Fluxloop-sjef Ulrik Prøitz mener de har funnet en tryggere måte å gjøre forretninger av våre mobilbevegelser.
Ulrik Prøitz er sjef for et norsk selskap i en industri som samler inn enorme mengder informasjon om våre bevegelser. Industrien har vært herjet av en rekke personvernskandaler og mobilprodusentene har gjort en rekke grep for å beskytte sine brukere.
Prøitz var derfor ekstra nervøs forrige sommer. Da hadde han leid inn det eksterne selskapet Orange Cyberdefense for å gjennomgå hvordan de samlet inn og lagret data om nordmenns bevegelser. Fant selskapet feil kunne det få alvorlige konsekvenser. Slik gikk det heldigvis ikke.
– Tiltakene vi har innført gjør det svært vanskelig å identifisere noen, sier Ulrik Prøitz, sjef i Fluxloop.
I dag har det Oslo-baserte selskapet samarbeid med flere av de største kollektivselskapene i Norge. For eksempel bruker kollektivselskapene Ruter og Kolumbus Fluxloop til å gjennomføre spørreundersøkelser mens de reisende er på kjøretøyene. Disse intervjuene brukes til å vurdere kvaliteten på kollektivtilbudet.
– Vi kunne ikke hatt kundene vi har om vi drev med lyssky aktiviteter, sier Prøitz.
Sensitiv informasjon
NRK, Dagens Nyheter i Sverige, og New York Times har de siste årene dokumentert hvordan informasjon om mobilers bevegelser kan brukes til å identifisere og kartlegge enkeltpersoner.
NRK kjøpte selv en datapakke med presise mobilbevegelser til 140.000 norske mobiler for 35.000 kroner. Det gjorde det mulig å identifisere norske offiserer, vanlige nordmenn, og en stortingspolitiker.
Som en følge av NRKs avsløringer åpnet norsk og britisk datatilsyn en etterforskning mot den London-baserte dataselgeren Tamoco. Etterforskningen pågår fortsatt.
Selskaper som Tamoco kalles gjerne dataforhandlere. Disse selskapene samler inn informasjonen fra mobilapper innen kategorier som vær, navigasjon, og spill. NRK avdekket i fjor at mange mobileiere ikke er klar over at de blir sporet. To mobilapper oppga også at de ikke visste hvor informasjonen de samlet inn endte opp.
Undersøkelser gjort av NRK viser at mange mobilapper som samarbeider med dataforhandlere oppgir formål som «markedsføring», «markedsundersøkelser», og «analyse» uten å utdype akkurat hva dette innebærer.
– Her foregår det åpenbart ulovligheter. Det største problemet er at bransjen ikke er flinke til å være transparente. Bransjen har blitt litt for ivrige etter å tjene de raske pengene, sier Prøitz, som er kritisk til at det er mulig å kjøpe store mengder presise bevegelsesdata.
NRK har forelagt Tamoco kritikken av bransjen, men de har ikke svart på vår henvendelse.
Tamoco har tidligere fortalt at de kun er et mellomledd mellom apputviklere og dem som benytter bevegelsesdataene. Selskapet hevdet også at de «gjør grundige undersøkelser av kundene, og krever å få vite hva dataene brukes til».
– Hvis brukeren av våre data gjør noe ulovlig utenfor vår kontroll, er det urettferdig å skylde på oss så lenge det ikke var rimelige tiltak vi kunne gjennomført for å stoppe det, skrev Tamoco.
Slik beskyttes mobileierne
Fluxloop samarbeider med en rekke selskaper som er interessert i å vite hvor deres brukere oppholder seg eller få innsikt i bevegelsene til store folkemengder.
For å samle inn informasjonen legger Fluxloop en liten datakode inn i mobilappene til selskapene de samarbeider med. Noen av selskapene tillater at Fluxloop bruker disse dataene i andre analyseprodukter. Om sluttbrukeren godtar å dele informasjon om sine bevegelser i appen blir informasjonen delt med Fluxloop. I noen tilfeller spør mobilappen også om tilgang til nærhetsdata, ofte kalt Bluetooth.
– Vi mener at de samtykkene vi og våre kunder ber om er mye tydeligere og eksplisitte enn det mange andre gjør, sier Prøitz.
Industrien samler typisk inn veldig presise data om mobileiernes bevegelser, ofte med en nøyaktighet på 4 til 20 meter. Hver mobileier får også en unikt navn i dataene. Det gjør det enkelt å identifisere og kartlegge enkeltpersoner selv om det ikke er navn eller telefonnumre i dataene.
Fluxloop har derimot valgt å gjøre en rekke tiltak for å gjøre informasjonen de samler inn vanskeligere å misbruke:
- Den presise posisjonen lagres kun på mobilen. Fluxloop får kun vite det omtrentlige område, kalt grunnkrets, reisen starter og stopper.
- Ingen reiser kobles sammen og ingen mobiler får unike navn.
- De får ikke vite det nøyaktige tidspunktet en reise skjer, men et tidsinterval.
Disse tiltakene sikrer at Fluxloop kun vet at en mobil, ikke hvilken, har reist fra område A til område B. Slik vil bevegelsene til en mobil i Oslo se ut hos Fluxloop:
Da Fluxloop startet i 2012 samlet de inn mer informasjon om brukerne, men det har de siden sluttet helt med.
– Vi har definitivt erkjent at måten vi har operert på før ikke er noe vi kan stå innefor idag, sier Prøitz.
Ikke helt risikofritt
Den italienske forskeren Luca Pappalardo har i en årrekke forsket på bevegelsesdata. Til NRK oppgir han at også selv mindre detaljert bevegelsesdata har en personvernrisiko.
I et av eksperimentene fikk han tilgang til reisene til private biler i Firenze og Pisa-området. Der fikk forskerne vite hvilke italienske grunnkretser en bil hadde besøkt. Visste forskerne hvor bileierne bodde og jobbet kunne de «angripe» det tilsynelatende trygge datasettet. Dermed kunne de i mange tilfeller identifisere hvilken bil som stod for bilreisene.
– I eksperimentene våre så vi at den gjennomsnittlige personvernrisikoen for dette scenariet var ganske høy, sier Pappalardo, som jobber ved det italienske forskningsrådet.
Det er enda vanskeligere å identifisere mobileiere med Fluxloop-data, ifølge Orange Cyberdefense, som undersøkte kjente og nye metoder for å identifisere mobileiere.
Det skyldes at det i motsetning til bildataene ikke er noen koblinger mellom reisene i Fluxloop-dataene. Orange Cyberdefense konkluderte i en rapport NRKbeta har fått lese at «Fluxloop har gjort det vanskelig eller umulig å identifisere individer i datasettet».
Kun i noen svært begrensede tilfeller kan det være mulig å lære mer om en persons reiser, mente granskerne. Vet man hvor en person bor og jobber, tror granskerne at det noen ganger kan være mulig å gjette seg til når personen drar på jobb.
Disse personvernfarene er altså milevis unna det man kan gjøre med Tamoco-dataene: Der kunne enkeltpersoners presise bevegelser observeres i mer enn 200 dager. Med mobilitetsdataene til Fluxloop kan det være mulig å gjette seg til noen av reisene en person har tatt.