FaceApp prikuplja lične podatke i fotografije korisnika?

FaceApp aplikacija je postala viralna ponovo nakon dve godine. Pomoću nje korisnici mogu u dva klika dodati filtere na svoje selfije, a možda najpopularniji ovih dana jeste „Age“ filter koji može napraviti stariju verziju lica.

Aplikacija bi trebala biti zabavnog karaktera: napravite selfi, stavite filter, podelite, nasmejete se… ali, šta se dešava u pozadini?

Naime, kako u uslovima aplikacije piše, vi dajete „stalnu, neopozivu, besplatnu i na globalnom nivou“ dozvolu za „korištenje, reprodukciju, izmenu, adaptiranje, objavu, prevođenje i stvaranje drugih dela“ od vašeg sadržaja.

Prostim rečima rečeno: ako koristite FaceApp vi ste im dozvolili da koriste vaše lične podatke (ime, prezime, korisničko ime, fotografije…) za bukvalno sve, pa čak i reklame.

Pravnica Elizabeth Potts Weinstein upozorava kako to direktno krši evropske Direktive o zaštiti ličnih podataka (GDPR).

If you use #FaceApp you are giving them a license to use your photos, your name, your username, and your likeness for any purpose including commercial purposes (like on a billboard or internet ad) — see their Terms: https://t.co/e0sTgzowoN pic.twitter.com/XzYxRdXZ9q

— Elizabeth Potts Weinstein (@ElizabethPW) July 17, 2019

Pored svega toga, aplikacija za iOS je iskodirana tako da može pristupiti slikama iako korisnik ne dozvoli pristup galeriji (izabere „Never“). To je moguće jer je Apple zapravo dozvolio developerima da zatraže pristup jednoj slici ukoliko korisnik klikne na nju. Što bi značilo da pored toga što korisnik odbije pristup galeriji, ako klikne na jednu određenu sliku (izvrši se user intent), aplikacija će imati pristup toj slici.

Ovo je skroz ispravno, Apple je omogućio to, ali se postavlja pitanje: zašto bi aplikacija ovog tipa na taj način dolazila do dozvole za pristup slikama? Brže jeste, ali da je sve transparentno zatražili bi od korisnika da dozvoli pristup na regularan način – više o tome.

Sve slike na kojima radi algoritam aplikacije se prvo šalju na servere aplikacije pa se onda rezultat, u vidu obrađene slike, vraća u uređaj. To praktično znači da oni sa servera, gde se obrada vrši, dalje mogu slati slike, skladištiti, prodavati, skrejpovati (engl. scrape) podatke sa njih, itd.

Ipak, u izjavi koju su dali objašnjavaju da ne dele informacije / fotografije korisnika trećim stranama, kao i da ne prikupljaju nikakve podatke od korisnika koji se ne registruju.

Dodaju da se može desiti da se neke slike sačuvaju na serveru do 48 sati radi optimizacije brzine obrade (dodavanje drugih filtera na istu sliku recimo).

Isto tako, dodaju to kako se podaci korisnika ne nalaze u Rusiji (kako su mnogi portali pisali) jer developeri koriste AWS (Amazon) i Google servere za skladištenje i obradu fotografija.

Njihova izjava je rešila mnogo neodumica, ali uslovi korišćenja na njhovom sajtu idalje drže sumnju kod korisnika.

Kompletna izjava:

We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:

1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.

2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.

3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.

4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.

5. We don’t sell or share any user data with any third parties.

6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.

Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696).  We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.

R&D team