加拿大的隐私法“没有牙齿”：我在对蒂姆·霍顿(Tim Horton)的数据跟踪进行了为期8个月的调查中了解到的

上周，我一直在不耐烦地等着一封特殊的电子邮件到达，直到上周它终于到达了我的收件箱。我希望通过询问蒂姆·霍顿(Tim Horton)的一个技术合作伙伴，了解它对我的了解，从而了解一些关于蒂姆·霍顿的位置监控努力的新情况。

早在6月份，我就报告说，这家咖啡连锁店一直在通过其移动订购应用程序跟踪我和无数其他顾客。

但蒂姆·霍顿本身并不是在做数据分析工作，以处理GPS信号，找出我在哪里生活和工作，以及每当我拜访它的竞争对手时。取而代之的是，蒂姆·霍顿的母公司餐饮品牌国际公司(Restaurant Brands International Inc.)将这项工作承包给了总部位于纽约的雷达实验室公司(Radar Labs Inc.)。

我很好奇雷达的服务器里是否还有关于我的额外信息，因为它正在处理蒂姆·霍顿追踪工作背后的原始数据。

但是，除了一些额外的细节表明手机可以捕捉高度之外，我收到的电子表格中没有太多新的东西，我真的只了解到了我已经知道的：蒂姆·霍顿(Tim Horton)一直在跟踪我。我还了解到，试图找出数据的去向是多么令人沮丧。

从试图找出某家公司对我的哪些数据的整个过程中得出的更重要的结论是，加拿大的个人信息和电子文档保护法案(PIPEDA)存在根本缺陷。

法律专家表示，这项法案在很大程度上是软弱无力的，违反法律的唯一真正惩罚是潜在的声誉损失。

“声誉损害是目前更大的风险，而不是纯粹的法律风险，”渥太华大学法学教授迈克尔·盖斯特(Michael Geist)在7月份我就PIPEDA采访他时说。“法律本身没有足够的效力。”

从理论上讲，根据PIPEDA访问您的数据的权利应该是加拿大人保护他们的隐私和防止公司滥用他们收集的信息的关键组成部分。

在实践中，技术系统是以一种阻碍透明度的方式建立的，当公司无视法律时，他们不会面临任何真正的惩罚。

我对蒂姆·霍顿(Tim Horton)对其客户进行的位置跟踪的调查始于2019年10月，当时我的手机收到一个警报，称该公司的应用程序已经在后台检查了我的位置-换句话说，我当时没有使用这款应用程序。

在我提交了一份请求，要求提供蒂姆·霍顿(Tim Hortons)拥有的所有个人信息(根据PIPEDA，这是每个加拿大人都有的权利)，我收到了大量数据，表明这款应用确实在跟踪我。

雷达实验室正在处理这些数据，将原始位置坐标转化为洞察力，比如推断我在哪里生活和工作，以及我何时访问咖啡连锁店的一个竞争对手的位置的细节。

就在我最初关于这一跟踪的报道发表的同一天，我向雷达实验室提交了一份后续请求，因为它的网站似乎表明，它可能持有更多关于我的位置数据。

RBI已经发送给我的数据似乎是直接从该公司的服务器中提取的，只记录了雷达实验室发送的信息。但雷达的网站称，当客户使用其技术时，雷达每隔三到五分钟就会收到来自手机的稳定的位置数据。

我直接要求雷达查看它拥有的一切，但该公司从未直接回应。

然而，PIPEDA规定：“组织应尽职调查并在任何情况下不晚于收到请求后30天对请求作出回应。”

两个多月过去了，我仍然没有收到雷达的正式回复。

然而，在我发出请求的28天后，我收到了一封来自RBI的电子邮件，上面写道：“雷达将您的请求提交给了RBI。您的访问请求涉及通过蒂姆·霍顿应用程序收集的个人信息，相应地，RBI将为您提供回复。“。

印度央行单方面再给自己30天的时间做出回应，将新的最后期限定为8月11日。

晚上8：27。8月11日，RBI向我发送了另一封电子邮件，其中说，“我们对您在雷达监管下的数据进行了彻底的分析，除了我们已经提供给您的数据之外，没有发现任何额外的数据。”

作为那封电子邮件的一部分，我收到了两张电子表格的数据。RBI的电子邮件称：“附件中的数据既包括之前提供给您的数据，也包括雷达在2019年11月1日至2020年6月12日期间收集的任何新信息。”

从8月份发给我的数据中得到的主要结论与我几个月前得出的结论相同：我手机上的蒂姆·霍顿(Tim Horton)应用程序正在悄悄地将位置坐标和其他数据记录在我的手机上，以努力追踪我。

我手机上的蒂姆·霍顿(Tim Horton)应用程序正在静默地将位置坐标和其他数据记录在我的手机上，试图追踪我

我唯一能找到的新东西是，如果一家公司拥有正确的访问权限，它可能会记录我的海拔高度。

蒂姆·霍顿(Tim Horton)提供的新电子表格中有一栏标有“Floorlevel”、“Alight”和“VerticalAccuracy”，但其中两栏完全没有数据。海拔高度栏只有零散的数据，许多电子表格行都是空的，记录的数字从39.79999924到292.5195313不等，这些数字可能会测量到海拔3英尺或3米，但目前还不清楚。

蒂姆·霍顿(Tim Horton)首席公司官邓肯·富尔顿(Duncan Fulton)在回答后续问题时表示：“我们在回应您的访问请求时，下限水平和垂直精度字段是空的，因为这些字段与您的设备运行的平台没有关联。”“我们确认，我们从未使用海拔数据试图确定您(或其他任何人)在多层建筑内的垂直位置。”

但是，事实证明，一些手机内置了气压计和其他可以跟踪高度的传感器。

除了经度和纬度坐标，以及可能记录海拔的数据，这些电子表格包含了可以仁慈地称为许多胡言乱语的东西。

一列标记为“projectguid”的列具有相同的数字和字母字符串-“5b45b3e7-cacf-4f33-bb60-ea5d20b21dec”-对于每行和另一列(简单地标记为“_id”)，每行都有诸如“5d4e9a70fd4dd2002744e8d7”之类的信息。

我多次试图联系雷达，但唯一的回复是首席执行官兼公司联合创始人尼克·帕特里克(Nick Patrick)发来的一封简短的电子邮件，他告诉我只能与蒂姆·霍顿(Tim Horton)交谈。

蒂姆·霍顿说，其中一些数字是特定地点的唯一标识符。其中一些数字也出现在蒂姆·霍顿发给我的旧文件中。

富尔顿在一封电子邮件中说：“你引用的24个字符的条目(例如593083c28f27e8a156bd63d4)是雷达根据适用的纬度和经度坐标识别位置的唯一标识符，这也包括在我们之前的回复中。”“使用唯一标识符是因为位置有时可能没有特定的街道地址。”

PIPEDA特别预料到了这种情况，法律规定，“所要求的信息应以一般可以理解的形式提供或提供。例如，组织使用缩写或编码记录信息的，应当提供说明。“。

如果我认为某间公司触犯私隐法例，我可以向私隐专员公署投诉，然后可能会进行调查。甚至可能会有一份报告点名批评这家有问题的公司。

作为我调查的结果，蒂姆·霍顿(Tim Hortons)已经因其位置跟踪做法而受到公关方面的打击，隐私专员现在也启动了自己的调查。

最终，我们可能仍然需要相信雷达实验室的话，在这种情况下，通过RBI，它的服务器上没有其他关于我的信息。

自从第一次报道蒂姆·霍顿(Tim Horton)的应用程序以来，我从多个来源听到了关于公司买卖用户数据的灰色市场的传言，甚至可能就是那些公开声称从不出售此类数据的公司。

没有证据表明雷达尔或蒂姆·霍顿参与了这种做法，我也不是说他们这样做。但在我向蒂姆·霍顿索要我的数据之前，我根本不知道雷达实验室有任何关于我的数据，因为这款应用程序和隐私政策没有透露蒂姆·霍顿使用的是哪个第三方服务提供商。

关键是，科技公司设计服务的方式让用户不可能知道幕后的真实情况。

关键问题仍然存在：如果我甚至不知道谁有我的数据，我怎么能有希望控制我的数据到哪里去呢？当我不知道某事正在发生的时候，我怎么能同意呢？

所有这些都不是蒂姆·霍顿独有的。今天的技术系统是为了提供干净的用户界面并隐藏系统的内部而构建的。公众不知道门面背后发生了什么，无论是蒂姆·霍顿(Tim Horton)在做位置跟踪，还是谷歌有限责任公司(Google LLC)和Facebook Inc.。使用每一种可能的数据碎片来定向广告。

然而，当消费者知道他们被使用了，而不是他们和他们的数据被具体使用的方式时，公众信任就会成为牺牲品。如果我们不知道我们的技术是如何工作的，我们就会做最坏的打算。

当我不知道某事正在发生的时候，我怎么能同意呢？

例如，尽管该国所有隐私专家都做出了相反的保证，但莱格最近的一项民意调查发现，52%的加拿大人不相信联邦政府最近推出的新冠肺炎应用程序没有跟踪位置。

只有20%的加拿大人表示他们会安装这款应用程序，如果有足够的公众认购，这款应用程序可能会成为追踪感染传播的关键工具。

在全球范围内，监管大型科技公司仍然是我们这个时代的重大悬而未决的问题之一，但除了几记耳光和无关紧要的罚款之外，没有人拿出答案。

PIPEDA当然不会削减它。透明度的承诺达不到，我们都因此而雪上加霜。

注册接收来自邮政媒体网络公司(Postmedia Network Inc.)旗下的金融邮报(Financial Post)的每日头条新闻。

一封欢迎电子邮件正在发送中。如果您没有看到，请检查您的垃圾文件夹。

邮政媒体致力于保持一个活泼而文明的讨论论坛，并鼓励所有读者分享他们对我们文章的看法。评论可能需要长达一个小时的审核时间才能出现在网站上。我们要求您保持相关和尊重您的评论。我们已经启用了电子邮件通知-如果您收到对您的评论的回复、您关注的评论帖子有更新，或者如果用户关注您的评论，您现在将收到一封电子邮件。有关如何调整您的电子邮件设置的更多信息和详细信息，请访问我们的社区指南。