Суд присяжних визнав Meta винною у порушенні закону про прослуховування даних трекерів менструацій

Головна — News — Суд присяжних визнав Meta винною у порушенні закону про прослуховування даних трекерів менструацій

Огляд Вироку

5 серпня 2025 року федеральне журі в Північному окрузі Каліфорнії визнало, що компанія Meta свідомо перехоплювала чутливі дані про здоров’я користувачів додатку Flo для відстеження менструацій та вагітності без отримання дійсної згоди, що стало порушенням Закону Каліфорнії про вторгнення в приватність (CIPA). Позивачі в цій колективній позові довели, що інтеграція Facebook SDK Meta призвела до прослуховування та запису приватних комунікацій у додатку, що підриває обґрунтовані очікування користувачів на конфіденційність.

Клонування голосу ШІ у атаках вішингу з використанням дипфейків

2025-08-07

Історія Справи та Процесуальні Аспекти

Позов був спочатку поданий у 2021 році проти Flo Health через опитувальник для нових користувачів, у якому вимагалося розкрити репродуктивні цілі та детальні дані про менструацію чи вагітність. Пізніше до справи були додані компанії Meta, Google і аналітичний провайдер Flurry, коли стало відомо, що вони інтегрували Custom App Events (CAEs) Flo у свої рекламні потоки.

Flo уклала угоду перед судом, стверджуючи, що її політика конфіденційності дозволяє третім особам використовувати аналітику.

Google та Flurry досягли угод, при цьому Flurry погодилася на виплату в розмірі 3,5 мільйона доларів, яка чекає на затвердження.

Meta виступила в суді самостійно, рішуче заперечуючи знання або зловживання даними про здоров’я.

Незважаючи на аргументи Meta, що CAEs є непрозорими закодованими даними без ключа для розшифровки, журі стало на бік позивачів, дійшовши висновку, що внутрішня документація Meta доводить, що компанія точно знала, що отримує.

Технічний Механізм: Телеметрія SDK та Custom App Events

Суть суперечки зосереджена на Facebook Software Development Kit (SDK), вбудованому в додаток Flo. З листопада 2016 року по лютий 2019 року:

Опитування Flo генерувало CAEs, які позначали введення користувачів (наприклад, “вагітна” або “відстеження_менструації”).

Ці події передавалися через HTTPS на сервери телеметрії Meta разом з ідентифікаторами пристроїв (IDFA/GAID).

Meta обробляла ці дані у своїй графі для таргетування реклами, корелюючи маркери репродуктивного здоров’я з демографічними та поведінковими групами.

“Наш SDK отримував структуровані рядки, позначені як ‘lifecycle_event’, які ми пізніше аналізували для оптимізації доставки реклами,” написав інженер Meta у внутрішніх записах Slack 2018 року, які були представлені як докази.

Експерти з конфіденційності зазначають, що хоча SDK прискорюють розробку функцій, вони також створюють “чорні ящики” в ланцюзі постачання даних. Без надійних аудитів або шифрування вмісту CAE треті сторони можуть ретроспективно розшифровувати та повторно використовувати чутливі дані.

Tornado Cash: Конфіденційність чи проблема відмивання грошей?

2025-08-06

Правовий та Регуляторний Контекст

CIPA є одним з найсуворіших державних законів, що регулюють електронний нагляд. Він забороняє будь-яке несанкціоноване “прослуховування” або “запис” приватних комунікацій за допомогою електронних пристроїв. Цей вирок підкреслює останні тенденції в правозастосуванні:

Рекомендації FTC щодо даних про здоров’я (2024): Випущено кращі практики для цифрових платформ охорони здоров’я щодо отримання явної згоди.

Штрафи GDPR в Європі (2023–2025): Багато компаній у сфері охорони здоров’я були покарані за недостатнє зменшення даних.

Очікуваний Закон про конфіденційність даних у США: Може встановити федеральні рамки, подібні до CIPA, якщо буде ухвалено.

Вплив на Таргетинг Реклами на Основі ШІ

Meta та Google використовують моделі машинного навчання з телеметрії партнерських додатків для уточнення сегментів користувачів. Рішення журі сигналізує про посилене увагу до:

Походження Даних: Платформи повинні підтверджувати, що всі вхідні дані відповідають потокам згоди користувачів.

Етика Навчання Моделей: Включення чутливих сигналів здоров’я без явного дозволу може порушувати як цивільне законодавство, так і нові регуляції щодо ШІ.

Механізми Відповідальності: Зростає заклик до незалежних аудитів ланцюгів даних SDK та криптографічних підтверджень схеми даних.

Джейн Доу, дослідниця цифрової конфіденційності в Фонді електронного фронту, зазначила: “Цей вирок підкреслює, що алгоритми не можуть бути відокремлені від своїх джерел даних. Відповідальний ШІ вимагає прозорого походження, особливо при обробці інтимних профілів користувачів.”

Уряд США впроваджує ChatGPT Enterprise за $1 для кожного агентства

2025-08-06

Перспективи Експертів та Майбутнє

Юридичні аналітики прогнозують, що Meta оскаржить вирок, стверджуючи, що CIPA не застосовується до метаданих. Однак змішане використання CAEs для аналітики додатків та таргетингу реклами ускладнює захист. Тим часом Конгрес розглядає законопроекти, спрямовані на зміцнення захисту цифрових даних про здоров’я та вимогу до більш детальних розкриттів SDK.

У заяві Meta йдеться: “Ми не бажали і не обробляли дані про здоров’я чи іншу чутливу інформацію. Наші умови забороняють розробникам їх надсилати, і ми покладаємося на їх дотримання.” Критики заперечують, що покладання на самооцінку розробників є недостатнім без незалежної перевірки.

Основні Висновки для Розробників та Платформ

Впроваджуйте шифрування від початку до кінця для всіх CAEs, що містять особисту інформацію або дані про здоров’я.

Ведіть реєстр походження даних для відстеження схем подій та часових міток згоди.

Проводьте періодичні незалежні аудити вбудованих SDK для забезпечення відповідності політикам.

Наближаються Законодавчі Слухання

Наступного місяця підкомітет Палати представників з цифрових активів, фінансових технологій та інклюзії проведе слухання з питань конфіденційності цифрового здоров’я, на яких очікується свідчення керівників Meta. Спостерігачі прогнозують пропозиції щодо обов’язкового прозорого розкриття SDK та доступу користувачів до журналів подій обміну даними.