公共机构使用渐进式Web应用程序是否违反GDPR?

2020-06-08 00:45:56

我在谈论联系人追踪应用程序时犹豫不决,因为有太多人在谈论这个话题,反复重复相同陈词滥调的比例也很高。在这个相当简单的问题上,几乎没有什么有见地的东西可以说。但最近有消息称,一款特定的联系人追踪应用程序正在使用一种方法,这可能会引发一个潜在的争议问题。

Covid-19接触追踪是一个敏感领域。这不仅关系到数百万用户的健康数据。它还涉及跟踪这些人之间的接近程度和联系方式,以及安装国家提供的应用程序。这个话题太大了,以至于谷歌/苹果更新了他们的操作系统,提供了一个特殊的API。到目前为止,联系人追踪中的大多数争议都围绕着地理位置数据的收集,或架构方法-集中式或分散式。现在又出现了另一个恰当的例子。

一款特殊的联系人跟踪应用ProtegoSafe(为波兰开发的官方国家支持的应用程序)正在使用Progative Web Application Approach动态加载(如从互联网)其操作的一些逻辑(此处记录:1,2)。

渐进式Web应用程序(PWA)是一种设计方法,它允许构建丰富的Web应用程序,从用户的角度看,这些应用程序的行为(外观和感觉)就像本地应用程序一样。PWA允许以一种简单的方式更新应用程序。当在移动应用程序中使用时,PWA可以提供比通过官方Android或iPhone应用程序商店更快的更新。

它的工作方式是,当应用程序使用PWA模型时,它的某些部分必须从远程服务器下载。在使用Web浏览器的情况下,这通常是关于下载一个名为Manifest的文件,其定义描述了应用程序配置(也可以在这里查看我对Progative Web应用程序的隐私分析)。例如,当第一次安装应用程序或动态更新PWA时,就会发生这种情况。实际上,这是对站点的HTTP请求。意思-应用程序用户的IP地址被传送到由权威机构控制的服务器(在此特定应用程序的情况下,即数字事务部)。

但是,由于该部是一家公共机构,因此它有权将IP地址解析为用户的实际身份,在这种情况下,IP地址可能被视为个人数据,单独挑出个人。

这意味着在接触追踪应用程序中处理的已经敏感的数据将更加敏感,因为如果发生这种情况,这些数据将属于身份识别的人。这将使该系统的情况变得更加敏感,并形成一个引人入胜的GDPR案例研究。与EDPB的意见一致,这当然应该在隐私影响评估中得到协调(建议将其公之于众,因为到今天为止还没有发生这种情况)。

公共机构使用渐进式Web应用程序是否符合数据保护,还是侵犯了用户隐私?欧盟法院裁定,在某些情况下,IP地址确实是个人数据。这是有影响力的布雷耶案:

在线媒体服务提供商在个人访问其向公众开放的网站时注册的IP地址,对于该提供商而言,构成了该规定意义上的个人数据,如果后者具有使其能够利用互联网服务提供商拥有的关于该人的附加数据来识别数据主体的合法手段。

可以想象,一般情况下,它可能适用于公共机构使用渐进式Web应用程序的特定情况?

但是,如果在某些情况下使用PWAS带来的某些后果可能与某些本地独立应用程序不同,则必须解决这些问题。一般来说,系统(因此应用程序)应该始终确保数据处理的正确理由存在。在某些情况下,开发团队可能需要考虑本说明中描述的特定点。您喜欢评估和分析吗?有任何问题、意见、投诉或提议吗?请随时联系:[email protected]