Dữ liệu Kế hoạch làm cha mẹ của bạn đang được thu thập, phân tích và bán

Kể từ khi Tòa án Tối cao đảo ngược Roe v. Wade vào tháng 6, các công ty dữ liệu vị trí, nhà phát triển ứng dụng và nhà cung cấp thuốc phá thai trực tuyến đã phải đối mặt với sự giám sát ngày càng tăng từ Quốc hội về việc kinh doanh dữ liệu người dùng nhạy cảm có thể cho biết khi nào ai đó đang tìm cách phá thai.

Markup đã phát hiện ra rằng công ty dữ liệu vị trí INRIX thu thập, phân tích và bán dữ liệu tổng hợp về phương tiện, giao thông và bãi đậu xe bao gồm các phòng khám Planned Parenthood trong bảng điều khiển INRIX IQ Location Analytics của mình.

Bằng cách sử dụng bản dùng thử miễn phí của sản phẩm, The Markup đã có thể xác định vị trí của ít nhất 71 phòng khám Planned Parenthood ở hàng chục tiểu bang.

INRIX là một công ty dữ liệu di động lớn, có uy tín và đã hoạt động kinh doanh được 17 năm. Nó liệt kê Cục Quản lý Đường cao tốc Liên bang Hoa Kỳ, Microsoft, Bộ Giao thông Vận tải Los Angeles, BMW, Zillow và IBM trong số các khách hàng của mình.

Các phát hiện của Markup tuân theo các báo cáo gần đây của Motherboard xác định hai công ty dữ liệu vị trí khác— Safegraph và Placer.AI —cũng bao gồm dữ liệu khách truy cập Planned Parenthood trong các sản phẩm bảng điều khiển tương tự của họ. Cả hai công ty đã loại bỏ dữ liệu đó.

Mark Daymond, CTO và nhân viên bảo vệ dữ liệu tại INRIX đã nói với The Markup trong một email, “INRIX nhận dữ liệu ẩn danh và hủy nhận dạng thêm sau đó tổng hợp dữ liệu đó. Danh tính của các cá nhân không liên quan đến hoạt động kinh doanh của chúng tôi.”

Phiên bản miễn phí của bảng điều khiển Phân tích vị trí của INRIX chỉ liệt kê địa chỉ, giờ và số lượng lưu lượng truy cập hàng ngày trung bình hàng năm trên các đường phố lân cận cho mỗi phòng khám, nhưng phiên bản trả phí hiển thị số liệu thống kê chi tiết hơn cho các điểm quan tâm mẫu trong cơ sở dữ liệu của nó, bao gồm cả phân tích nhân khẩu học và dân tộc của khách truy cập, số lượng khách truy cập theo giờ và ngày, bản đồ nhiệt tổng hợp về điểm xuất phát và điểm đến của khách truy cập cũng như thời gian lái xe đến và đi từ địa điểm doanh nghiệp.

Các địa điểm Planned Parenthood vẫn còn trong bảng điều khiển INRIX sau khi chúng tôi liên hệ với công ty và vẫn còn đó vài giờ trước khi xuất bản câu chuyện này. Planned Parenthood đã không trả lời ngay lập tức yêu cầu bình luận.

Daymond cho biết cách tiếp cận mà INRIX thực hiện để giới hạn chi tiết trên bản đồ bảo vệ người dùng khỏi bị nhận dạng.

“Phân tích vị trí chỉ hiển thị kết quả xuống cấp nhóm khối điều tra dân số. Chúng tôi lấy dữ liệu từ nhiều nhà cung cấp bản đồ có thông tin thương mại sẵn có,” ông nói.

Với bối cảnh pháp lý thay đổi nhanh chóng kể từ khi Dobbs v. Jackson kích hoạt luật phá thai hạn chế hơn, những người tìm kiếm thủ tục phải đối mặt với rủi ro gia tăng đối với quyền riêng tư của họ và nhiều công ty công nghệ đã chạy đua để đáp ứng.

Các nhà hoạt động chống phá thai đã sử dụng các công cụ do ngành dữ liệu vị trí xây dựng, chẳng hạn như hàng rào địa lý , để ngăn cản các bệnh nhân muốn phá thai bằng các quảng cáo được nhắm mục tiêu. Giờ đây, rủi ro cao hơn khi chín bang đã hình sự hóa thủ tục này.

Giám sát từ Quốc hội

Một số nhà lập pháp Dân chủ đang yêu cầu hành động. Theo báo cáo của Motherboard, 14 thượng nghị sĩ đảng Dân chủ đã gửi thư tới các công ty dữ liệu vị trí Safegraph và Placer.AI để tìm kiếm thông tin chi tiết về việc thu thập dữ liệu của họ và yêu cầu họ ngừng bao gồm các phòng khám phá thai.

Safegraph và Placer.AI đã xóa các phòng khám và các vị trí nhạy cảm khác khỏi cơ sở dữ liệu của họ sau các báo cáo của Bo mạch chủ. Vào ngày 1 tháng 7, Google cam kết xóa dữ liệu vị trí của khách truy cập khi người dùng truy cập nhà cung cấp dịch vụ phá thai, trung tâm sinh sản hoặc địa điểm nhạy cảm khác.

Tuần trước, Ủy ban Giám sát Hạ viện đã liên hệ với các công ty dữ liệu vị trí Placer.AI, Safegraph, Babel Street, X-Mode (Outlogic), Gravy Analytics và năm nhà phát triển ứng dụng sức khỏe sinh sản và yêu cầu họ tiết lộ các hoạt động thu thập dữ liệu của họ , nguồn dữ liệu của họ. dữ liệu vị trí và tất cả các quan hệ đối tác dữ liệu như một phần của cuộc điều tra về quyền riêng tư dữ liệu bệnh nhân phá thai và sức khỏe sinh sản.

“Đây là một ví dụ tuyệt vời về cách cần áp dụng luật bảo mật toàn diện để hạn chế việc thu thập loại dữ liệu đó có thể được vũ khí hóa chống lại người dùng bằng cách lấy dấu vân tay, nhận dạng họ và bán loại dữ liệu hành vi đó hoặc dữ liệu nhận dạng cho bất kỳ ai Daly Barnett, nhân viên công nghệ tại Electronic Frontier Foundation, cho biết muốn nó, cơ quan thực thi pháp luật hay cách khác.

Bảng điều khiển phân tích vị trí

INRIX, một công ty tư nhân có trụ sở tại Kirkland, Wash., cung cấp dữ liệu về bãi đậu xe, giao thông và vị trí tổng hợp cho các đại lý vận tải, nhà sản xuất ô tô và nhà phát triển phần mềm.

Trong tài liệu quảng cáo cho sản phẩm “Vehicle Trips” của mình, công ty tự hào rằng dữ liệu của họ “ thu thập hơn 150 triệu chuyến đi ẩn danh ” và 36 tỷ “điểm dữ liệu thời gian thực” mỗi ngày, với tần suất cập nhật cứ sau ba giây.

Các công ty dữ liệu vị trí như INRIX, Placer.AI và Safegraph cung cấp các sản phẩm tương tự: bảng điều khiển dễ sử dụng, nơi người dùng có thể nhanh chóng phân tích lưu lượng người đi bộ và phương tiện đến hàng triệu doanh nghiệp bán lẻ, làm nổi bật các mẫu lượt truy cập bằng biểu đồ, bản đồ và các công cụ để so sánh doanh nghiệp cạnh tranh.

Một trong những địa điểm mẫu mà Markup có thể khám phá là một nhà hàng bánh mì kẹp thịt gà ở New Jersey.

Dữ liệu đó cực kỳ có giá trị đối với các nhà quy hoạch thành phố, doanh nghiệp bán lẻ, bất động sản thương mại và các công ty cổ phần tư nhân.

Dữ liệu cung cấp những thông tin chi tiết tổng hợp này đến từ nhiều nguồn, bao gồm ứng dụng điện thoại di động , phương tiện được kết nối, cảm biến giao thông và dữ liệu được mua từ các nhà môi giới khác.

Mặc dù việc theo dõi tổng số người ghé thăm một cửa hàng bánh mì gà có vẻ vô hại, nhưng khi mọi người tìm cách phá thai, rủi ro về quyền riêng tư sẽ thay đổi đáng kể.

Một số công ty dữ liệu vị trí đã nhận ra rủi ro khi bao gồm các vị trí nhạy cảm như văn phòng bác sĩ và nhà thờ.

Ví dụ: công ty tình báo vị trí Cuebiq xuất bản chính sách “ Điểm quan tâm nhạy cảm ” công khai xác định các loại vị trí mà công ty loại trừ để bảo vệ quyền riêng tư của người dùng trong bộ dữ liệu của mình.

Đối tác dữ liệu

Chính sách quyền riêng tư của INRIX nêu rõ rằng họ thu thập dữ liệu cá nhân từ các nguồn của bên thứ ba, bao gồm “các nhà môi giới [d]ata mà chúng tôi mua dữ liệu để bổ sung cho dữ liệu mà chúng tôi thu thập”, mặc dù họ không tiết lộ danh tính của bất kỳ đối tác nào.

Dữ liệu cung cấp năng lượng cho bảng điều khiển mà chúng tôi đã sử dụng chứa manh mối về nguồn dữ liệu điểm ưa thích (POI) của INRIX.

Chúng tôi đã quan sát chức năng tự động hoàn thành trên bảng điều khiển của INRIX thực hiện cuộc gọi tới API cho công ty dữ liệu vị trí TẠI ĐÂY, cung cấp kết quả vị trí cho một ranh giới được chỉ định bởi tọa độ bản đồ.

Dường như cũng có một ID duy nhất do HERE cung cấp cho mỗi vị trí trong dữ liệu.

Kasey Farrar, người phát ngôn của HERE, đã nói với The Markup trong một email rằng công ty “… duy trì các hoạt động dữ liệu 'quyền riêng tư theo thiết kế' mạnh mẽ với các điều khoản và điều kiện nghiêm ngặt đối với việc sử dụng dữ liệu của khách hàng. HERE không thu thập dữ liệu điểm đi-điểm đến của các cá nhân.”

Farrar lưu ý “ điều lệ về quyền riêng tư ” của công ty, trong đó nêu chi tiết một số biện pháp cụ thể được thực hiện để bảo vệ quyền riêng tư của người dùng.

Trang web đánh giá kinh doanh Yelp cũng xuất hiện trong dữ liệu POI. Yelp được liệt kê là “nhà cung cấp” trong dữ liệu cung cấp năng lượng cho bảng điều khiển của INRIX.

Người phát ngôn của Yelp, Julianne Rowe, nói rằng công ty không có quan hệ đối tác với INRIX và rằng các doanh nghiệp “có thể lấy nội dung và dữ liệu của Yelp thông qua API miễn phí của chúng tôi hoặc từ một đối tác được phê duyệt.”

Cô lưu ý rằng địa điểm kinh doanh, giờ làm việc và thông tin liên hệ đều được công khai, kể cả trên trang web của Planned Parenthood.

Có một số danh mục được chỉ định cho các địa điểm Planned Parenthood mà chúng tôi tìm thấy trên INRIX. Các danh mục bao gồm “Dịch vụ y tế/Phòng khám”, “Bệnh viện hoặc Cơ sở chăm sóc sức khỏe” và “Dịch vụ người tiêu dùng”.

Mặc dù hầu hết dữ liệu chúng ta có thể thấy trên bảng điều khiển của INRIX dường như được tổng hợp, nhưng vẫn có những rủi ro đối với người dùng.

Nhiều công ty trong ngành dữ liệu vị trí trị giá hàng tỷ đô la nhấn mạnh rằng quyền riêng tư của người dùng được bảo vệ, do thực tế là họ chỉ bán dữ liệu tổng hợp, chẳng hạn như một số người nhất định ghé thăm một doanh nghiệp cụ thể trong một tuần cụ thể.

Daymond cho biết INRIX không bán dữ liệu gắn liền với người dùng cá nhân. “INRIX không phải là nhà môi giới dữ liệu…. Chúng tôi không lưu trữ số nhận dạng cá nhân có thể được liên kết với một cá nhân để giúp đảm bảo không có dữ liệu cá nhân nào bị phát hiện.”

Về việc sử dụng dữ liệu tổng hợp trong toàn ngành để bảo vệ quyền riêng tư của người dùng, Barnett của EFF cho biết rằng ngay cả dữ liệu tổng hợp cũng có rủi ro đối với quyền riêng tư của người dùng và các cá nhân vẫn có thể bị nhận dạng trong một số trường hợp .

Daymond của INRIX cho biết: “Điều khoản sử dụng của chúng tôi rõ ràng nghiêm cấm khách hàng sử dụng sản phẩm của chúng tôi theo cách vi phạm luật pháp và quy định.”

Barnett cho biết, mặc dù địa điểm kinh doanh và lưu lượng khách truy cập có vẻ vô thưởng vô phạt, bối cảnh vẫn quan trọng. “Những bộ dữ liệu dường như… được quan sát trong chân không, vô hại này không tồn tại trong chân không. Họ cũng có thể được ném tuyết cùng nhau.

Viết bởi Jon Keegan

Cũng được xuất bản ở đây

Ảnh của Alina Grubnyak trên Bapt