Facebook’s latest ‘transparency’ tool doesn’t offer much — so we went digging – TechCrunch

Facebook’s latest ‘transparency’ tool doesn’t offer much — so we went digging – TechCrunch


In just under a month Facebook has previously changed the global availability of a device that gives consumers a glimpse of the tracking world that their business relies on for broader web profile users for advertising purposes. Is.

Facebook The boldness is not going to be bold in the light of day – but the privacy rights advocacy group’s Privacy International has called the offer “a small sticky plaster on a wider hassle.”

The problem he is referring to is the lack of active and informed consent to mass surveillance of Internet users through the background tracking technologies contained in applications and websites, in which people use Facebook’s own Browse beyond the content garden.

The dominant social platform is only presenting it in the context of the 2018 Cambridge Analytica data abuse scandal, when Mark Zuckerberg faced strange questions in Congress about the extent of Facebook’s general web tracking.General Chat Chat Lounge Policy makers around the world have since investigated how to run his business – and have found that transparency in and around Facebook in general and in particular around the issue of transparency Is lacking

Facebook’s tracking pixels and social plugins – aka the Share / Like button that has made the mainstream web pepper – have created a huge tracking infrastructure that quietly alerts the tech giant of internet users’ activity, Even when no one has interacted with anyone with the Facebook brand. Button

Facebook claims this is just the ‘way the web works’. And other tech companies likewise are busy tracking Internet users (especially Google). But with 2.2BN + users as a platform when it comes to collecting people’s data and building a database of personal profiles globally, Facebook has a lion’s share of its competitors March is.

It is also positioned as a dominant player in an adtech ecosystem, which means that data is fed to Intel by brokers and publishers who deploy tracking technology to try to survive in such a rotation system. Is.

On the other hand, blurring of online tracking means that the average Internet user is not wise enough to follow what Facebook is browsing all over the Internet. The questions of consent are very big indeed.

Facebook is also capable of tracking people’s use of third-party apps if someone chooses a Facebook login option that encourages company developers to implement their apps – once again to Carrot. Be able to offer less friction choices that require consumers to make other demands. Login Certificate

The value of this ‘feature’ is data and user privacy as Facebook provides a third-party app usage window to the login tech giant.

The company has also purchased a third-party app as a security tool for collecting data on usage and has used a badged VPN app – though it has recently withdrawn from the Onau app after a public backlash. Did not prevent him from running a similar tracking program.

Background tracking is how Facebook’s weird ads work (likes to be “relevant” to such behaviorally targeted ads) – and how they have for years. Worked.

Yet it is only in recent months that it has provided consumers with a glimpse of this network of online informants – providing limited information about the entity that is transmitting tracking data to Facebook, as well as a limited Controls too.

From “Explicit History” to “Off-the-Face Activity”

In fact, in May 2018, at the height of the Cambridge Analytica scandal, it was renamed as ‘Off-Facebook Activities’. It’s a label called ‘Blood To’ and ‘Call To Action’. Users, do they stumble upon it because they are deeply buried in the settings menu, are more likely to be cleared of privacy?

(You can access the setting here for the record – but to do so you need to be logged in to Facebook.)

The other problem is that Facebook’s tool doesn’t actually allow you to clear your browsing history, it just likes being associated with your Facebook identity. There is no option to clear your browsing history by button. Another reason for the name switch. So, no, Facebook has not built a clear history ‘button’.

“While we welcome Facebook’s attempt to offer consumers more transparency by showing companies that receive personal data, this tool gives consumers little way to take action,” this week told Privacy International. Not to tell you “everything”.

As the saying goes, a little knowledge can be a dangerous thing. So a little bit of transparency means – well – nothing but explanation. And Privacy International summarizes the up-and-coming Facebook activism tool, along with an oxymoron that describes it as “a new window to blur.”

“This tool clarifies how impossible it is for users to find out how to prevent external data from being shared with Facebook,” he stressed: “what data is collected and Is it shared, and what are the ways for the user? Opt out of such storage, Unclear activity from Facebook is another incomplete glimpse of Facebook’s vague practices when it comes to tracking Facebook users and strengthening their profiles.

For example, it is indicated that the information provided here is limited to a single “common name” – thus allowing the user to retrieve his or her right to know more about how this data was collected. “Which EU consumers are at least entitled to. General Chat Chat Lounge

“As users, we are entitled to know the names / contact details of companies that claim to communicate with us. If we see only one thing, for example, the random name of an artist about We’ve never heard (the true story), so how do we know if it’s their record label, agent, marketing company or even targeting them personally? Advertising with us? ” ۔

Another criticism is that Facebook only provides limited information about each data transfer – some events with Privacy International have been labeled “under a confidentiality.” And that Facebook “does not provide any information about how the data was collected by the advertiser (Facebook SDK, tracking pixel, like button …) and on which device, leaving users in the dark. About the conditions in which this data is collected. “

“Does Facebook Really Login / Export Everything About The Events They Process / Store?” Privacy researcher Wolf Crystal asks questions tracking the auditory industry tracking techniques. “They have to, because otherwise they don’t meet their SAR [Subject Access Request] Duties [under EU law]”

Crystal notes that Facebook is eliciting additional “downloads” for users to view tracked statistics – and yet, as Privacy International has reported, it has Only a limited view is left …

“For example, why doesn’t Facebook list specific sites / URLs? Do they evaluate data from domains like. Types? If yes, why not in the log? Crystal asks.

We’ve reached out to Facebook with a number of questions, including why it doesn’t provide further details by default. He replied to the spokesperson’s statement:

We help people access their Facebook information. Offers a variety of tools, and we’ve developed these tools to comply with relevant laws, including the GDPR. We disagree with that [Privacy International] Will welcome article claims and the opportunity to discuss them with Privacy International.

Facebook also said it is continuing to prepare what information comes out through the Facebook Activity Tool – and said it welcomes feedback.

We also asked him about the legal bases he uses to process people’s information obtained through tracking pixels and social plugins. He did not answer these questions.

Six names, lots of questions …

When the company launched the Facebook Activities Tool, a snap pool of available tech trench colleagues showed very diverse results for our respective individuals (which may not be as recent as other Facebook activities). ۔ Watering 1,117 entities (probably less than many app testing); for several / several hundred people; for a couple in the middle tier.

In my case, I only had six. But in my opinion – as a European Union citizen that has a set of privacy and data protection rights. And someone whose purpose is to maintain good online privacy hygiene, including having to use a lot of lockdown approaches to using Facebook (for example never using his mobile app) ). I wanted to know how these organizations stopped me from tracking my efforts.

And in the case of the first one on this list, who on earth was …

Cloud Front shows that an Amazon Web Services content delivery network is a subdomain. But I had to find myself online to find out that the owner of this particular domain (now) is a company called Nativo.

Only the bare bones information is provided in the Facebook list. I also clicked to link the first entity, because it immediately seemed weird, and it turned out that Facebook eliminated all entries – which meant I could add the corresponding figure. Unable to retain access to some additional information provided on the data transfer.

Without understanding, I set out to contact each of the six companies directly with questions – asking what data they transmitted to Facebook and what legal basis they had for my information Take action. They have

(In practice, the six names looked like sample sizes that I could at least try to follow manually – but remember TechCrunch was the exception; imagine that of 1111 companies, or 450 or even Try requesting a statistic of 57, which was a length) (list of some of my peers.)

This process took about a month and a lot of things back and forth. Maybe he got as much information as I was asking for as a journalist. An average Internet user can have a hard time focusing on their questions – though, under EU law, citizens have the right to request a copy of the personal data held on them.

Eventually, I was able to confirm that in some cases my data sent to Facebook included tracking pixels and Facebook share buttons. Yet I still live in darkness over many things. Just like what personal data Facebook received.

In one case I was told by a listed company that they themselves do not know what data is shared – only Facebook knows because it has implemented the company’s “proprietary code”. (Enter your own ‘WTAF’ there.)

The legal aspect of these movements is also very vague. From my point of view, I will not consciously allow anyone to track this – but in some instances the entities claim that (my) consent was (somehow) obtained (or strengthened).

In other cases, he said he was relying on EU law on a legal basis called “legitimate interests.” However, a balanced test is needed to ensure that business use does not have a disproportionate impact on individual rights.

I was unable to know if such tests were ever performed.

Meanwhile, since Facebook is also using its Pixels and Social Plugin (and apparently more granular usage) tracking information, as some companies claim they are not just for individual data, So it is unlikely that such a balance test will be easy. Pass through this small ‘platform giant’

Specifically, it mentions the terms of Facebook’s business tool that it uses “event data” to “personalize features and content and improve and secure Facebook products.” For R&D purposes. And “Facebook company to maintain and improve product integrity”.

As part of its legal terms that cover its use of pixels and SDs, Facebook is aware that companies implementing its tracking technologies are subject to consumers in the relevant jurisdiction. Consent to “Require informed consent” for cookies and similar tracking. – Examples of the EU.

Facebook writes, pointing to its users’ tools, “You must make sure that the user is able to store and access cookies or other information on the end user’s device. Provide the end user with necessary consent before using the Business Tools. ” Its cookie consent guide for sites and apps for “Tips on Implementing Consent Processes”

Crystal has claimed between Facebook that its tracking tech users need to get prior consent vs. claims I was given by some of these companies because they rely on ‘legitimate interests’.

“It is also controversial to use LI as a legal basis if you use a data analytics company that reliably processes personal data on your behalf,” he argued. “I think industry lawyers try to argue for a wider application of LI, but in the case of FB’s business tools, I’m not sure about the balance test (a business’s legitimate interests vs. data articles. Impact on the rights and freedoms of)) will work in favor of LI.

Depending on legitimate interests as a legal basis for tracking these entities, there would still need to be a mechanism where consumers could object to the processing – and I could not immediately see a mechanism in those cases. ۔

One thing is crystal clear: Facebook itself does not provide users with a method by which users cannot object to processing their tracking data or opt out of targeted advertising. This is still a long-standing complaint against its business in the EU, from which data protection regulators are still investigating.

One more thing: Non-Facebook users have no way of knowing that their data is being tracked and transferred to Facebook. For example, only Facebook users have access to the Off-Facebook Activity Tool. Non-users cannot access any list.

Facebook has defended its practice of tracking non-users around the Internet for unspecified ‘security purposes’. Of course, this is a naturally disproportionate argument. This process is also subject to legal challenge in the European Union.

Tracer Tracker

Simple Reich (alias) d8rk54i4mohrb.cloudfront.net)

what’s this? California-based analytics platform (now owned by Nativo) is used by publishers and content marketers to gauge how well their content / local advertising performs on social media. Are. This product began life in the early nineties as a handy tool for publishers to recommend similar content under articles prior to its inception – aiming to become a ‘Page Rank of the Society’ Was – Offer of analytical tools to help publishers truly detect engagement around content all the time on the social web (plugged in to platform APIs). It also created statistical models to predict which content would be most social and where, in each article’s score, ownership would be generated. Last year, Napoleo acquired Simple Reach for the fulfillment of the Amplitex tools, which was already introduced for content tracking on the publisher / brand’s own site.

Why did it show up in your list of Facebook Activity? Given its a b2b product, it has no visible consumer brand of its own. And, to my knowledge, I had never visited his own website before researching it because it appeared on my list of Facebook activities. In particular, though, I may have visited a site (s) that is using its tracking / analytics tools. Of course, no internet user has a clear way of knowing this – unless they are actively using the tools for monitoring which tracker they are tracking.

To further excite, neither the simple Reich (nor the Nato) brand name has been included in my list of off-site Facebook activity. But a The domain name was listed – d8rk54i4mohrb.cloudfront.net – which at first glance looked weird / awful.

I found out that it’s owned by Simple Reach through the Tracker Analytics serviceGeneral Chat Chat Lounge

Once I learned the name, I was able to link the entry to Nativa – through acquisition news reports – which led me to an institution where I could direct questions.

What happened when you asked them about it? There was a little back and forth, and then they sent me detailed answers to my questions, which they claim do not share any data with Facebook – “or perform ‘off-site activity’ such as Facebook. Is described on the activity tool. “

انہوں نے یہ بھی مشورہ دیا کہ میں نے جس ویب سائٹ پر وزٹ کیا تھا اس پر ان کے ٹریکنگ کوڈ کے نفاذ کے نتیجے میں ان کا ڈومین نمودار ہوا ہے جس نے فیس بک کے اپنے ٹریکروں کو بھی نافذ کیا ہے۔

“ہماری ٹیکنالوجی ہمارے ڈیٹا کنٹرولرز کو ٹیگ مینیجر کی حیثیت سے استعمال کرتے ہوئے دوسرے ٹریکنگ پکسلز یا ٹیگ داخل کرنے کی اجازت دیتی ہے جو صفحہ میں کوڈ فراہم کرتی ہے۔ یہ ممکن ہے کہ ہمارے کسی گراہک نے اس مضمون میں فیس بک پکسل شامل کیا ہو جس پر آپ نے ہماری ٹکنالوجی کا استعمال کرکے دیکھا تھا۔ اس سے فیس بک اس پکسل کو ہمارے ڈومین میں منسوب کرنے کا باعث بن سکتی ہے ، حالانکہ ہمارا ڈومین محض کوڈ کا ایک ’’ کیریئر ‘‘ تھا ، ”انہوں نے مجھے بتایا۔

ان کے جمع کردہ اعداد و شمار کے ضمن میں ، انہوں نے یہ کہا: “واحد ذاتی ڈیٹا جو سادہ راستہ تجزیات کے ٹیگ کے ذریعہ جمع کیا جاتا ہے وہ آپ کا IP ایڈریس اور تصادفی طور پر تیار کردہ ID ہے۔ ان دونوں اقدار پر عملدرآمد ، گمنامی ، اور جمع کردہ سادہ ریچ پلیٹ فارم میں ہے اور ہمارے سب پروسیسرز کے علاوہ کسی کو بھی دستیاب نہیں کیا گیا ہے جو صرف ہماری طرف سے اس طرح کے ڈیٹا پر کارروائی کرنے کا پابند ہے۔ ایسی اقدار کو 3 مہینے کے بعد ہمارے سسٹم سے مستقل طور پر حذف کردیا جاتا ہے۔ ان اقدار کا استعمال ہمارے صارفین کو ان صارفین کی تعداد کا عمومی اندازہ دینے کے لئے استعمال کیا جاتا ہے جنھوں نے ٹریک کردہ مضامین کا دورہ کیا۔

لہذا ، پھر ، انہوں نے اس وجہ کی تجویز پیش کی کہ ان کا ڈومین میرے آف-فیس بک سرگرمی کی فہرست میں ظاہر ہونے کی وجہ ناٹیو / سادہ ریچ کی ٹریکنگ ٹکنالوجی کا ایک مجموعہ ہے جس میں ایک سائٹ پر عمل کیا جارہا ہے جہاں فیس بک کا ریٹریجنگ پکسل بھی شامل ہے – جس کے نتیجے میں میری آن لائن سرگرمی کے بارے میں اعداد و شمار سامنے آئے۔ فیس بک کے ساتھ شیئر کیا جارہا ہے (جس میں فیس بک پھر سادہ ریچ کے ڈومین سے آنے والی صفت ہے)۔

اس پر تبصرہ کرتے ہوئے ، کرسٹل نے اتفاق کیا کہ ایسا لگتا ہے جیسے پبلشرز “کسی نہ کسی طرح فیس بک پکسل کے ایونٹس کو سادہ ریچ کے کلاؤڈ فرنٹ ڈومین سے جوڑ دیتے ہیں”۔

“سادہ سی ریچ کو شاید اس سے ڈیٹا نہیں ملتا ہے۔ لیکن سوال 1 ہے) سادہ سیچ واقعی ذمہ دار ہے (اگر یہ ان کے ڈومین کے تناظر میں ہوتا ہے)؛ 2) آف فیس بک سرگرمی ایک گندگی ہے (اگر اس میں ایسے ڈومین سے متعلق واقعات ہوں جن کے مالک ویب یا ایپ پبلشر نہیں ہیں)۔

ناٹیو نے یہ تعین کرنے کی پیش کش کی کہ آیا ان کے پاس انفرادی شناخت کار سے وابستہ کوئی ذاتی معلومات موجود ہے جو انہوں نے میرے براؤزر کو تفویض کیا ہے اگر میں انہیں یہ ID بھیج سکتا ہوں۔ تاہم میں ایسی ID تلاش کرنے سے قاصر تھا (نیچے ملاحظہ کریں)

میری معلومات پر کارروائی کرنے کے لئے قانونی بنیاد کے لحاظ سے کمپنی نے مجھے بتایا: “ہمارے پاس اعداد و شمار پر عملدرآمد کرنے کا حق ہے جو ڈیٹا پروسیسر کے مختلف معاہدوں میں طے شدہ دفعات کے مطابق ہے جو ہمارے ساتھ ڈیٹا کنٹرولرز کے ساتھ ہیں۔”

ناٹیو نے یہ بھی مشورہ دیا کہ زیر نظر آفسائٹ ایکٹیویٹی نے شاید اس کی خریداری کی پیش گوئی سادہ لوحی ٹکنالوجی – جو 20 مارچ ، 2019 کو ہوئی تھی – اس سے پہلے کی کسی بھی سرگرمی کا مطلب یہ ہوگا کہ میری استفسار کا سیدھا سیدھا سادہ ریچ ، انکارپوریٹڈ سے ہونا ضروری ہے جس سے نیٹوو حاصل نہیں کیا۔ (تاہم اس معاملے میں اس فہرست میں درج کی گئی سرگرمی اس کے بعد کی تاریخ میں تھی۔)

یہاں انھوں نے ان سب پر مکمل طور پر کیا کہا:

اپنے ڈیٹا تک رسائی کی درخواست جمع کروانے کے لئے آپ کا شکریہ۔ ہم سمجھتے ہیں کہ آپ یوروپی یونین کے رہائشی ہیں اور جی ڈی پی آر کے آرٹیکل 15 (1) کے تحت یہ درخواست پیش کررہے ہیں۔ آرٹیکل 15 (1) میں “ڈیٹا کنٹرولرز” کی ضرورت ہوتی ہے تاکہ وہ اپنے ذاتی ڈیٹا کی کارروائی کے بارے میں معلومات کے ل individuals افراد کی درخواستوں کا جواب دیں۔ اگرچہ آرٹیکل 15 (1) ناٹیو پر لاگو نہیں ہوتا ہے کیونکہ ہم آپ کے اعداد و شمار کے سلسلے میں ڈیٹا کنٹرولر نہیں ہیں ، ہم نے ذیل میں معلومات فراہم کیں جو مناسب ڈیٹا کنٹرولرز کا تعین کرنے میں ہماری مدد کریں گی ، جس سے آپ براہ راست رابطہ کرسکتے ہیں۔

پہلے ، ہمارے سادہ ریچ پروڈکٹ کے سلسلے میں ذاتی ڈیٹا پر کارروائی کرنے میں ہمارے کردار کے بارے میں تفصیلات کے لئے ، براہ کرم سادہ ریچ پرائیویسی پالیسی دیکھیں۔ جیسا کہ پالیسی مزید تفصیل سے بیان کرتی ہے ، ہم دوسرے کاروباروں – اپنے صارفین کو مارکیٹنگ کے تجزیاتی خدمات مہیا کرتے ہیں۔ ہماری خدمات سے فائدہ اٹھانے کے ل our ، ہمارے صارفین ہماری ٹکنالوجی کو ان کی ویب سائٹ پر انسٹال کرتے ہیں ، جو ہمیں اپنے صارفین کی ویب سائٹوں پر افراد کے دوروں سے متعلق کچھ معلومات اکٹھا کرنے کے قابل بناتا ہے۔ ہم ذاتی معلومات کا تجزیہ کرتے ہیں جو ہم صرف اپنے صارف کی ہدایت پر حاصل کرتے ہیں ، اور صرف اس صارف کی طرف سے۔

سادہ ریچ ایک تجزیاتی ٹریکر ٹول (گوگل تجزیات کی طرح) ہے جو ہمارے صارفین کے ذریعے ویب پر شائع ہونے والے ان کے مواد کی کارکردگی سے آگاہ کرنے کے لئے نافذ کیا گیا ہے۔ “d8rk54i4mohrb.cloudfront.net” ان میٹرکس کو جمع کرنے والے سرورز کا ڈومین نام ہے۔ ہم فیس بک کے ساتھ ڈیٹا شیئر نہیں کرتے ہیں یا فیس بک کے سرگرمی ٹول پر بیان کردہ “آف سائٹ سرگرمی” نہیں کرتے ہیں۔ ہماری ٹکنالوجی ہمارے ڈیٹا کنٹرولرز کو دوسرے ٹریکنگ پکسلز یا ٹیگ داخل کرنے کی اجازت دیتی ہے ، اور ہمیں ٹیگ مینیجر کی حیثیت سے استعمال کرتی ہے جو صفحہ میں کوڈ فراہم کرتی ہے۔ یہ ممکن ہے کہ ہمارے کسی گراہک نے اس مضمون میں فیس بک پکسل شامل کیا ہو جس پر آپ نے ہماری ٹکنالوجی کا استعمال کرکے دیکھا تھا۔ اس سے فیس بک اس پکسل کو ہمارے ڈومین میں منسوب کرنے کا باعث بن سکتا ہے ، حالانکہ ہمارا ڈومین صرف کوڈ کا “کیریئر” تھا۔

سادہ ریچ ٹول ہمارے صارفین اور ہمارے صارفین کے شراکت داروں کے ذریعہ پوسٹ کردہ مضامین پر لاگو ہوتا ہے۔ ممکن ہے آپ نے کسی ایسے URL کا دورہ کیا ہو جس میں ہمارے ٹریکنگ کا کوڈ موجود ہو۔ یہ بھی ممکن ہے کہ جس آفسیٹ ایکٹیویٹی کا آپ حوالہ دے رہے ہو وہ سادہ ریچ انکارپوریٹڈ کی سرگرمی ہے ، اس سے پہلے کہ نیٹوو نے سادہ ریچ ٹکنالوجی خریدی۔ ناٹیو ، انکارپوریٹڈ نے 20 مارچ ، 2019 کوسیپلرچ ، انکارپوریشنڈ سے کچھ ٹکنالوجی خریدی ، لیکن ہم نے خود ہی سادہرچ ، انکارپوریٹڈ کمپنی نہیں خریدی ، جو نٹیو انکارپوریشن کے ساتھ غیر منسلک ایک علیحدہ ادارہ ہے ، اس کے مطابق ، مارچ سے پہلے پیش آنے والی کسی بھی سرگرمی کو نائٹیو کے سادہ ریچ ٹکنالوجی کے استعمال کی 20 ، 2019 تاریخ سے پہلے کی تاریخ ہے اور اس کو براہ راست سادہرچ ، انکارپوریشن کے ساتھ حل کیا جانا چاہئے۔ ویب سائٹ 20 مارچ ، 2019 سے پہلے ، کسی بھی نتیجے میں ڈیٹا اکٹھا کرنے کا اہتمام ، سادہ ریچ ، انکارپوریشن کے ذریعہ کیا جاتا ، ناٹیو انکارپوریٹڈ کے ذریعہ نہیں۔

جیسا کہ اوپر ذکر کیا گیا ہے ، ہماری ٹریکنگ اسکرپٹ ہمارے سرورز کو ان مضامین کی بنیاد پر معلومات جمع کرتی ہے اور بھیجتی ہے جس پر اس کا اطلاق ہوتا ہے۔ صرف ذاتی اعداد و شمار جو سادہ راستہ تجزیات کے ٹیگ کے ذریعہ جمع کیا جاتا ہے وہ آپ کا IP پتہ اور تصادفی طور پر تیار کردہ ID ہے۔ ان دونوں اقدار پر عملدرآمد ، گمنامی ، اور جمع کردہ سادہ ریچ پلیٹ فارم میں ہے اور ہمارے سب پروسیسرز کے علاوہ کسی کو بھی دستیاب نہیں کیا گیا ہے جو صرف ہماری طرف سے اس طرح کے ڈیٹا پر کارروائی کرنے کا پابند ہے۔ ایسی اقدار کو 3 مہینے کے بعد ہمارے سسٹم سے مستقل طور پر حذف کردیا جاتا ہے۔ ان اقدار کا استعمال ہمارے صارفین کو ان صارفین کی تعداد کا عمومی اندازہ دینے کے لئے استعمال کیا جاتا ہے جنھوں نے ٹریک کردہ مضامین کا دورہ کیا۔

ہم کبھی شریک نہیں ہیں ، اور نہ ہی کوئی سادہ ریچ تجزیات کے ٹیگ سے جو معلومات ہم جمع کرتے ہیں اس کے حوالے سے فیس بک کے ساتھ موجود معلومات ، یہ ذاتی ڈیٹا ہو یا دوسری صورت میں۔ تاہم ، جیسا کہ اوپر ذکر کیا گیا ہے ، یہ ممکن ہے کہ ہمارے کسی گراہک نے اس مضمون میں فیس بک ریٹریٹنگ پکسل شامل کیا ہو جس پر آپ نے ہماری ٹکنالوجی کا استعمال کرکے دیکھا تھا۔ اگر یہ معاملہ ہے تو ، ہمیں اس طرح کے پکسل سے جمع کردہ کوئی معلومات موصول نہیں ہوتی یا اس کے بارے میں معلومات نہیں ہوتی ، کہ کس حد تک ، کسٹمر نے فیس بک کے ساتھ معلومات شیئر کیں۔ مزید معلومات کے بغیر ، ہم مخصوص کسٹمر (اگر کوئی ہو) کا تعین کرنے سے قاصر ہیں جس کی جانب سے ہم نے آپ کی ذاتی معلومات پر کارروائی کی ہے۔ تاہم ، اگر آپ ہمیں انوکھا شناخت کار بھیج دیتے ہیں جو ہم نے آپ کے براؤزر کو تفویض کیا ہے… تو ہم یہ طے کرسکتے ہیں کہ آیا ہمارے پاس کسی صارف کے کنٹرولر کی جانب سے اس طرح کے براؤزر سے وابستہ کوئی ذاتی معلومات ہے ، اور ، اگر ہم موجود ہیں تو ، ہم آپ کی درخواست پر بھیج سکتے ہیں کنٹرولر آپ کی درخواست پر براہ راست جواب دینے کے لئے.

ڈیٹا پروسیسر کی حیثیت سے ہمارے پاس اعداد و شمار پر عملدرآمد کرنے کا حق ہے جو ڈیٹا پروسیسر کے مختلف معاہدوں میں طے شدہ دفعات کے مطابق ہے جو ہمارے ساتھ ڈیٹا کنٹرولرز کے ساتھ موجود ہیں۔ اس قسم کا معاہدہ ڈیٹا سبجیکٹس کو تحفظ فراہم کرنے اور اس بات کو یقینی بنانے کے لئے تیار کیا گیا ہے کہ ڈیٹا پروسیسرز جی ڈی پی آر اور ڈیٹا کنٹرولر دونوں کے سامنے رکھے ہوئے ایک ہی معیار کے مطابق ہوں گے۔ یہ ایک ہی قسم کا معاہدہ ہے جو تجزیاتی ٹریکنگ کے دوسرے ٹولز (اسی طرح بہت سے دیگر قسم کے ٹولز) جیسے گوگل انالٹیکس ، ایڈوب تجزیات ، چارٹ بیٹ اور بہت سے دوسرے استعمال کرتے ہیں۔

میں نے ناتو کو بھی اس بات کی تصدیق کرنے کے لئے کہا کہ آیا Insider.com (نیچے ملاحظہ کریں) ناٹیو / سادہ ریچ کا صارف ہے یا نہیں۔

کمپنی نے مجھے بتایا کہ وہ رازداری کی پابندیوں کی وجہ سے اس کا انکشاف نہیں کرسکتی ہے اور ہوگی اگر “قابل اطلاق قانون کے ذریعہ ضرورت ہو” تو صارفین کی شناخت ظاہر کریں۔

ایک بار پھر ، یہ بھی کہا گیا کہ اگر میں نے اپنے براؤزر کو تفویض کردہ “انوکھا شناخت کار” مہیا کیا تو یہ خوشی ہوگی کہ اس وقت آپ کی انفرادی شناخت کار (اگر کوئی ہے) کے لئے آپ کے انفرادی شناخت کنندہ (اگر کوئی ہے) کے لئے محفوظ کردہ ذاتی معلومات کی فہرست کھینچ کر خوشی ہوگی۔ ڈیٹا کنٹرولر “۔ (“اگر ہمارے پاس کوئی ذاتی ہے ڈیٹا اندرونی ڈاٹ کام کی جانب سے آپ سے اکٹھا کیا گیا ، یہ فہرست میں شامل ہوگا ڈیٹاکنٹرولرز ، ”اس نے مشورہ دیا۔)

میں نے متعدد براؤزرز کو چیک کیا جو میں ایک سے زیادہ آلات پر استعمال کرتا ہوں لیکن ایک سادہ ریچ کوکی سے منسلک شناخت تلاش کرنے میں ناکام رہا۔ تو میں نے یہ بھی پوچھا کہ کیا یہ کسی دوسری کوکی کے ساتھ منسلک دکھائی دے سکتی ہے۔

ان کا جواب:

کیونکہ ہمارا ڈیٹا یا تو تخلص شدہ یا گمنام ہے ، اور ہمارے پاس ذاتی کے کسی دوسرے ٹکڑے کا ریکارڈ نہیں ہے ڈیٹا آپ کے بارے میں ، ہمارے لئے یہ تلاش کرنا ممکن نہیں ہوگا ڈیٹا کوکی ویلیو کے بغیر سادہ ریچ صارف کوکی “.simplereach.com” ڈومین یا اس کے ذیلی ڈومینز کے تحت “__srui” کوکی میں موجود ہے اور ہمیشہ رہی ہے۔ اگر آپ اپنے براؤزر پر اس نام سے ایک سادہ ریچ صارف کوکی تلاش کرنے کے قابل نہیں ہیں تو ، اس کی وجہ یہ ہوسکتی ہے کہ آپ کوئی مختلف ڈیوائس استعمال کررہے ہیں یا آپ نے اپنی کوکیز کو صاف کردیا ہے (ایسی صورت میں ہم مزید ذاتی نقشہ بنانے کی صلاحیت نہیں رکھتے ہوں گے۔ ڈیٹا ہم نے پہلے آپ سے آپ کے براؤزر یا آلہ پر جمع کیا ہے)۔ ہمارے پاس دوسری کوکیز ہیں (ڈومینز پوسٹ رییلیز ڈاٹ کام ، ایڈمن.ناٹیو ڈاٹ کام ، اور کلاؤڈ.نیوٹو ڈاٹ کام کے تحت) لیکن وہ کوکیز آپ کے فیس بک اکاؤنٹ پر آف سائٹ سرگرمی کی فہرست میں سادہ ریچ کے ظاہر ہونے سے متعلق نہیں ہوں گی ، آپ کی اصل انکوائری کے مطابق

آف فیس بک سرگرمی کی فہرست میں ان کے شامل ہونے سے آپ نے کیا سیکھا؟ اس ڈومین اور ایک پبلشر ، Insider.com کے مابین باہمی ربط رہا ، جو میری آف فیس بک سرگرمی کی فہرست میں بھی شائع ہوا – کیوں کہ لاگ ان دونوں واقعات کی تاریخ ایک ہی ہوتی ہے۔ نیز اندرونی ڈاٹ کام ایک پبلشر ہے لہذا ناتیو کے آلے کو استعمال کرنے کے لئے صارف کے صحیح زمرے میں آتا ہے۔

ان باہمی رابطوں کو دیکھتے ہوئے میں یہ اندازہ کرنے کے قابل تھا کہ اندرونی ڈاٹ کام ناٹیو کا ایک صارف ہے۔ (میں نے اس بات کی تصدیق اس وقت کی جب میں نے اندرونی ڈاٹ کام سے بات کی) – لہذا فیس بک کا ٹول ٹریکنگ انڈسٹری سے متعلقہ رشتہ دارانہ معلومات کو کاروباری رابطوں کی سطح / نقشہ سازی کے ذریعہ لیک کرنے میں کامیاب ہے جو ممکن ہے کہ اس سے کہیں زیادہ واضح نہ ہو۔

اندرونی ڈاٹ کام

یہ کیا ہے؟ نیو یارک میں مقیم بزنس میڈیا کمپنی جو بزنس انسائیڈر اور مارکیٹس انسائیڈر جیسے برانڈز کی مالک ہے

یہ آپ کے آف فیس بک سرگرمی کی فہرست میں کیوں ظاہر ہوا؟ میرا خیال ہے کہ میں نے ایک ایسے ٹیکنیکل آرٹیکل پر کلک کیا تھا جو میرے فیس بک نیوز فیڈ یا کہیں اور میں شائع ہوا تھا لیکن جب میں فیس بک میں لاگ ان ہوا تھا

جب آپ نے ان سے اس بارے میں پوچھا تو کیا ہوا؟ ریڈیو کے تقریبا a ایک ہفتہ خاموشی کے بعد اندرونی کام کے محکمہ کے قانونی شعبے میں ایک ملازم سے رابطہ ہوا کہ وہ پس منظر پر اس معاملے پر بات کر سکتے ہیں۔

اس شخص نے مجھے آف فیس بک ایکٹیویٹی ٹول میں معلومات فیس بک شیئر بٹن سے حاصل کی ہیں جو اپنے میڈیا ویب سائٹ پر چلنے والے تمام مضامین پر سرایت کرتی ہے۔ انھوں نے تصدیق کی کہ شیئر بٹن فیس بک کے ساتھ ڈیٹا شیئر کرسکتا ہے اس سے قطع نظر کہ سائٹ دیکھنے والا بٹن کے ساتھ بات چیت کرتا ہے یا نہیں۔

میرے معاملے میں میں یقینی طور پر فیس بک شیئر بٹن کے ساتھ بات چیت نہیں کرتا تھا۔ بہر حال ، اعداد و شمار کو صرف آرٹیکل صفحے پر لوڈ کرنے کی اہلیت سے منظور کیا گیا۔

اندرونی ڈاٹ کام نے کہا کہ فیس بک شیئر بٹن ویجیٹ کو ایک معیاری سیٹ اپ کا استعمال کرتے ہوئے اپنی سائٹس میں ضم کیا گیا ہے جس کا فیس بک پبلشروں کو استعمال کرنے کا ارادہ رکھتا ہے۔ اگر شیئر بٹن پر کلک کی گئی اس کارروائی سے متعلق معلومات کو فیس بک کے ساتھ شیئر کیا جائے گا اور انسائیڈر ڈاٹ کام کے ذریعہ بھی موصول ہوگا (حالانکہ اس منظر نامے میں ، اس نے کہا ہے کہ اس سے کوئی شخصی معلومات نہیں ملتی ہے – بلکہ مجموعی ڈیٹا مل جاتا ہے)۔

جب صارف کسی ایسے ویب صفحے پر جاتا ہے جس میں اس کے سماجی پلگ ان کو شامل کیا جاتا ہے تو فیس بک خود بخود دیگر معلومات بھی اکٹھا کرسکتی ہے۔

یہ پوچھے جانے پر کہ کیا اندرونی ڈاٹ کام جانتا ہے کہ اس غیر فعال راستے کے ذریعے فیس بک کو کون سی معلومات ملتی ہیں کمپنی نے مجھے بتایا کہ ایسا نہیں ہے – پلگ ان پر ملکیتی فیس بک کوڈ چلتا ہے۔

جب یہ پوچھا گیا کہ وہ صارفین کے اعداد و شمار کو فیس بک کے ساتھ غیر فعال طور پر شیئر کرنے کے لئے کس طرح رضامندی جمع کررہا ہے تو ، اندرونی ڈاٹ کام نے کہا کہ اس کی رازداری کی پالیسی صارفین کو اپنی معلومات کو فیس بک اور دیگر سوشل میڈیا سائٹس کے ساتھ شیئر کرنے پر رضامندی کا پابند کرتی ہے۔ اس نے یہ بھی کہا کہ وہ قانونی بنیاد استعمال کرتی ہے جو جائز مفادات کے طور پر جانا جاتا ہے تاکہ وہ فعالیت کو مہی provideا کرسکیں اور مضامین پر تجزیات حاصل کریں۔

فعال معاملہ میں (صارف جس مضمون پر اشتراک کرنے کے لئے کلک کر رہا ہے) Insider.com نے کہا کہ یہ صارف کے عمل کی رضامندی سے ترجمانی کرتا ہے۔

اندرونی ڈاٹ کام نے تصدیق کی ہے کہ اس میں سادہ رِچ / نیٹیو تجزیاتی ٹولز استعمال کیے گئے ہیں ، یعنی سائٹ کے وزٹرز کا ڈیٹا ناٹیو کو بھی منتقل کیا جارہا ہے جب صارف کسی مضمون پر اترتا ہے۔ اس نے کہا کہ اس کوائف کے اشتراک کے لئے رضامندی کو اس کی رضامندی کے انتظام کے پلیٹ فارم میں شامل کیا جاتا ہے (یہ فورسیپائنٹ کے ذریعہ تیار کردہ سی ایم پی کا استعمال کرتا ہے) جو سائٹ زائرین سے اپنے کوکی انتخاب کی وضاحت کرنے کے لئے کہتا ہے۔

یہاں سائٹ زائرین اپنے اعداد و شمار کو تجزیاتی مقاصد کے لئے اشتراک نہ کرنے کا انتخاب کرسکتے ہیں (جس کے بارے میں اندرونی ڈاٹ کام نے کہا تھا کہ اعداد و شمار کو منتقل ہونے سے بچا جاسکتا ہے)

میں عام طور پر تمام کوکی رضامندی کے آؤٹ آؤٹ کا اطلاق کرتا ہوں ، جہاں دستیاب ہوں ، لہذا مجھے حیرت ہوتی ہے ناٹیو / سادہ ریچ میرا اندرونی ڈاٹ کام کے صفحے سے میرا ڈیٹا پاس کر گیا۔ یا تو میں ایک بار آپٹ آؤٹ پر کلک کرنے میں ناکام رہا یا کوکی نوٹس کا جواب دینے میں ناکام رہا اور ڈیٹا بطور ڈیفالٹ پاس ہوگیا۔

یہ بھی ممکن ہے میں نے آپٹ آؤٹ کیا لیکن اعداد و شمار کو بہرحال پاس کردیا گیا تھا – کیونکہ ایسی تحقیق ہوئی ہے جس میں معلوم ہوا ہے کہ کوکی اطلاعات کا ایک تناسب انتخاب کو نظر انداز کرتے ہیں اور ویسے بھی ڈیٹا کو منتقل کرتے ہیں (غیر ارادی طور پر یا کسی اور طرح سے)۔

بات کرنے کے بعد میں نے Insider.com کو بھیجے گئے سوالات کی پیروی کریں:

1) کیا آپ اس بات کی تصدیق کرسکتے ہیں کہ آیا اندرونی شخص نے جائز مفادات کا جائزہ لیا ہے؟
2) کیا اندرونی سائٹ کے پاس سائٹ میکانزم موجود ہے جہاں صارف غیر فعال پر اعتراض کرسکتے ہیں؟ ڈیٹا transfer to Facebook from the share buttons?

Insider.com did not respond to my additional questions.

What did you learn from their inclusion in the Off-Facebook Activity list? That Insider.com is a customer of Nativo/SimpleReach.

Rei.com

What is it? A California-based ecommerce website selling outdoor gear

Why did it appear in your Off-Facebook Activity list? I don’t recall ever visiting their site prior to looking into why it appeared in the list so I’m really not sure

What happened when you asked them about this? After saying it would investigate it followed up with a statement, rather than detailed responses to my questions, in which it claims it does not hold any personal data associated with — presumably — my TechCrunch email, since it did not ask me what data to check against.

It also appeared to be claiming that it uses Facebook tracking pixels/tags on its website, without explicitly saying as much, writing that: “Facebook may collect information about your interactions with our websites and mobile apps and reflect that information to you through their Off-Facebook Activity tool.”

It claims it has no access to this information — which it says is “pseudonymous to us” but suggested that if I have a Facebook account Facebook could link any browsing on Rei’s site to my Facebook’s identity and therefore track my activity.

The company also pointed me to a Facebook Help Center post where the company names some of the activities that might have resulted in Rei’s website sending activity data on me to Facebook (which it could then link to my Facebook ID) — although Facebook’s list is not exhaustive (included are: “viewing content”, “searching for an item”, “adding an item to a shopping cart” and “making a donation” among other activities the company tracks by having its code embedded on third parties’ sites).

Here’s Rei’s statement in full:

Thank you for your patience as we looked into your questions.  We have checked our systems and determined that REI does not maintain any personal data associated with you based on the information you provided.  Note, however, that Facebook may collect information about your interactions with our websites and mobile apps and reflect that information to you through their Off-Facebook Activity tool. The information that Facebook collects in this manner is pseudonymous to us — meaning we cannot identify you using the information and we do not maintain the information in a manner that is linked to your name or other identifying information. However, if you have a Facebook account, Facebook may be able to match this activity to your Facebook account via a unique identifier unavailable to REI. (Funnily enough, while researching this I found TechCrunch in MY list of Off-Facebook activity!)

For a complete list of activities that could have resulted in REI sharing pseudonymous information about you with Facebook, this Facebook Help Center article may be useful.  For a detailed description of the ways in which we may collect and share customer information, the purposes for which we may process your data, and rights available to EEA residents, please refer to our Privacy Policy.  For information about how REI uses cookies, please refer to our Cookie Policy.

As a follow up question I asked Rei to tell me which فیس بک tools it uses, pointing out that: “Given that, just because you aren’t (as I understand it) directly using my data yourself that does not mean you are not responsible for my data being transferred to فیس بک

The company did not respond to that point.

I also previously asked Rei.com to confirm whether it has any data sharing arrangements with the publisher of Rock & Ice magazine (see below). And, if so, to confirm the processes involved in data being shared. Again, I got no response to that.

What did you learn from their inclusion in the Off-Facebook Activity list? Given that Rei.com appeared alongside Rock & Ice on the list — both displaying the same date and just one activity apiece — I surmised they have some kind of data-sharing arrangement. They are also both outdoors brands so there would be obvious commercial ‘synergies’ to underpin such an arrangement.

That said, neither would confirm a business relationship to me. But Facebook’s list heavily implies there is some background data-sharing going on

Rock & Ice magazine

What is it? A climbing magazine produced by a California-based publisher, Big Stone Publishing

Why did it appear in your Off-Facebook Activity list? I imagine I clicked on a link to a climbing-related article in my Facebook feed or else visited Rock & Ice’s website while I was logged into Facebook in the same browser session

What happened when you asked them about this? After ignoring my initial email query I subsequently received a brief response from the publisher after I followed up — which read:

The Rock and Ice website is opt in, where you have to agree to terms of use to access the website. I don’t know what private data you are saying Rock and Ice shared, so I can’t speak to that. The site terms are here. As stated in the terms you can opt out.

Following up, I asked about the provision in the Rock & Ice website’s cookie notice which states: “By continuing to use our site, you agree to our cookies” — asking whether it’s passing data without waiting for the user to signal their consent.

(Relevant: In October Europe’s top court issued a ruling that active consent is necessary for tracking cookies, so you can’t drop cookies prior to a user giving consent for you to do so.)

The publisher responded:

You have to opt in and agree to the terms to use the website. You may opt out of cookies, which is covered in the terms. If you do not want the benefits of these advertising cookies, you may be able to opt-out by visiting: http://www.networkadvertising.org/optout_nonppii.asp.

If you don’t want any cookies, you can find extensions such as Ghostery or the browser itself to stop and refuse cookies. By doing so though some websites might not work properly.

I followed up again to point out that I’m not asking about the options to opt in or opt out but, rather, the behavior of the website if the visitor does not provide a consent response yet continues browsing — asking for confirmation Rock & Ice’s site interprets this state as consent and therefore sends data.

The publisher stopped responding at that point.

Earlier I had asked it to confirm whether its website shares visitor data with Rei.com? (As noted above, the two appeared with the same date on the list which suggests data may be being passed between them.) I did not get a respond to that question either.

What did you learn from their inclusion in the Off-Facebook Activity list? That the magazine appears to have a data-sharing arrangement with outdoor retailer Rei.com, given how the pair appeared at the same point in my list. However neither would confirm this when I asked

MatterHackers

What is it? A California-based retailer focused on 3D printing and digital manufacturing

Why did it appear in your Off-Facebook Activity list? I honestly have no idea. I have never to my knowledge visited their site prior to investigating why they should appear on my Off Site Activity list.

I remain pretty interested to know how/why they managed to track me. I can only surmise I clicked on some technology-related content in my Facebook feed, either intentionally or by accident.

What happened when you asked them about this? They first asked me for confirmation that they were on my list. After I had sent a screenshot, they followed up to say they would investigate. I pushed again after hearing nothing for several weeks. At this point they asked for additional information from the Off-Facebook Activity tool — namely more granular metrics, such as a time and date per event and some label information — to help with tracking down this particular data-exchange.

I had previously provided them with the date (as it appears in the screenshot) but it’s possible to download additional an additional level of information about data transfers which includes per event time/date-stamps and labels/tags, such as “VIEW_CONTENT” .

However, as noted above, I had previously selected and deleted one item off of my Off-Facebook Activity list, after which Facebook’s platform had immediately erased all entries and associated metrics. There was no obvious way I could recover access to that information.

“Without this information I would speculate that you viewed an article or product on our site — we publish a lot of ‘How To’ content related to 3D printing and other digital manufacturing technologies — this information could have then been captured by Facebook via Adroll for ad retargeting purposes,” a MatterHackers spokesman told me. “Operationally, we have no other data sharing mechanism with Facebook.”

Subsequently, the company confirmed it implements Facebook’s tracking pixel on every page of its website.

Of the pixel Facebook writes that it enables website owners to track “conversions” (i.e. website actions); create custom audiences which segment site visitors by criteria that Facebook can identify and match across its user-base, allowing for the site owner to target ads via Facebook’s platform at non-customers with a similar profile/criteria to existing customers that are browsing its site; and for creating dynamic ads where a template ad gets populated with product content based on tracking data for that particular visitor.

Regarding the legal base for the data sharing, MatterHackers had this to say: “MatterHackers is not an EU entity, nor do we conduct business in the EU and so have not undertaken GDPR compliance measures. CCPA [California’s Consumer Privacy Act] will likely apply to our business as of 2021 and we have begun the process of ensuring that our website will be in compliance with those regulations as of January 1st.”

I pointed out that GDPR is extraterritorial in scope — and can apply to non-EU based entities, such as if they’re monitoring individuals in the EU (as in this case).

Also likely relevant: A ruling last year by Europe’s top court found sites that embed third party plug-ins such as Facebook’s like button are jointly responsible for the initial data processing — and must either obtain informed consent from site visitors prior to data being transferred to Facebook, or be able to demonstrate a legitimate interest legal basis for processing this data.

Nonetheless it’s still not clear what legal base the company is relying on for implementing the tracking pixel and passing data on EU Facebook users.

When asked about this MatterHacker COO, Kevin Pope, told me:

While we appreciate the sentiment of GDPR, in this case the EU lacks the legal standing to pursue an enforcement action. I’m sure you can appreciate the potential negative consequences if any arbitrary country (or jurisdiction) were able to enforce legal penalties against any website simply for having visitors from that country. Techcrunch would have been fined to oblivion many times over by China or even Thailand (for covering the King in a negative light). In this way, the attempted overreach of the GDPR’s language sets a dangerous precedent.

To provide a little more detail – MatterHackers, at the time of your visit, wouldn’t have known that you were from the EU until we cross-referenced your session with  Facebook, who does know. At that point you would have been filtered from any advertising by us. MatterHackers makes money when our (U.S.) customers buy 3D printers or materials and then succeed at using them (hence the how-to articles), we don’t make any money selling advertising or data.

Given that Facebook does legally exist in the EU and does have direct revenues from EU advertisers, it’s entirely appropriate that Facebook should comply with EU regulations. As a global solution, I believe more privacy settings options should be available to its users. However, given Facebook’s business model, I wouldn’t expect anything other than continued deflection (note the careful wording on their tool) and avoidance from them on this issue.

What did you learn from their inclusion in the Off-Facebook Activity List? I found out that an ecommerce company I had never heard of had been tracking me

Wallapop

What is it? A Barcelona-based peer-to-peer marketplace app that lets people list secondhand stuff for sale and/or to search for things to buy in their proximity. Users can meet in person to carry out a transaction paying in cash or there can be an option to pay via the platform and have an item posted

Why did it appear in your Off-Facebook Activity list? This was the only digital activity that appeared in the list that was something I could explain — figuring out I must have used a Facebook sign-in option when using the Wallapop app to buy/sell. I wouldn’t normally use Facebook sign-in but for trust-based marketplaces there may be user benefits to leveraging network effects.

What happened when you asked them about this? After my query was booted around a bit a PR company that works with Wallapop responded asking to talk through what information I was trying to ascertain.

After we chatted they sent this response — attributed to sources from Wallapop:

Same as it happens with other apps, wallapop can appear on our users’ Facebook Off Site Activity page if they have interacted in any way with the platform while they were logged in their Facebook accounts. Some interaction examples include logging in via Facebook, visiting our website or having both apps opened and logged.

As other apps do, wallapop only shares activity events with Facebook to optimize users’ ad experience. This includes if a user is registered in wallapop, if they have uploaded an item or if they have started a conversation. Under no circumstance wallapop shares with Facebook our users’ personal data (including sex, name, email address or telephone number).

At wallapop, we are thoroughly committed with the security of our community and we do a safe treatment of the data they choose to share with us, in compliance with EU’s General Data Protection Regulation. Under no circumstance these data are shared with third parties without explicit authorization.

I followed up to ask for further details about these “activity events” — asking whether, for instance, Wallapop shares messaging content with Facebook as well as letting the social network know which items a user is chatting about.

“Under no circumstance the content of our users’ messages is shared with Facebook,” the spokesperson told me. “What is shared is limited to the fact that a conversation has been initiated with another user in relation to a specific item, this is, activity events. Under no circumstance we would share our users’ personal information either.”

Of course the point is Facebook is able to link all app activity with the user ID it already has — so every piece of activity data being shared is personal data.

I also asked what legal base Wallapop relies on to share activity data with Facebook. They said the legal basis is “explicit consent given by users” at the point of signing up to use the app.

“Wallapop collects explicit consent from our users and at any time they can exercise their rights to their data, which include the modification of consent given in the first place,” they said.

“Users give their explicit consent by clicking in the corresponding box when they register in the app, where they also get the chance to opt out and not do it. If later on they want to change the consent they gave in first instance, they also have that option through the app. All the information is clearly available on our Privacy Policy, which is GDPR compliant.”

“At wallapop we take our community’s privacy and security very seriously and we follow recommendations from the Spanish Data Protection Agency,” it added

What did you learn from their inclusion in the Off-Facebook Activity list? Not much more than I would have already guessed — i.e. that using a Facebook sign-in option in a third party app grants the social media giant a high degree of visibility into your activity within another service.

In this case the Wallapop app registered the most activity events of all six of the listed apps, displaying 13 vs only one apiece for the others — so it gave a bit of a suggestive glimpse into the volume of third party app data that can be passed if you opt to open a Facebook login wormhole into a separate service.





Source link

Leave a Reply

Close Menu