Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Uzmanlar, devletin gizlilik yasası uyarınca birinci sınıf eylem talebinin son olmayacağını söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
25 Şubat 2025
Önerilen bir federal sınıf eylem davası, Amazon’un binlerce üçüncü taraf mobil uygulamaya gömülü yazılım geliştirme kitinin, coğrafi konum bilgileri de dahil olmak üzere hassas kullanıcı verilerini yasa dışı bir şekilde toplayarak, izleyerek ve satarak Washington’un Sağ My Veri Yasası’nı ihlal ettiğini iddia ediyor. Washington Eyaleti’nin veri gizlilik yasası geçen yıl tam olarak yürürlüğe girmesinden bu yana yapılan ilk dava.
Ayrıca bakınız: HIPAA Uyumluluğu: Sağlık endüstrisinin bilmesi gerekenler
Teleferet ve bilgisayar sahtekarlığı ve istismar yasaları da dahil olmak üzere belirli federal yasaların ihlal edildiğini iddia eden dava, 20 Şubat’ta bir Washington Eyalet Federal Mahkemesinde davacı Cassaundra Maxwell tarafından kendisi ve potansiyel olarak milyonlarca insanın benzer şekilde yerleştiği için açıldı.
Washington Eyaleti sakini olan Maxwell, şikayetinde Weather Channel kullanıcısı ve telefonunda mobil uygulamalar sunduğunu söyledi. Uygulamaların her ikisinin de Amazon Reklamlar Yazılım Geliştirme Kitini yerleştirdiğini iddia ediyor. Dava, SKD’nin bilgisi veya rızası olmadan telefonundan konum verileri de dahil olmak üzere kişisel veri topladığını iddia ediyor. “Amazon daha sonra kendi kişisel kazancı ve/veya verilerini başkalarına satmak için bu verilere güveniyordu.”
Dava, binlerce geliştiricinin Amazon ADS SDK’sını milyonlarca tüketici tarafından kullanılan mobil uygulamalara entegre ettiğini söylüyor. Şikayet, “Bilgi ve inanç üzerine Amazon Reklamları, toplu olarak 10.000’den fazla Android ve iPhone mobil uygulamasına yerleştiriliyor.”
Washington’un MHMD Yasası, tüketicinin zarar görmesine neden olan yasanın ihlali için özel bir eylem hakkı öngörmektedir.
Yasa ayrıca, tüketici verileri eyalette toplanıyorsa Washington eyaletinin yerleşik olmayanları için de geçerlidir.
Maxwell, diğer iddiaların yanı sıra, Amazon’un, biyometrik veriler ve “tüketicinin sağlık hizmetleri veya malzemeleri edinme veya alma girişimini makul bir şekilde gösterebilecek” kesin konum bilgileri de dahil olmak üzere, rızası olmadan tüketicinin sağlık verilerini toplayarak MHMD’yi ihlal ettiğini iddia ediyor.
Dava, hasarlar, ihtiyati tedbir, sivil cezalar ve avukatlık ücretleri dahil olmak üzere parasal ve parasal olmayan bir yardım istiyor.
31 Mart 2024’te daha büyük kuruluşlar ve 30 Haziran 2024’te daha küçük kuruluşlar için yürürlüğe giren MHMD Yasası, HIPAA düzenlemeleri kapsamında olmayan tüketici sağlığı verilerinin toplanması, paylaşılması ve satılmasını ele almaktadır.
Amazon, bilgi güvenliği medya grubuna yaptığı açıklamada, davanın iddialarını reddetti.
“Müşteri güveni kazanmak için çok çalışıyoruz ve müşteri gizliliği Amazon için en önemli önceliktir. Bu iddialar doğru değil ve bunu mahkemede açıklamayı dört gözle bekliyoruz.” Dedi.
“Yayıncılarla yapılan anlaşmalarımız, WA’nın Sağlığım My Veri Yasası uyarınca ‘Tüketici Sağlığı Verileri’ olarak kabul edilebilecek herhangi bir bilgi göndermelerini yasaklıyor ve yayıncıların bize kesin konum ve biyometrik verileri göndermelerini yasakladık. Bu bilgi, hemen atarız ve hiçbir şekilde kullanmıyoruz. “
Benzer sınıf eylem davaları, Amazon ve Meta ve Google da dahil olmak üzere diğer şirketlere karşı, yazılımlarının veya kodlarının, rızası olmadan kullanıcılarla ilgili konumu ve diğer verileri izlemek için web sitelerine ve mobil uygulamalara yerleştirildiğini iddia ederek, Maxwell’in Amazon, Washington eyalet yasalarını ihlal ettiğini iddia eden diğer şirketlere karşı açılacak diğer sınıf eylem iddialarının ilkidir.
“MHMDA’nın dahil edilmesi, bu davayı diğer piksel/izleyici davalarından öne çıkaran şeydir.” Dedi.
Diyerek şöyle devam etti: “Yasa geçtikten sonra anlamlı sayıda dava bekledik ve bu noktaya kadar hiç almadığımız biraz şaşırtıcı. Bu, gelecekte diğer MHMDA davaları için bir kıvılcım olabilir.”
Harekete geçmek
Bazı uzmanlar, Amazon SDK’ları veya diğer izleme tipi pikselleri kullanan diğer kuruluşların da Amazon’a karşı Maxwell davasında gelişmelerin nasıl oynandığını izlemeli ve gerekli önlemleri almalı.
Maxwell davasında yer almayan düzenleyici avukat Rachel Rose, “Adalet Bakanlığı Sivil Siber Sahtekarlık Girişimi gibi bir yasa veya girişim altında bir ‘ilk’ var, dikkat çekicidir.” Dedi.
“Temel tavsiye, ilgili gizlilik yasalarına ve güvenlik yasalarına uyulmasını sağlamak için bir risk analizi yapmaktır.” Dedi. “Bu, ihtiyaç duyulan rızayı değerlendirmek, tüketicilere daha sonra onay verildikten sonra devre dışı bırakma yeteneği vermek ve bu rıza sorunlarını ve hüküm ve koşulları bir yapışma sözleşmesinde veya bir web sayfasının altındaki küçük bir yazı tipi bağlantısında gömmemek anlamına gelir. Tıpkı alkol satan bir web sitesini ziyaret etmek gibi. “
Davaya katılmayan hukuk bürosu Clark Hill’den avukat John Howard, Amazon’a karşı şikayetin sağlık endüstrisi için birçok etkisi olduğunu söyledi.
“Burada söz konusu olan SDK, Amazon Appstore’da bir uygulamayı sunmak için kullanılması gerekmese de, uygulama içi alımlar, dijital haklar yönetimi ve diğer işlevler gibi farklı Amazon özelliklerinden tam olarak yararlanmak gerekir. Amazon platformuna özgü “dedi.
“Washington MHMD Yasası kapsamındaki tüketici sağlığı verilerinin çok geniş bir tanımı ve kişisel bilgilerle, takip davası riski altında olabilecek birçok başka varlık olacaktır.” Dedi.
“Ayrıca, uygulama geliştiricileri için geliştirme araç setleri oluşturan diğer hizmet sağlayıcılar, zaten gerekli MHMD uyum mekanizmalarına sahip değillerse de risk altında olabilir.” Dedi.
Maxwell davası, Amazon’a karşı MHMD iddialarını içeren birincisi olsa da, çevrimiçi perakende devi, Ocak ayında bir San Francisco federal mahkemesinde, şirketi gizlice izlemekle suçlayan biri de dahil olmak üzere benzer davalarda önerilen diğer sınıf eylem davalarıyla karşı karşıya kalır. cep telefonları ve topladığı verileri SDK’ları aracılığıyla satıyor.
Amazon’a karşı yapılan son dava, Federal Ticaret Komisyonu ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın FTC Yasası ve Web İzleyicilerinin kullanımını içeren HIPAA gibi federal düzenlemelerin ihlalini sürdürdüğü icra davalarıyla da uyumludur.
Rose, “Büyük ve küçük şirketler, nerede iş yaptıklarının, müşterilerinin nerede olduklarının ve veri girişinin ve çıkışının gerçekleştiğinin farkında olmalıdır.” Dedi. Diyerek şöyle devam etti: “Yıllık kurumsal risk yönetimi stratejisinin bir parçası olarak, potansiyel yükümlülükler ve bir dava veya hükümet icra eyleminden kurtulma yeteneği dikkate alınmalıdır.”