Pengadilan putuskan Meta mengakses data kesehatan perempuan di aplikasi Flo tanpa persetujuan

 (malwarebytes.com)
1 poin oleh GN⁺ 2025-08-15 | 1 komentar | Bagikan ke WhatsApp
  • Meta diputuskan pengadilan telah mengumpulkan data sensitif tanpa persetujuan pengguna dari Flo Health, aplikasi pelacak kesehatan menstruasi perempuan
  • Flo Health mengumpulkan data yang sangat pribadi seperti siklus menstruasi, suasana hati, dan informasi kehidupan seksual pengguna, lalu membagikannya kepada berbagai pihak ketiga seperti Facebook dan Google dari 2016 hingga 2019
  • Flo Health menjanjikan kepada pengguna perlindungan privasi dan tidak membagikan data, tetapi pada kenyataannya membiarkan pihak ketiga menggunakan data tersebut secara bebas untuk tujuan lain
  • Terkait hal ini, Komisi Perdagangan Federal AS (FTC) memerintahkan penyelidikan fakta dan perbaikan kebijakan terhadap Flo Health; Flo Health dan Google sudah mencapai penyelesaian, tetapi Meta menolak berdamai hingga akhir
  • Seiring isu hak aborsi di Amerika Serikat belakangan ini, risiko privasi atas data kesehatan perempuan semakin menjadi sorotan

Ringkasan kasus Meta yang mengumpulkan data pengguna aplikasi Flo Health tanpa izin

  • Juri di AS memutuskan bahwa Meta melalui aplikasi pelacak kesehatan perempuan Flo Health telah mengumpulkan informasi kesehatan reproduksi sensitif milik pengguna tanpa persetujuan
  • Flo Health, yang dimulai di Belarus pada 2015, adalah aplikasi yang dirancang untuk melacak data yang sangat rinci dan pribadi seperti menstruasi dan kondisi kesehatan perempuan, dan digunakan oleh lebih dari 150 juta orang di seluruh dunia

Cara Flo Health mengumpulkan dan membagikan data

  • Pengguna Flo Health secara rutin menjawab pertanyaan yang sangat pribadi seperti tanggal menstruasi, perubahan suasana hati, metode kontrasepsi, tingkat kepuasan seksual, dan rencana kehamilan
  • Aplikasi ini secara eksplisit menjanjikan bahwa data yang dimasukkan pengguna tidak akan dibagikan ke luar, dan hanya sebagian data yang akan diberikan kepada perusahaan terkait bila diperlukan untuk menyediakan layanan
  • Namun, antara 2016 hingga 2019 Flo Health secara luas membagikan informasi pribadi ini kepada Facebook (kini Meta), Google, AppsFlyer, dan Flurry
    • Setiap kali aplikasi dijalankan, catatan akses tersimpan, dan seluruh aktivitas penggunaan di dalam aplikasi direkam lalu dikirim ke luar
    • Pihak ketiga dapat menggunakan informasi tersebut untuk tujuan di luar penyediaan layanan

Masalah kebijakan dan kepercayaan di Flo Health

  • Flo Health menjanjikan kepercayaan dan perlindungan privasi kepada pengguna, tetapi pada kenyataannya sama sekali tidak memiliki pembatasan penggunaan data atau pedoman bagi pihak ketiga
  • Dalam syarat penggunaan aplikasi, mitra eksternal diizinkan menggunakan secara bebas sebagian data milik pengguna Flo Health
  • Per 2020, Flo Health menyatakan kepada 150 juta penggunanya bahwa “perlindungan data pribadi adalah prioritas utama,” sehingga membangun kepercayaan

Tanggung jawab hukum dan tindakan FTC

  • Pengguna nyata Erica Frasco mengajukan gugatan class action pada 2021 terhadap Flo Health dan perusahaan-perusahaan terkaitnya, terutama Meta
    • Pokok persoalan utamanya meliputi pelanggaran privasi, pelanggaran kontrak, pengayaan tidak sah, dan pelanggaran undang-undang informasi medis
    • Ia menuntut ganti rugi dan pengembalian keuntungan yang diperoleh secara tidak sah
  • Flo Health dan Google telah lebih dulu berdamai dengan penggugat, tetapi Meta memilih terus berperkara hingga akhir
  • Juri mengakui bahwa Meta menyadap atau merekam percakapan melalui perangkat elektronik dan bertindak tanpa persetujuan pengguna

Latar belakang sosial dan implikasi kasus ini

  • Komisi Perdagangan Federal AS (FTC) mengeluarkan perintah perbaikan kepada Flo Health, termasuk audit eksternal atas kebijakan dan larangan penyalahgunaan data pribadi
  • Setelah Mahkamah Agung AS mencabut hak atas aborsi pada 2022, privasi data kesehatan perempuan menjadi isu yang semakin penting
  • Meta juga menuai kontroversi tambahan karena pada 2022 bekerja sama dengan penyelidikan polisi dan menyerahkan data pesan terkait aborsi antara seorang perempuan dan kedua putrinya
  • Menurut laporan Propublica, apotek online juga membagikan informasi sensitif dengan Google dan pihak lain, sehingga ada risiko data tersebut dipakai sebagai bukti hukum

Kesimpulan dan kewaspadaan keamanan

  • Banyak pengguna mempercayai Flo Health, tetapi setelah cara pengolahan data yang sebenarnya terungkap, hilangnya kepercayaan pun makin dalam
  • Kasus ini tidak berhenti pada sekadar imbauan untuk mengurangi penggunaan aplikasi, tetapi juga menyoroti persoalan privasi data kesehatan pribadi secara keseluruhan dan keandalan teknologi
  • Teknologi memang memberi kemudahan, tetapi ketika data disalahgunakan, hal itu dapat menimbulkan risiko nyata bagi pengguna

Bacaan terkait

1 komentar

 
GN⁺ 2025-08-15
Komentar Hacker News

  • Saya memang bukan penggemar perusahaan bernama Facebook, tetapi menurut saya putusan kali ini salah sasaran. Jika melihat isi gugatan, bagian “menyadap atau merekam dengan perangkat elektronik” itu pada kenyataannya berarti “Flo mengirim custom event menggunakan Facebook SDK”. Flo pantas dikritik karena mengirim informasi seperti itu ke Facebook, tetapi menyatakan bahwa Facebook “dengan sengaja menyadap” jelas tidak masuk akal. Menurut saya, Flo secara sukarela mengirim data menstruasi ke Facebook tanpa diminta, dan Facebook bahkan memiliki kebijakan yang melarang pengiriman informasi sensitif melalui SDK. Menggugat Facebook dalam kasus ini logikanya sama seperti menggugat Google karena seorang dokter menyimpan data pasien di Google Drive

    • Dokumen gugatan terkait

    • Dokumen kebijakan Facebook SDK baris pertama halaman 6

    • Jika mengacu pada [1], wajar jika pada awalnya tidak ada tuduhan terhadap Facebook karena pihak tergugat saat itu hanya Flo. Namun, gugatan yang telah diamendemen (3) memasukkan tuduhan baru terhadap Facebook. Menurut gugatan yang diamendemen, masalahnya adalah Facebook tetap melanjutkan tindakan tersebut hingga 2021 meski fakta itu sudah terungkap pada 2019, dan bahkan setelah Flo dipaksa FTC untuk berhenti serta penyelidikan Kongres dimulai, Facebook tidak meninjau atau memusnahkan data yang telanjur dikumpulkan secara keliru. Selain itu, kemungkinan dalam proses discovery juga muncul bukti yang lebih spesifik tentang data apa yang diketahui Facebook dan sejauh mana mereka menyadarinya

    • Ini hanya sebagian dari ceritanya. Jika Facebook sekadar menyimpan data yang dikirim Flo atau hanya menggunakannya untuk kepentingan Flo, situasinya akan berbeda. Masalahnya adalah Facebook memanfaatkan data medis ini untuk tujuan periklanan dan bahkan tidak memeriksa sendiri apakah data itu boleh digunakan secara sah. Karena mereka punya kewajiban untuk memastikan hal itu namun tidak menjalankan prosedurnya, putusan bersalah pun dijatuhkan

    • Jelas salah bahwa Flo mengirim data semacam itu ke Facebook. Karena itulah Flo akhirnya menyelesaikan perkara melalui kesepakatan. Namun setelah menerima informasi itu, Facebook tidak sekadar menumpuknya atau mengabaikannya, melainkan mencampurkan data tersebut dengan sinyal lain yang mereka miliki dan memanfaatkannya. Poin inilah yang menjadi inti gugatan terhadap Facebook

    • Saya rasa ada tanggung jawab untuk memastikan bahwa datanya sah. Sama seperti kita tidak membeli barang curian, Meta juga harus berhati-hati agar tidak bermitra dengan pelaku kejahatan. Kesalahan Flo memang yang paling besar, tetapi Meta juga perlu menunjukkan bahwa mereka telah melakukan kehati-hatian yang memadai. Tanggung jawab tidak bisa dihindari hanya dengan syarat layanan, dan yang penting adalah memastikan pengguna benar-benar memahami isi tersebut

    • Dalam kasus seperti ini, putusan hakim jauh lebih baik daripada sidang juri. Detail teknis seperti SDK, berbagi data, atau API sulit dipahami dengan benar oleh juri biasa. Sebaliknya, dalam litigasi teknologi tingkat tinggi, hakim sering kali secara aktif mempelajari pengetahuan engineering dan membahasnya secara mendalam

  • Setiap kali melihat orang berhadapan dengan Facebook di pengadilan, bayangan yang muncul adalah tikus kecil melawan beruang kutub. Atau goblin melawan naga, lalat melawan gajah. Perusahaan-perusahaan raksasa seperti ini nyaris seperti monster yang hampir tidak tersentuh hukum. Satu-satunya saat mereka benar-benar merasa tertekan adalah ketika terancam kehilangan pangsa pasar atau diblokir di wilayah tertentu

    • Cerita seperti ini bisa menimbulkan salah paham, tetapi sebenarnya perusahaan-perusahaan raksasa ini bukan berada di luar hukum, melainkan di dalamnya. Sebab dengan kekuatan uang dan pengaruh, mereka bisa menyesuaikan sendiri batas-batas hukum sesuai selera mereka. Seberapa keras pun orang berteriak soal bagaimana hukum seharusnya diterapkan, selama mereka mampu menanggung biayanya, semuanya tetap masuk ke dalam cakupan “legal”

    • Hal yang paling membuat saya murung adalah hampir semua orang yang saya kenal mengkhawatirkan masalah privasi seperti ini, tetapi tetap mempertahankan akun Meta mereka. Tidak masalah jika mereka memakainya karena menurut standar pribadi mereka itu tidak apa-apa. Wajar saja manusia tidak selalu konsisten. Namun sikap yang sangat keras terhadap keyakinan sendiri tetapi anehnya begitu longgar saat menilai orang lain benar-benar terasa janggal. Saya suka manusia, tetapi kadang mereka sungguh sulit dipahami

    • Pada akhirnya, kalau denda tiga digit saja dikenakan untuk tiap korban, itu sudah akan menjadi tekanan luar biasa besar bagi Facebook

    • Semua orang hanya menyalahkan Facebook, sementara legislator atau pengadilan seolah luput dari kritik. Padahal jika untuk kasus seperti ini dijatuhkan denda sampai miliaran atau lebih sehingga pemerintah harus melelang semua aset Facebook di kantor, dari server, kursi, sampai proyektor, demi diuangkan, perusahaan lain juga akan cepat berhenti melakukan tindakan ilegal dan mengubah perilakunya

  • Rasanya tidak banyak orang yang benar-benar membaca artikelnya. Pihak yang sebenarnya bersalah adalah aplikasi Flo. Masalah utamanya adalah para pengembang aplikasi mengirim informasi pengguna ke Meta tanpa pembatasan. Apa pun isi putusannya, kesalahan yang sebenarnya ada pada Flo

    • Flo salah karena mengunggah informasi sensitif ke basis data online. Meta juga salah karena menyediakan infrastruktur basis data privasi seperti ini. Keduanya sama-sama melakukan hal yang secara moral patut dikecam

    • Karena Meta menerima informasi itu tanpa pembatasan, wajar jika Meta akhirnya dapat mengaksesnya. Jika mereka tidak punya hak untuk menggunakan data tersebut, yang semestinya adalah Meta lebih dulu diminta memperoleh izin secara eksplisit. Yang jadi masalah adalah kenyataan bahwa Meta dapat mengaksesnya tanpa persetujuan sebelumnya

  • Lima tahun lalu saya meneliti ekosistem aplikasi iOS untuk memahami potensi model pendapatan aplikasi gratis. Ada pengembang yang merilis aplikasi gratis untuk melacak data kesehatan anak, dan ada anggapan bahwa nilai aplikasi itu justru terletak pada datanya sendiri. Ia juga yakin bahwa profitabilitas masa depan aplikasi pada akhirnya akan datang dari penjualan data. Sejak itu, saya mantap untuk tidak pernah memakai aplikasi yang menyimpan data pribadi saya, terutama data kesehatan, dan untuk menonaktifkan semua izin aplikasi sebisa mungkin

    • Saya benar-benar tidak paham kenapa orang menyerahkan data pribadi atau data kesehatan mereka kepada perusahaan-perusahaan psikopat seperti ini. Saya juga merasa tidak nyaman memikirkan mengapa aplikasi pencatatan data kesehatan atau perangkat wearable perlu dipakai. Jika melihat rekam jejak perusahaan-perusahaan ini, kita harus berasumsi bahwa mereka akan mencatat setiap detail, menjualnya selamanya, dan menyimpannya tanpa batas

  • Kesimpulannya, solusi terbaik adalah tidak memakai aplikasinya. Dalam 95% kasus, nilainya tidak sebanding dengan pelanggaran privasi yang mereka minta kita terima

    • Ada materi dari Mozilla yang membandingkan aplikasi pencatat menstruasi. Beberapa di antaranya memang berusaha melindungi privasi pengguna

    • Jika sebuah software benar-benar membutuhkan koneksi internet, menurut saya pengembang harus lebih dulu membuktikan alasan dan kelayakannya

    • Saya kurang paham soal ini, tetapi saya penasaran apakah masalah ini bisa diselesaikan hanya dengan mematikan izin seperti data lokasi

    • Sayangnya, memang begitulah kenyataannya

    • Benar juga. Pengguna selalu tertarik dengan pemasaran “fitur gratis baru!” dengan pola yang sama. Akibatnya, model bisnis yang invasif terus berulang karena memang berhasil

  • Ada aplikasi yang layak direkomendasikan untuk perempuan, yaitu Drip.

    • Situs resmi Drip

    • Sepertinya ini yang paling aman dari sisi keamanan

    • Sebenarnya, menurut saya untuk hal seperti ini yang terbaik adalah self-hosting dan mengelolanya sendiri. Ini jenis data yang tidak ingin saya percayakan kepada siapa pun. Sebagai catatan, saya tidak berhubungan seks dengan laki-laki, tetapi tetap saja saya peduli

  • Istri saya memakai Flo. Setiap kali ia membuka aplikasinya dan memasukkan informasi, dari sudut pandang teknis saya selalu merasa ini sangat berbahaya. Karena aplikasi seperti ini menangani informasi yang benar-benar sensitif, saya makin merasa penting untuk menyadarkan orang awam nonteknis tentang pentingnya keamanan informasi

  • Itu sebabnya saya menerapkan kebijakan untuk hampir tidak memasang aplikasi di ponsel, atau setidaknya meminimalkannya. Memang situs web atau web app juga bisa berbagi informasi dengan cara serupa, tetapi secara bawaan ada rasa tenang karena akses ke sistem lebih terbatas. Secara pribadi, melihat berbagai perilaku LinkedIn selama ini, saya heran aplikasi itu masih bisa bertahan di app store

  • Sulit menemukan berita terkait privasi di mana Meta tidak terlibat

    • Saya rasa Google, Microsoft, dan Amazon juga menyambut situasi seperti ini

  • Pada akhirnya, sesuatu baru akan berubah kalau eksekutif level VP sampai benar-benar masuk penjara. Tentu saja, secara realistis kemungkinannya sangat kecil