Utvecklare får tips om mobilens integritet

Mobilapputvecklare står inför en enorm utmaning för att följa med det snabbt förändrade landskapet i datasekretesslagen. De fick några tips onsdag vid en konferens som ägde rum till ämnet i San Francisco.

De tjänster som mobilappar ger, som ofta drar sig på plats, kontaktlistor och annan personlig information, lyfter fler och fler frågor om hur lämpligt dessa data är samlas in och används. Utvecklare måste fråga sig: Ska jag meddela folk när jag samlar in data? Är vissa saker begränsade lagligt? Skyddas jag om jag säger till mina användare vilka data jag samlar in? I så fall var ska jag berätta för dem det?

Dessa frågor och andra diskuterades under en konferens om sekretess för mobil app på University of California's Hastings College of Law i San Francisco.

"Konsumenterna vill ha bekvämlighet, sociala verktyg och relevans ", säger Kevin Trilli, vice produktchef på San Francisco-baserade TRUSTe, som arbetar för att hjälpa företag att samla in och använda kunddata på ett säkert sätt. "Och integritet är varmt nu på grund av den data- och beteendeinteraktion som möjliggör dessa appar," sa han.

Och det är inte bara mindre nya aktörer som står inför dessa frågor. Delta Airlines ligger mitt i en rättegång för att påstås misslyckas med att följa en lag i Kalifornien som kräver webbplatser och onlinetjänster, inklusive mobila och sociala appar, som samlar in personligt identifierbar information för att tydligt lägga fram en sekretesspolicy.

Ett råd för utvecklare som syftar till att hålla användarna nöjda: Var inte rädd att överkommunicera. Visar klart, vänligt, vanligt engelska språk i appen när det är fråga om vissa typer av privat information, är inte en dålig idé, säger Tim Wyatt, chef för säkerhetsingenjör på Lookout, ett San Francisco-baserat mobilt säkerhetsföretag.

"Frågan är alltid," Kommer någon bli förvånad om de vet att vi gör det här? " Om det finns en antydan om att så är fallet, då är det när du behöver en explicit inloggningsfunktion, säger han.

Om en app har en funktion som automatiskt laddar upp foton från en kamerans roll av en smartphone, är det ett konstigt utformat popup-rutan kan visas när användaren kommer till den punkten i appen och säger "Om du låter oss göra det automatiskt kommer det att ge en snabbare, bättre användarupplevelse för dig. Vill du att vi ska göra det? "Wyatt sa.

Andra lovordade detta tillvägagångssätt. "De flesta kanske inte läser en lång politik, men om du kan lägga små saker på vägen där det är känsligast, det är bra," sa TRUSTe's Trilli.

Att göra dessa typer av anmälningar ser konsekvent ut, samtidigt som konsumenterna alltid ges Alternativet att välja bort är också en bra idé, andra sa. "Det som människor inte tycker om är när saker händer bakom sig, säger Casey Oppenheim, grundare på Disconnect.me, en start i Palo Allt som syftar till att hjälpa konsumenterna att förstå vad som händer med sin personliga information online. Med appar som delar innehållet liberalt bland användarnas vänner, till exempel, "kanske användare inte gillar det, men om de vet om det, om du ger användarna lite kontext om vad som händer kan du bli förvånad över vad de är villiga att acceptera, säger Oppenheim. "Det handlar verkligen om att skapa en dialog mellan vad produkten gör och vad användarnas förväntningar är av sina val", gick Jishnu Menon, data- och produktrådgivare i Mozilla. integritet en central del av deras interna ethos, sade talare på konferensen. "Att rekrytera människor som bryr sig om integritet och inbäddar dem tidigt i produktutvecklingsprocessen är mycket hjälpsamma", sa Lookouts Wyatt. "Gör integritet till en del av företagets kultur."

Techföretag bör också följa deras tarmar. "Om det känns fel, är det förmodligen fel," säger TRUSTe's Trilli.

De som är ansvariga för frågor rörande mobila sekretessfrågor hanterar emellertid problemet med de faktiska sekretesspolicyerna, som har utlöst sina egna uppsättningar frågor.

Det största problemet konsumenterna har med sekretesspolicy är att det är för svårt att sikta genom alla legales för att ge dem mening, säger Morgan Reed, verkställande direktör för Association for Competitive Technology, en handelsgrupp som representerar utvecklare och IT-företag.

Federal Trade Commission, som verkställer federala lagar som skyddar konsumenternas integritet, har emellertid inte så många tips för hur apputvecklare kan effektivisera sin policy. "Jag kan inte ge allmänna råd som" Så här skriver du en integritetspolicy ", säger Laura Berger, en advokat med FTC.

Politiken kommer att bero på företaget och de tjänster som det ger, sa hon. "Du måste börja med fakta om ditt företag", sade hon.

Att advokatbyrån i Kalifornien publicerade en verktygslåda för apputvecklare tidigare i år, vilket ger steg för steg instruktioner om vad företag ska göra eftersom de börjar tänka på integritetshänsyn och utvecklingen av en politik kring dem.

Kaliforniens integritetslagar betraktas allmänt som ett stort inflytande på hur andra länder rikstäckande griper med problemen kring privatliv och mobilappar. Dess lagar gäller även för alla företag som samlar personuppgifter från personer som är bosatta i det landet, oavsett om bolaget är beläget där.

I stället för att tillgripa tillklaganden och verkställighetsåtgärder är Kaliforniens advokatkammare Kamala D. Harris också involverad i en pågående insats för att uppmuntra apputvecklare att självständigt följa lagar om privatliv.

Fortfarande är några av de känsligaste informationstyperna som företag behöver tänka på kreditkortsnummer, geolokalisering och användares kontaktlistor, Travis LeBlanc, Kaliforniens specialassistentadvokat, sade. "Se på dessa saker och ta reda på om du verkligen behöver samla dem", sa han. "Om du inte behöver det, sluta samla det."

Trots dessa rekommendationer krävde vissa konferensdeltagare mer konkret vägledning. "

" Vad händer om jag har en integritetspolicy som helt enkelt säger "Alla dina data tillhör mig. " Är jag då bra? "Sa Jonathan Nelson, grundare av Silicon Valley-baserade hackare och grundare.

Svaret enligt advokatbyrån i Kalifornien är nej. Den federala lagen om skydd för barns personuppgiftsskydd förbjuder exempelvis utvecklare att samla information om pre-tonåringar utan föräldrars samtycke, medan sjukförsäkringsportabilitet och ansvarsskyldighet skulle kunna begränsa vissa typer av medicinsk information från att samlas in från användarna, och äntligen Kaliforniens Online Privacy Protection Act säger att företag måste uttryckligen avslöja vilka typer av personligt identifierbar information de samlar in, säger LeBlanc.

För att undvika privatlivsfall bör företag fungera som om allt de gör är offentligt, sa några. "Det tar bara en person att tänka på integritet på ett kritiskt sätt för att göra dig en rubrik," sa Lookout's Wyatt.