https://techcrunch.com/2017/10/13/microsofts-windows-10-breaches-privacy-law-says-dutch-dpa/?ncid=rss
네덜란드의 데이터 보호 당국은 Microsoft의 Windows 10 운영 체제가 원격 측정 메타 데이터 수집으로 인해 현지 개인 정보 보호법을 위반했다고 결론을 내 렸습니다. OS는 2015 년 7 월 말부터 사용할 수 있습니다.
Microsoft에서 기본적으로 수집하는 개인 데이터에는 Windows 10 사용자가 Microsoft의 Edge 브라우저로 웹을 탐색 할 때 방문한 모든 웹 사이트의 URL (전체 원격 측정 기능 제외)과 설치된 모든 응용 프로그램의 사용에 대한 데이터가 포함될 수 있습니다 장치 사용 - 사용 빈도 포함; 앱이 얼마나 자주 활동하는지; 마우스, 키보드, 펜 또는 터치 스크린의 사용 시간 (초).
Microsoft는 Windows 10 사용자의 데이터를 수집 및 처리하여 오류를 수정하고 장치를 최신 상태로 유지하며 자체 제품 및 서비스를 보호하고 향상시킬 수 있다고 말합니다.
그러나 사용자가 옵트 아웃하지 않은 경우 기본 및 전체 원격 측정 수준의 데이터를 사용하여 Windows 및 Edge (Windows 스토어에서 판매되는 모든 앱 포함)에 개인화 된 광고를 표시하고 다른 앱에서 개인화 된 광고를 표시합니다.
로컬 DPA에 따르면 네덜란드에는 Windows 10 Home and Pro를 사용하는 4 백만 개 이상의 활성 장치가 있습니다.
유효한 동의가 없습니다.
네덜란드 DPA는 여러 버전의 OS (Windows 10 Home 및 Pro 포함)를 조사한 결과 오늘날 여러 차례의 데이터 보호법 위반을 확인 했다고 발표 했습니다.
"Microsoft는 사용자에게 사용하는 데이터 유형 및 용도를 명확하게 알려주지 않습니다. 또한 Microsoft는 사용하는 접근 방식 때문에 개인 데이터 처리에 대한 유효한 동의를 제공 할 수 없습니다. 회사는 사용자에게 기본 설정을 사용할 때 웹 브라우저 Edge를 통해 앱 사용 및 웹 서핑 동작에 대한 개인 데이터를 지속적으로 수집한다고 명확하게 알려주지 않습니다.
"Microsoft의 접근 방식으로 인해 사용자는 데이터를 통제 할 수 없습니다. 어떤 데이터가 어떤 용도로 사용되고 있는지에 대한 정보는 제공되지 않으며 이러한 데이터를 기반으로하는 데이터도 맞춤형 광고 및 권장 사항을 제시 할 수 없습니다. 설치시 기본 설정에서 탈퇴하지 않은 경우 사용자에게 제공 할 수 있습니다. "
"Microsoft는 기본 원격 측정법을 통해 수집하는 데이터 범주에 대한 개요를 사용자에게 제공하지만 전체 원격 측정을 통해 수집하는 개인 데이터의 범주에 대한 예를 포함하여 일반적인 방식으로 사람들에게 알립니다. Microsoft가 전체 원격 측정 수준에서 데이터를 수집하는 방식은 예측할 수 없습니다. Microsoft는 다양한 목적으로 수집 된 데이터를 매우 일반적인 방식으로 사용할 수 있습니다. 이러한 목적의 결합과 투명성의 결여를 통해 Microsoft는 데이터 처리를위한 동의와 같은 법적 근거를 얻을 수 없습니다.
"Microsoft의 운영 체제는 컴퓨터에서 수행하는 모든 단계를 따라 진행됩니다. 그 결과 당신 자신의 개입을 방해하게된다 "고 네덜란드 DPA의 부회장 인 Wilbert Tomesen은 성명서에서 밝혔다. "그게 무슨 뜻 이죠? 사람들은 이것에 대해 알고 있습니까, 그들이 이것을 원합니까? Microsoft는 사용자에게이 문제를 스스로 결정할 정당한 기회를 제공해야합니다. "
DPA는 계속해서 "모든 위반을 끝내기를 원한다고 표시했습니다."라고 말하면서 "그것이 사실이 아니라면"회사에 제재를 가할 결정을 내릴 수 있다고 말했습니다. 재정적 벌칙.
이 회사는 이미 2016 년 7 월 현지 조사관 인 CNIL이 프랑스의 데이터 보호법을 준수하기 위해 개인 정보 및 보안 문제를 수정 하는 데 3 개월 을 준 프랑스에서 이러한 처벌의 위협에 직면 했습니다.
언론과 다른 사람들이 출시 직후 Windows 10에서 기본적으로 수집되는 데이터의 범위에 대한 우려를 제기 한 후 2016 년까지 유럽의 데이터 보호 워치 독은 Windows 10에 대한 개인 정보 보호에 대한 우려를 나타 냈습니다.
Microsoft는 Windows 10 Creators Update에 새로운 개인 정보 설정 구조 를 추가하는 등 비판에 비추어 OS에 개인 정보 관련 변경 사항을 적용했습니다 .
그러나 네덜란드 DPA의 견해에 따르면 업데이트가 조사에서 발견 된 위반 사항을 끝내지는 못했습니다.
Microsoft는 네덜란드 DPA의 조사 결과에 대한 블로그 게시물 을 통해 "고객이 Windows 10 Home 및 Windows 10 Pro가 네덜란드 법률에 따라 명확하게 호환된다는 것이 중요하다는 사실을 고객에게 알리기를 바랍니다."
"개인 정보 보호 정책과 관련된 다양한 변경 사항에 대해 다음과 같이 쓰고 있습니다."올해 우리는 고객에게 명확한 선택을 제공하고 사용하기 쉬운 새로운 프라이버시 대시 보드와 몇 가지 새로운 프라이버시 기능을 출시했습니다. 다음 주에는 Fall Creators Update에서 더욱 향상된 개인 정보 보호 기능을 갖추게되었습니다. "
"우리는 Windows 10 Home 및 Pro와 관련된 의견에 네덜란드 DPA와 계속 협력 할 수있는 기회를 환영하며 적절한 솔루션을 찾기 위해 DPA와 계속 협력 할 것입니다."
그러나 회사는 네덜란드 DPA의 조사 결과에 대해 분쟁하고 있으며 "일부 결과와 결론의 정확성"에 대한 감시원과 "구체적인 우려"를 공유했다고 말했습니다.
여기 에이 의견 차이점에 대한 포인트 - 투 - 포인트 반동이 정리되어 있습니다 .
예를 들어 마이크로 소프트는 Dutch DPA와는 "사용하는 데이터의 유형과 용도를 사용자에게 분명하게 알려주지 않습니다."- Windows 10 사용자는 "자신의 개인 정보 선택 및 제어에 대해 알 수 있기 때문에" 개인 정보 선택 화면이나 "자세히 알아보기"또는 "Microsoft 개인 정보 취급 방침"또는 "게시하는 블로그 및 기타 문서"를 통해 사용자가 "배울 수있다"는 다양한 다른 수단을 표시하십시오.
그러나 DPA의 요점은 Microsoft가 어떤 목적으로 수집 된 개인 데이터를 사용자에게 명확히 알리는 것입니다. Microsoft는 본질적으로 Windows 10 사용자가 여러 가지 데이터 소스를 탐색하고 (일부 경우에는 Windows와 같이 Microsoft의 수많은 웹 페이지 중 하나에 관련 정보를 사전에 적극적으로 배치하여 이러한 내용을 스스로 배우려고 노력해야한다고 말하면서) IT 전문가 사이트, 자체).
네덜란드 DPA가 이런 종류의 논쟁에 얼마나 감명을 받았는지는 여전히 남아 있습니다.
내년에는 유럽 전역 에서 새로운 데이터 보호 프레임 워크 ( GDPR )가 발효되며, 개인 데이터 처리에 대한 데이터 주체로부터 동의를 얻는 것에 관한 규칙을 더욱 강화합니다. 즉, 동의, 구체적이고 세분화 된 명확하고 눈에 잘 띄는 선택을 적절히 요구합니다. 문서화되고 쉽게 철회되었다 "고 영국의 감시원 은 말합니다 .
네덜란드 DPA의 주장은 Windows 10에서 현재의 EU DP 법 하에서 "사람의 개인 데이터 처리에 대한 유효한 동의"를 얻지 못하고 있다는 것입니다. 예를 들어 "옵트 아웃 옵션 ""모호하지 않은 동의 "를 얻지 못한다.
또한 "설치 과정에서 사람이 기본 설정을 변경하지 않는다고해서 개인 데이터 사용에 동의하지 않는다는 의미입니다."
그리고 적어도 유럽 연합에서는 개인 정보 처리를위한 동의 표시가 강화 될 것입니다. 따라서 Microsoft는 Windows 10이 향후 몇 달 내에 사용자의 메타 데이터를 빨아들이는 방법에 대한 실질적인 변화를 만들 필요가 있습니다.