शिकायत के अनुसार, 2019 में यह बात सार्वजनिक होने के बाद भी Facebook ने 2021 तक यह व्यवहार जारी रखा, और Flo को FTC द्वारा रुकवाए जाने तथा कांग्रेस की जांच शुरू होने के बाद भी Facebook ने पहले से गलत तरीके से इकट्ठा किए गए data की समीक्षा या उसे नष्ट नहीं किया। साथ ही, discovery process में इस बात के अधिक ठोस सबूत भी सामने आए होंगे कि Facebook किस तरह के data के बारे में और किस हद तक जानता था
यह कहानी का सिर्फ एक हिस्सा है। अगर Facebook ने केवल Flo द्वारा भेजे गए data को रखा होता या उसे सिर्फ Flo के लिए इस्तेमाल किया होता, तो स्थिति अलग होती। समस्या यह है कि Facebook ने इस medical data का इस्तेमाल advertising के लिए किया और यह खुद जांचने की कोशिश भी नहीं की कि वह ऐसा कानूनी रूप से कर सकता है या नहीं। उस पर यह जांच करने की जिम्मेदारी थी, और उसने वह प्रक्रिया पूरी नहीं की, इसलिए दोषसिद्धि हुई
Flo का ऐसा data Facebook को भेजना स्पष्ट रूप से गलत था। इसी वजह से Flo ने मुकदमे में समझौता किया। लेकिन Facebook ने यह जानकारी मिलने के बाद उसे सिर्फ जमा करके नहीं रखा या नजरअंदाज नहीं किया, बल्कि अपने दूसरे signals के साथ मिलाकर इस्तेमाल किया। Facebook के खिलाफ शिकायत का यही मुख्य बिंदु था
मेरा मानना है कि यह सुनिश्चित करने की जिम्मेदारी है कि data वैध है। जैसे चोरी का सामान नहीं खरीदना चाहिए, वैसे ही Meta को भी अपराधियों के साथ partnership से बचने के लिए सावधान रहना चाहिए। Flo की गलती सबसे बड़ी है, लेकिन Meta को भी यह दिखाना चाहिए कि उसने पर्याप्त सावधानी बरती। सिर्फ terms of service के सहारे जिम्मेदारी से नहीं बचा जा सकता, और यह भी जरूरी है कि users सचमुच उस बात को समझें
ऐसे मामलों में jury trial की तुलना में judge का फैसला कहीं बेहतर होता है। क्योंकि SDK, data sharing, API जैसे technical details को आम jury पूरी तरह समझ नहीं पाती। दूसरी ओर, high-level technical litigation में judges अक्सर engineering knowledge को सक्रिय रूप से सीखते हैं और उस पर गहराई से चर्चा करते हैं
जब भी अदालत में Facebook का सामना करने की बात सोचता हूँ, दिमाग में एक छोटी चूहे जैसी चीज़ का polar bear पर झपटना आता है। या goblin बनाम dragon, या मक्खी बनाम हाथी जैसा दृश्य। ये बड़ी कंपनियां लगभग ऐसे राक्षस लगती हैं जो कानून के वास्तविक नियंत्रण से बाहर हैं। इन्हें सच में तनाव सिर्फ तब होता है जब market share खोने का खतरा हो या किसी खास क्षेत्र में block किए जाने का जोखिम हो
यह बात गलतफहमी पैदा कर सकती है, लेकिन सच तो यह है कि ये बड़ी कंपनियां कानून के बाहर नहीं बल्कि उसके भीतर हैं। क्योंकि अपने पैसे और influence की मदद से ये कानून की सीमाओं को ही अपने हिसाब से मोड़ सकती हैं। कानून कैसे लागू होना चाहिए, इस पर चाहे जितनी ऊंची आवाज़ उठे, जब तक ये उसका खर्च उठा सकती हैं, तब तक वह “कानूनी” दायरे में आ जाता है
मुझे सबसे ज्यादा उदास यह बात करती है कि मेरे जानने वाले लगभग सभी लोग privacy को लेकर चिंता जताते हैं, फिर भी Meta के account बनाए रखते हैं। अपने निजी मानकों के हिसाब से कोई समस्या न दिखे तो उसका इस्तेमाल करना ठीक है। लोगों से गलतियां होना स्वाभाविक है। लेकिन अपने सिद्धांतों को लेकर सख्त और दूसरों का मूल्यांकन करते समय अजीब तरह से लचीला होना, यह सच में अटपटा है। मुझे लोग पसंद हैं, लेकिन कभी-कभी वे बहुत कठिन लगते हैं समझना
आखिरकार, अगर हर पीड़ित पर सिर्फ तीन अंकों का जुर्माना भी लगाया जाए, तो Facebook पर बहुत बड़ा दबाव पड़ेगा
हर कोई सिर्फ Facebook को दोष देता है, लेकिन lawmakers या courts की उतनी आलोचना नहीं करता। असल में अगर ऐसे मामलों में खरबों के स्तर के जुर्माने लगें और सरकार को Facebook office से servers, chairs, projectors तक सब कुछ नीलाम करना पड़े, तब दूसरी कंपनियां भी बहुत जल्दी गैरकानूनी हरकतें बंद करके अपना व्यवहार बदल लेंगी
लगता है बहुत लोगों ने लेख ठीक से पढ़ा ही नहीं। असली गलती Flo app की थी। समस्या यह थी कि app developers ने users की जानकारी बिना किसी सीमा के Meta को भेज दी। फैसला कुछ भी कहे, असली दोष Flo का है
Flo ने sensitive information को online database में upload करके गलती की। Meta ने भी ऐसी personal data database infrastructure उपलब्ध कराकर गलती की। दोनों ने नैतिक रूप से निंदनीय काम किया
जानकारी Meta ने बिना रोक-टोक ले ली, इसलिए Meta का उस तक पहुंचना स्वाभाविक था। अगर उसे उस data को इस्तेमाल करने का अधिकार नहीं था, तो सामान्य बात यह होती कि Meta पहले साफ-साफ अनुमति लेने की मांग करता। समस्या यह है कि Meta बिना prior consent के access कर लेता है
5 साल पहले iOS app ecosystem की जांच करते हुए मैंने free apps के संभावित revenue models को समझने की कोशिश की थी। एक developer ने बच्चों के health data को track करने वाला free app जारी किया था, और उसकी सोच यह थी कि data खुद app की value है। उसे भरोसा था कि app की भविष्य की profitability आखिरकार data बेचने में है। उसके बाद मैंने तय कर लिया कि मैं अपनी personal information, खासकर health data, स्टोर करने वाले apps कभी इस्तेमाल नहीं करूंगा, और जितनी permissions बंद की जा सकती हैं, सब बंद रखूंगा
निष्कर्ष यही है कि app इस्तेमाल ही मत करो। 95% मामलों में ये जो privacy invasion मांगते हैं, उसके बदले में उतनी value नहीं मिलती
Mozilla ने period tracking apps की तुलना करते हुए एक अध्ययन किया था। उनमें कुछ apps users की privacy बचाने की कोशिश करते हैं
अगर कोई software सच में internet connection मांगता है, तो मेरा मानना है कि developer को पहले उसका कारण और औचित्य साबित करना चाहिए
मैं इस विषय का विशेषज्ञ नहीं हूँ, लेकिन क्या सिर्फ location information जैसी permissions बंद करने से यह समस्या हल नहीं हो सकती?
अफसोस की बात है, लेकिन यही हकीकत है
बिल्कुल सही। users हमेशा “नई free features!” जैसी marketing की तरफ उसी तरह खिंच जाते हैं। नतीजा यह होता है कि invasive business model बार-बार कामयाब हो जाते हैं
महिलाओं के लिए सुझाने लायक एक app Drip है।
Drip official site
यह सबसे secure लगता है
सच कहूँ तो मुझे लगता है कि ऐसी चीज़ें खुद host करके और खुद manage करके रखना सबसे अच्छा है। यह ऐसा data है जिसे मैं किसी और पर छोड़ना नहीं चाहूंगा। वैसे, मैं पुरुषों के साथ यौन संबंध नहीं रखता, फिर भी यह बात मुझे परेशान करती है
मेरी पत्नी Flo इस्तेमाल करती है। हर बार जब वह app खोलकर जानकारी दर्ज करती है, तो technical नजरिए से यह मुझे बहुत खतरनाक लगता है। ऐसे apps बहुत sensitive information संभालते हैं, इसलिए non-technical आम लोगों को information security की अहमियत के बारे में और ज्यादा बताने की जरूरत महसूस होती है
इसी वजह से मैंने अपने फोन में लगभग कोई app न रखने, या बहुत कम रखने की policy अपना ली है। हां, websites या web apps भी इसी तरह जानकारी साझा कर सकती हैं, लेकिन system access permissions कम होने से कम-से-कम एक मानसिक सुकून मिलता है। व्यक्तिगत रूप से, LinkedIn ने अब तक जो तरह-तरह के व्यवहार दिखाए हैं, उन्हें देखते हुए हैरानी होती है कि वह अभी भी app store में मौजूद है
privacy से जुड़ी खबरों में Meta शामिल न हो, ऐसा मामला ढूंढना मुश्किल है
आखिरकार तभी कुछ बदलेगा जब VP-स्तर के अधिकारी जेल जाएंगे। हालांकि वास्तविकता में इसकी संभावना लगभग नहीं के बराबर है