Ketika Anda mengunduh aplikasi baru atau memulai akun online baru, Anda mungkin meng-klik untuk menyetujui kebijakan privasi tanpa pernah membacanya. Tetapi apa yang tidak Anda baca mungkin mengejutkan Anda. Banyak perusahaan mengumpulkan data pribadi dalam jumlah yang banyak dan dapat membagikan info itu.
CNBC berbicara dengan tiga profesional privasi untuk memahami kebijakan privasi dan apa yang perlu diketahui konsumen.
Pelajaran pertama: Kebijakan-kebijakan ini sulit dipahami oleh kebanyakan orang Amerika.
“Mereka tidak dirancang untuk dapat dimengerti oleh konsumen, Anda dan saya. Kebijakan-kebijakan itu ditulis oleh pengacara untuk pengacara untuk melindungi perusahaan,” kata Brian Vecci, kepala bidang teknologi untuk Varonis, sebuah perusahaan cybersecurity yang berfokus pada pengamanan data.
Varonis melakukan penelitian pada bulan Juli tentang berapa lama waktu yang dibutuhkan untuk membaca kebijakan privasi dari beberapa perusahaan terkenal dan menemukan beberapa dapat memakan waktu lebih dari 27 menit. Untuk dapat memahami kebijakan-kebijakan itu setidaknya mensyaratkan level pendidikan sekolah menengah dan terkadang tingkat lanjutan.
“Ketika kita mendapatkan layanan gratis ini, kita melakukan tawar-menawar. Ada pertukaran di sini. Kita mendapatkan sesuatu yang gratis. Dan sebagai gantinya kita memberikan data pribadi ke perusahaan-perusahaan ini,” kata Alex Urbelis, seorang mitra di Blackstone Law Group, yang mengkhususkan diri dalam privasi dan keamanan siber.
Vecci setuju. “Kecuali kamu telah membayar untuk itu, kamu adalah produk. Kamu bukan konsumen,” katanya. “Setiap kali Anda mendaftar untuk suatu aplikasi, dalam banyak kasus, aplikasi itu akan meminta akses ke foto Anda, akses ke lokasi Anda, akses ke file musik Anda, apa pun yang Anda dengarkan. Anda berpotensi menyerahkan banyak informasi. ”
Banyak kebijakan memasukan kalimat yang mengatakan perusahaan dapat mengubah kebijakan kapan saja tanpa pemberitahuan, menurut Vecci. “Perusahaan seharusnya tidak dapat mengubah kebijakan privasi mereka sedikit pun tanpa memberi tahu siapa pun. Perusahaan seharusnya tidak boleh mulai mengumpulkan lebih banyak informasi tentang Anda yang tidak Anda setujui untuk dilakukan.”
Urbelis mengatakan dia kadang bertanya-tanya mengapa perusahaan mengumpulkan data seperti yang mereka lakukan. “Alasan mengapa mereka mengumpulkan semua informasi ini benar-benar merupakan misteri bagi konsumen. Kami tidak tahu apa yang terjadi di sana. Tetapi yang kami tahu adalah bahwa mereka menganggap informasi ini sangat, sangat berharga.”
Informasi yang dikumpulkan terkadang dapat dibagikan dengan pihak ketiga. “Tingkat informasi dan jumlah data yang dikumpulkan dan dibagikan kepada pihak ketiga sangat besar,” kata Michael Kasdan, mitra di Wiggin and Dana, yang berspesialisasi dalam privasi dan kekayaan intelektual.
Sebagian besar perusahaan mengatakan mereka akan menganonimkan data sebelum dibagikan.
“Hanya dengan beberapa titik data lokasi, tiga atau empat poin, katakanlah, data lokasi … dapat digunakan untuk menghilangkan data anonim, dan mencari tahu siapa Anda sebenarnya,” kata Urbelis.
Contoh kebijakan privasi yang merepotkan
CNBC meminta para profesional itu untuk menunjukkan kebijakan privasi yang memiliki potensi berbahaya.
Urbelis prihatin dengan model sikat gigi listrik dari Philips yaitu Sonicare yang dilengkapi dengan Bluetooth. Sikat gigi listrik ini terhubung ke aplikasi untuk mengungkapkan kebiasaan menyikat.
“Ketika Anda mendaftar untuk menggunakan sikat gigi khusus ini, ia mengumpulkan informasi, informasi sensitif, tentang kebiasaan menyikat gigi Anda, di mana gigi berlubang Anda berada,” katanya. “Ketika Anda menyikat, itu mengukur hal-hal seperti tekanan yang Anda gunakan pada sikat gigi, frekuensi kebiasaan menyikat Anda.”
Kebijakan itu mengatakan, “Data pribadi yang kami kumpulkan mungkin termasuk nama depan, nama pengguna, gambar profil, alamat email, jenis kelamin, tanggal lahir/usia, negara, bahasa, dan kata sandi.” Juga ditambahkan, “Philips juga dapat bekerja dengan pihak ketiga yang memproses data pribadi Anda untuk tujuan mereka sendiri.”
Urbelis prihatin dengan berbagi informasi. “Apa yang benar-benar membuat saya takut tentang ini adalah bahwa dalam kebijakan privasi Sonicare, mereka memberi tahu Anda bahwa mereka akan membagikan informasi ini,” katanya.
Seorang juru bicara Philips mengatakan data yang dikumpulkan digunakan untuk personalisasi.
“Aplikasi Sonicare memberikan saran pribadi kepada pengguna tentang cara meningkatkan kebiasaan menyikat gigi dan kebersihan mulut mereka berdasarkan data pribadi mereka. … Berdasarkan data pribadi, pengguna akan dapat menerima layanan yang dipersonalisasi, misalnya menetapkan tujuan pribadi, mengikuti kemajuan dan menerima rekomendasi perawatan mulut,” kata juru bicara Philips Natasha Best dalam email. The Privacy Notice ini bertujuan untuk transparansi dalam hal ini, karena menjelaskan secara rinci data mana yang akan diterima oleh Philips. … Untuk kejelasan, kami ingin menggarisbawahi bahwa beberapa bidang data untuk membuat akun MyPhilips (seperti jenis kelamin , usia) adalah opsional, sehingga pengguna dapat memutuskan untuk memberikan data tersebut, atau memilih untuk tidak melakukannya. ”
Adapun pihak ketiga, Philips mengatakan kepada CNBC, “Bagian dari The Privacy Notice aplikasi Sonicare kami ini menjelaskan opsi bagi pengguna kami untuk menunjukkan keinginan mereka untuk berbagi data pribadi mereka dengan pihak lain (yaitu pihak ketiga yang independen), yang kemudian akan memproses pengguna tersebut. Data pribadi untuk tujuan mereka sendiri dan memberikan layanan mereka sendiri kepada pengguna. The Privacy Notice menjelaskan siapa pihak-pihak ini dan memberi tahu pengguna aplikasi bahwa Philips hanya akan membagikan data mereka dengan pihak ketiga yang independen ini atas permintaan pengguna. Dalam kasus ini, aplikasi akan meminta persetujuan pengguna sebelum berbagi data apa pun.”
Kasdan menandai aplikasi dan situs web Starbucks karena mengumpulkan banyak informasi yang tidak ada hubungannya dengan menyajikan kopi.
Kebijakan privasi Starbuck mengatakan bahwa ia mengumpulkan, “halaman web yang Anda lihat termasuk tanggal dan waktu … dan subjek iklan yang Anda klik atau scroll.”
Kasdan menunjukkan bahwa kebijakan tersebut memungkinkan pihak ketiga untuk mengakses informasi untuk menampilkan iklan atau menautkan aktivitas Anda ke media sosial.
“Kami telah menambahkan fitur tertentu ke situs web dan aplikasi seluler kami yang memungkinkan jejaring sosial (seperti Facebook, Twitter …) untuk melacak aktivitas anggota mereka,” kata kebijakan itu.
Starbucks mengatakan privasi pelanggannya penting.
“Kami secara teratur mengevaluasi semua kebijakan untuk memastikan kami melindungi kepentingan terbaik mereka. Kami berusaha untuk transparan dalam cara kami terlibat dan menggunakan informasi ini untuk mempersonalisasi pengalaman pelanggan kami; kami tidak menjual informasi kepada perusahaan periklanan. Anda juga akan perhatikan bahwa ketentuan kebijakan kami menyediakan opsi pelanggan untuk memilih untuk berbagi informasi dengan kami serta kemampuan untuk memilih keluar atau mengubah informasi apa yang kami akses, dengan persetujuan mereka. Jika pelanggan memiliki pertanyaan tentang kebijakan privasi kami, kami mendorong mereka untuk menghubungi kami secara langsung,” kata juru bicara Starbucks Maggie Jantzen dalam email.
Pemerintah mulai mengatur bagaimana perusahaan mengumpulkan data. Tahun lalu, Peraturan Perlindungan Data Umum, atau GDPR, mulai berlaku di Eropa, mewajibkan perusahaan yang mengumpulkan data di negara-negara Uni Eropa untuk menjelaskan kebijakan mereka bagi konsumen tersebut.
“GDPR pada dasarnya mengatakan jika suatu perusahaan akan mengumpulkan data pribadi warga negara Uni Eropa, perlu dilakukan beberapa hal dengan data yang mungkin belum pernah dilakukan sebelumnya,” kata Vecci. “Itu perlu … misalnya menghapus data ketika itu tidak lagi diperlukan. Perusahaan-perusahaan itu perlu memastikan bahwa hanya orang yang tepat yang memiliki akses ke data itu dan tidak terekspos.”
California memiliki undang-undang serupa yang mulai berlaku tahun depan, dan negara-negara lain akan mengikuti.
Sementara itu, Urbelis dan Kasdan mengatakan Anda harus membaca kebijakan privasi sebelum meng-klik untuk menerima.
“Ini bukan perjanjian yang dinegosiasikan … ini semacam yang ditawarkan oleh perusahaan-perusahaan ini … jika Anda tidak ingin menyetujuinya, Anda tidak dapat mengubahnya secara individual,” kata Kasdan. “Jalan lain adalah tidak menggunakan produk atau layanan itu.”
Sumber: cnbc.com
