1 poin oleh GN⁺ 2024-09-20 | 1 komentar | Bagikan ke WhatsApp
  • Laporan staf FTC menyatakan bahwa layanan media sosial dan streaming video utama melakukan pengawasan luas terhadap konsumen untuk memonetisasi data pribadi, dan juga kurang memiliki perlindungan bagi anak-anak dan remaja
  • Penyelidikan ini didasarkan pada tanggapan atas perintah 6(b) yang dikirim FTC kepada 9 perusahaan pada Desember 2020, mencakup Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit, dan WhatsApp
  • Perusahaan yang diselidiki dapat mengumpulkan dan menyimpan data pengguna, data non-pengguna, hingga informasi dari data broker, sementara praktik minimisasi, retensi, dan penghapusan data dinilai sangat tidak memadai
  • Model bisnis banyak perusahaan berpusat pada iklan tertarget, sehingga mendorong pengumpulan data dalam skala besar; data juga digunakan untuk teknologi pelacakan seperti pixel serta sistem otomatis dan AI, tetapi pengguna hampir tidak memiliki hak untuk menolak
  • Laporan staf FTC merekomendasikan undang-undang privasi federal, kebijakan minimisasi dan retensi data, pembatasan pelacakan informasi sensitif, peningkatan transparansi dan verifikasi sistem otomatis, serta perluasan perlindungan anak dan remaja dengan COPPA sebagai standar minimum

Objek penyelidikan dan cakupan laporan

  • Laporan staf FTC menyelidiki praktik pengumpulan dan penggunaan data pada layanan media sosial dan streaming video utama
  • Laporan staf ini didasarkan pada tanggapan 9 perusahaan terhadap perintah 6(b) yang diterbitkan pada Desember 2020
  • Sembilan perusahaan dan layanan yang diselidiki adalah sebagai berikut
    • Amazon.com, Inc.: pemilik platform game Twitch
    • Facebook, Inc.: kini Meta Platforms, Inc.
    • YouTube LLC
    • Twitter, Inc.: kini X Corp.
    • Snap Inc.
    • ByteDance Ltd.: pemilik platform berbagi video TikTok
    • Discord Inc.
    • Reddit, Inc.
    • WhatsApp Inc.
  • Perintah FTC meninjau bagaimana perusahaan menangani informasi pribadi dan informasi demografis
    • Pengumpulan, pelacakan, dan penggunaan informasi pribadi dan demografis
    • Cara menampilkan iklan dan konten kepada konsumen
    • Apakah dan bagaimana algoritme atau analisis data diterapkan pada informasi pribadi dan demografis
    • Dampak praktik tersebut terhadap anak-anak dan remaja

Masalah dalam praktik pengumpulan dan retensi data

  • Perusahaan yang diselidiki mengumpulkan data pribadi konsumen dalam jumlah besar dan memonetisasinya hingga bernilai miliaran dolar per tahun
  • Ketua FTC Lina M. Khan mengatakan praktik pengawasan semacam ini mengancam privasi dan dapat membuat orang terekspos pada berbagai risiko, dari pencurian identitas hingga penguntitan
  • Perusahaan dapat mengumpulkan dan menyimpan tanpa batas waktu data berikut
    • Data pengguna
    • Data non-pengguna platform
    • Informasi yang diperoleh dari data broker
  • Praktik berbagi data yang luas meningkatkan kekhawatiran apakah kontrol dan pengawasan atas pemrosesan data sudah memadai
  • Praktik pengumpulan, minimisasi, dan retensi data dinilai “woefully inadequate”
  • Beberapa perusahaan merespons permintaan penghapusan dari pengguna, tetapi tidak menghapus seluruh data pengguna

Model pendapatan iklan dan sistem otomatis

  • Model bisnis banyak perusahaan dirancang untuk memonetisasi data pengguna, terutama melalui iklan tertarget, dan iklan tertarget menyumbang sebagian besar pendapatan mereka
  • Insentif seperti ini bertentangan dengan privasi pengguna dan dapat mendorong pengumpulan data yang lebih besar
  • Beberapa perusahaan menggunakan teknologi pelacakan yang melanggar privasi seperti pixel untuk memungkinkan iklan berbasis preferensi dan minat pengguna
  • Informasi pribadi pengguna dan non-pengguna dimasukkan ke berbagai sistem otomatis
    • Algoritme
    • Analisis data
    • AI
  • Pengguna dan non-pengguna hampir tidak memiliki, atau sama sekali tidak memiliki, cara untuk menolak penggunaan data mereka dalam sistem otomatis
  • Cara memantau dan menguji penggunaan sistem otomatis berbeda-beda antarperusahaan, serta kurang konsisten dan kurang memadai

Perlindungan anak dan remaja serta isu COPPA

  • Layanan media sosial dan streaming video dinilai gagal memberikan perlindungan yang memadai bagi anak-anak dan remaja di platform mereka
  • Laporan tersebut mengutip penelitian yang menunjukkan bahwa media sosial dan teknologi digital berdampak negatif pada kesehatan mental pengguna muda
  • Banyak perusahaan mengklaim tidak ada anak-anak di platform mereka karena layanannya tidak ditujukan untuk anak-anak atau tidak mengizinkan pembuatan akun anak
  • Laporan staf FTC menilai ini sebagai upaya yang jelas untuk menghindari tanggung jawab berdasarkan Children’s Online Privacy Protection Act Rule
  • Layanan media sosial dan streaming video kerap memperlakukan remaja sama seperti pengguna dewasa
    • Sebagian besar perusahaan mengizinkan remaja menggunakan platform tanpa pembatasan akun

Dampak persaingan dan rekomendasi FTC

  • Praktik data perusahaan juga dapat berdampak pada persaingan
  • Perusahaan yang menimbun data pengguna dalam jumlah besar dapat memperoleh kekuatan pasar, yang pada akhirnya dapat memicu praktik merugikan yang lebih mengutamakan perolehan data daripada privasi pengguna
  • Jika persaingan antar layanan media sosial dan streaming video terbatas, pilihan konsumen juga akan berkurang
  • Laporan staf FTC merekomendasikan hal-hal berikut kepada pembuat kebijakan dan perusahaan
    • Kongres harus mengesahkan undang-undang privasi federal yang komprehensif yang membatasi pengawasan, menetapkan perlindungan dasar, dan memberikan hak atas data konsumen
    • Perusahaan harus membatasi pengumpulan data dan menerapkan kebijakan minimisasi serta retensi data yang spesifik dan dapat ditegakkan
    • Membatasi berbagi data dengan pihak ketiga dan afiliasi, serta menghapus data konsumen yang tidak lagi diperlukan
    • Kebijakan privasi harus jelas, sederhana, dan mudah dipahami konsumen
    • Perusahaan tidak boleh mengumpulkan informasi sensitif melalui teknologi pelacakan iklan yang melanggar privasi
    • Kebijakan dan praktik penargetan iklan berbasis kategori sensitif harus ditinjau dengan cermat
    • Kekurangan kontrol pengguna dan transparansi atas cara data digunakan dalam sistem otomatis harus diatasi
    • Standar pengujian dan pemantauan yang lebih ketat harus diterapkan pada sistem otomatis
    • Jangan mengabaikan kenyataan bahwa ada pengguna anak di platform, dan perlakukan COPPA sebagai persyaratan minimum sambil menyediakan langkah keamanan tambahan
    • Remaja bukan orang dewasa, sehingga harus diberi perlindungan privasi yang lebih kuat
    • Kongres harus mengesahkan undang-undang privasi federal untuk menutup celah perlindungan privasi bagi remaja di atas usia 13 tahun yang belum dicakup COPPA
  • Komisi FTC menyetujui penerbitan laporan staf ini dengan suara 5-0
  • Chair Khan dan Commissioners Alvaro Bedoya, Melissa Holyoak, serta Andrew N. Ferguson masing-masing mengeluarkan pernyataan terpisah

1 komentar

 
GN⁺ 2024-09-20
Komentar Hacker News
  • Yang tidak ada adalah cara memperbesar tanggung jawab perusahaan yang salah menangani data pengguna
    Tidak masuk akal ketika saya menerima pemberitahuan kebocoran data yang sudah terjadi beberapa bulan lewat pos, dan di dalamnya bahkan ada nomor Social Security saya, tetapi satu-satunya hal yang bisa saya lakukan hanyalah membekukan kredit di beberapa biro kredit

    • Setuju. Hal yang baru-baru ini saya alami persis seperti itu
      Setelah mengalami burnout dan penurunan secara terbuka, seorang teman membantu saya bekerja paruh waktu di perusahaan pemrosesan pembayaran kartu kredit. Sekitar dua bulan lalu, saat saya tidak ada di tempat, bos meminta seorang pengemudi Uber mengirim email karena ada sesuatu yang harus ditangani, dan akibatnya seluruh basis data pelanggan yang berisi rekening bank, nomor Social Security, nama, alamat, dan data keuangan dikirim ke salah satu pelanggan
      Itu disembunyikan selama 11 hari, lalu setelah saya mengetahuinya saya berkata, “Ini masalah besar, dan selain PCI, secara hukum kita harus memberi tahu pelanggan yang terdampak dalam 45 hari,” tetapi bos berkata “saya tidak akan melakukan itu,” jadi saya mengajukan surat pengunduran diri dan kembali menganggur
      Saya yang mencoba melakukan hal yang benar sekarang harus buru-buru mencari pekerjaan, sementara pihak yang menyebabkan masalah seolah-olah tidak terjadi apa-apa dan mungkin telah membahayakan seluruh basis pelanggan, dan tampaknya tidak akan ada hukuman kecuali saya melaporkannya ke PCI. Bahkan kalau saya melapor, tidak ada kompensasi yang kembali kepada saya
      Ke mana pun saya pergi, saya tidak mengerti kenapa manajemen selalu melakukan hal mencurigakan. Saya hanya ingin bekerja dengan Linux dan data center di bawah orang yang jujur
      Proyek sampingan besar saya belum cukup siap untuk dirilis lebih awal, dan semula saya tidak ingin menerima VC atau investor, tetapi sekarang saya mulai mempertimbangkan kompromi
    • Mungkin tergantung kasusnya, tetapi dengan mengikuti panduan di bawah ini, saya bisa menyelesaikan pembekuan kredit di tiga biro kredit utama dari awal hingga akhir dalam 15 menit
      https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
    • Kedengarannya bagus di atas kertas, tetapi selama ada lobbyist, saya rasa hal seperti itu tidak akan pernah terjadi. Saya tidak ingin terdengar seperti teori konspirasi, tetapi legislator mana yang akan memukul tangan yang memberinya uang
      Menurut saya ini sulit sampai ada lembaga regulator independen yang dapat mengatur seluruh industri teknologi. Seperti FDA yang menentukan obat dan bahan apa yang diizinkan, bisa juga ada lembaga yang menilai risiko fitur perusahaan teknologi terhadap kesehatan mental orang
      Namun, agar lembaga seperti itu muncul, kemungkinan dibutuhkan tragedi, seperti alasan awal FDA dibentuk
      https://www.fda.gov/about-fda/fda-history/milestones-us-food...
    • Jika identitas dicuri, kita seharusnya bisa menggugat semua perusahaan yang menyebabkan kebocoran itu
    • Kalau membocorkan informasi “rahasia” pemerintah, orang bisa masuk penjara, tetapi asimetri yang parah antara apa yang bisa dilakukan warga dan kewenangan yang pemerintah izinkan untuk dirinya sendiri benar-benar aneh
  • Fakta bahwa mereka baru sekarang mulai menganggapnya serius dan memikirkan serangan balik memang terlambat 15 tahun, tetapi tetap lebih baik daripada tidak sama sekali
    Berikutnya, biro kredit harus benar-benar dikendalikan

    • Saya rasa Snowden benar ketika pada 2013 memperingatkan bahwa itu adalah kesempatan terakhir untuk memperjuangkan hak privasi digital yang mendasar. Saat itu ada jendela budaya yang terbuka, tetapi sekarang tampaknya sudah tertutup
    • Saya sangat kesal karena tiba-tiba mulai menerima email spam dari Experian
      Saya tidak pernah menyetujui mereka menyimpan data saya, tetapi mereka sudah membocorkan semuanya dan sekarang bahkan mengirim email iklan yang tidak saya inginkan. Ini kacau sekali
      Agar bisa membekukan kredit, kita terpaksa berurusan dengan perusahaan-perusahaan seperti ini, dan kalau tidak, kita harus bergantung pada belas kasihan mereka terkait kepada siapa mereka menyerahkan informasi kita tanpa izin. Itu benar-benar tidak masuk akal
    • Ini adalah konsekuensi jangka panjang dari 9/11
  • Rasanya aneh bahwa perusahaan seperti Meta dan Google bernilai ratusan miliar dolar hanya karena mereka menemukan cara untuk secara legal mengisi basis data dengan informasi tentang Anda
    Di masa lain dalam sejarah, seseorang mungkin akan menyebutnya pengawasan, tetapi mereka menemukan cara untuk melakukannya secara legal, dan itu bernilai ratusan miliar dolar
    Secara teknis, merekam data dari jarak jauh adalah hal sepele selama ada persetujuan. Rasanya seperti kita membangun tembok imajiner bernama hukum, menghabiskan miliaran dolar untuk membuat jalan memutar di sekitar tembok itu, lalu menyamakannya dengan kemakmuran ekonomi. Hubungan antara layanan streaming dan file sharing juga mirip

    • Perusahaan-perusahaan itu bernilai karena mereka membuat sesuatu yang digunakan miliaran orang. Bahkan jika semua rekomendasi FTC diterapkan, saya rasa kehilangan pendapatan dua perusahaan yang disebutkan itu tidak akan memberikan dampak signifikan
    • Pengawasan adalah sesuatu yang dilakukan tanpa persetujuan
      Saya tidak mengerti kenapa orang terus menyebut media sosial sekadar basis data
  • Lina Khan belakangan ini mendorong dengan keras. Ia benar-benar terlihat peduli pada hak asasi manusia online

    • Upaya ini positif, tetapi arahnya tampak agak meleset. Kita perlu memikirkan tanggung jawab atas kebocoran data
      Facebook dan YouTube adalah pihak bertahan yang punya kemauan dan kemampuan untuk melindungi data pelanggan yang sensitif. Kalau menonton dokumenter AshleyMadison, meskipun ada pengabaian arogan terhadap privasi pelanggan, hampir tidak ada pertanggungjawaban
      Konsumen paling rentan di tempat-tempat kecil dan tidak bertanggung jawab seperti itu
    • Saya akan terkejut kalau Lina Khan masih berada di posisinya enam bulan lagi
      Jika Trump menjadi presiden, ia akan memecatnya, dan bahkan jika Harris menang, saya khawatir jika Partai Republik menguasai Senat, Harris mungkin akan mengorbankan Khan sebagai kartu tawar untuk mendapatkan konfirmasi
  • “Data is a Toxic Asset” dari Schneier on Security tahun 2016: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...

  • Bagian ini sangat bermasalah
    “Banyak perusahaan melakukan berbagi data secara luas, dan ini menimbulkan kekhawatiran serius tentang apakah kontrol dan pengawasan pemrosesan data perusahaan-perusahaan tersebut memadai”

    • Semoga para legislator menanggapi rekomendasi laporan staf ini dengan serius. Saya akan mengirim salinannya ke perwakilan daerah saya dan setidaknya menyapa mereka
  • Laporan lengkapnya[0] layak dibaca. Sebaiknya jangan hanya melihat ringkasannya
    “Namun temuan-temuan ini tidak boleh dilihat secara terpisah. Semua ini berasal dari model bisnis yang hampir tidak berbeda di sembilan perusahaan: model yang memanen data untuk iklan tertarget, desain algoritmik, dan penjualan kepada pihak ketiga. Karena hampir tidak ada perlindungan yang bermakna, perusahaan memiliki insentif untuk mengembangkan cara pengumpulan yang semakin invasif”
    [0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...

  • Pengawasan menyebar seperti kanker. Ia terus tumbuh dengan memakan setiap titik data dengan alasan “karena memang perlu,” dan pada akhirnya membunuh Anda

  • Produsen mobil yang mengawasi lewat kamera dan mikrofon di kabin mobil juga harus ditambahkan ke daftar

  • Detail selengkapnya: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...