Сенатор США сделал официальный запрос создателям Pokemon GO.

Сенатор США сделал официальный запрос создателям Pokemon GO.

senator

Полный текст обращения тут .

Сенат Соединенных Штатов
ВАШИНГТОН, DC 20510-2309
12 июля 2016

Mr.John Hanke, CEO
Niantic, Inc.
2 Bryant Street, Suite 220
San Francisco, CA 94105

Уважаемый мистер Ханке!

Я пишу, чтобы запросить информацию относительно недавно выпущенного компанией приложения Pokemon GO, которое меньше чем за неделю было скачано 7,5 миллионов раз только в Соединенных Штатах. Несмотря на то, что такой успех приложения, несомненно, впечатляет, я обеспокоен тем фактом, что компания Niantic без необходимости осуществляет сбор, использование и обмен широким спектром личной информации пользователей без их предварительного согласия. Я считаю, что американцы имеют фундаментальное право на частную жизнь. Это право включает доступ граждан к информации, а также возможность сделать осмысленный выбор относительно того, как используются предоставляемые ими данные. По мере развития рынка продуктов расширенной реальности, я прошу вас прояснить, как компания Niantic решает вопрос конфиденциальности и безопасности пользователей, в частности, самых маленьких игроков.

Последние отчеты, а также политика конфиденциальности приложения Pokemon GO, позволяют предположить, что компания Niantic имеет возможность получать обширную информацию от своих пользователей-игроков – начиная от общей информации о профиле и заканчивая данными о точном местоположении и идентификационных данных устройства. Компания обладает доступом к этой информации, если только пользователи (кстати, среди которых огромное количество детей) не откажутся предоставлять ее. В соответствии с политикой конфиденциальности Pokemon GO, вся полученная информация может передаваться компании Pokemon Company и поставщикам услуг. Далее указывается, что приложение Pokemon GO может обмениваться обезличенными или агрегированными данными с третьими лицами в разных целях. И, наконец, в политике конфиденциальности Pokemon GO говорится, что любая полученная информация, в том числе и от детей — считается бизнес-активом и, таким образом, будет раскрыта или передана третьим лицам в том случае, если компания Niantic станет участником процесса слияния, поглощения или другой сделки.

В сообщениях СМИ также отмечается, что игра Pokemon GO имеет полный доступ к пользовательским счетам Google, включая данные электронной почты Gmail. Мы ожидаем от компании Niantic быстрого реагирования и просим гарантировать, что подобные упущения будут исправлены в короткие сроки. Если это будет сделано надлежащим образом, то лишь посодействует популярности продуктов расширенной реальности. Мы должны быть уверены, что данные всех американцев, особенно детей, надежно защищены.

В свете всего сказано, я прошу Вас в срок до 12 августа 2016 года предоставить ответы на следующие вопросы:

  1. В приложении Pokemon GO утверждается, что оно осуществляет сбор широкого спектра личной информации пользователей, включая данные профиля и аккаунта, точные данные о местоположении, а также информацию, полученную через Cookies и веб-маяки. Можете ли вы объяснить, какая именно информация, собранная Pokemon GO, необходима для предоставления услуг и улучшения сервиса? Существуют ли какие-либо другие цели, для которых Pokemon GO собирает всю эту информацию?
  2. По имеющимся данным, приложение Pokemon GO запрашивает разрешение на доступ к ряду мобильных возможностей, в том числе к возможности контролировать вибро режим телефона, предупреждать «засыпание» телефона и осуществлять поиски контактных данных на устройстве. Можете ли вы объяснить, какие именно функции и возможности необходимы Pokemon GO для предоставления услуг и улучшения сервиса? Существуют ли какие-либо другие цели, для которых Pokemon GO должен иметь доступ ко всем этим функциям и возможностям?
  3. Если часть собранной информации и/или полученных доступов, запрашиваемых приложением Pokemon GO, не являются необходимыми, может ли компания Niantic рассмотреть возможность и сделать сбор/доступ к информации возможным лишь после получения предварительного согласия пользователя, вместо действующей сейчас опции получения отказа?
  4. В соответствии с политикой конфиденциальности Pokemon GO, вся полученная информация может передаваться компании Pokemon Company и поставщикам услуг. Можете ли вы предоставить список поставщиков услуг? Делится ли приложение полученной информацией с инвесторами Pokemon GO?
  5. Далее указывается, что Pokemon GO могут обмениваться обезличенными или агрегированными данными с третьими лицами в разных целях. Можете ли вы дать исчерпывающее описание этих целей?
  6. Можете ли вы объяснить, каким образом компания Niantic предусматривает получение соответствующего согласия родителей на использование ребенком приложения Pokemon GO и, следовательно, на сбор личной информации? Помимо общедоступной политики конфиденциальности, каким образом компания Niantic информирует родителей об использовании полученной информации?
  7. Согласно информации, вход в приложение Pokemon GO через аккаунт Google дает компании Niantic полный доступ к учетной записи Google, без ведома самого пользователя. Компания Niantic уже признала, что по ошибке попросила разрешения к большему объему информации, чем это изначально предполагалось. Можете ли вы представить информацию о том, как компания намерена исправить эту ошибку? Кроме того, пожалуйста, подтвердите, что компания Niantic никогда не собирала и не хранила информацию, полученную в результате этой ошибки.

Благодарим Вас за внимание к этому важному вопросу! Пожалуйста, свяжитесь со мной или Лесли Хилтон по телефону (202) 224-5641.

С уважением,
Аль Франкен,
сенатор США.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации