Google telah dikenai sanksi A $ 60 juta (sekitar $ 40 juta +) di Australia atas pengaturan Android yang telah diterapkannya, sejak sekitar lima tahun, yang ditemukan – dalam putusan pengadilan 2021 – telah menyesatkan konsumen tentang pengumpulan data lokasinya.
Komisi Persaingan & Konsumen Australia (ACCC) memulai proses hukum terhadap Google dan anak perusahaannya di Australia pada Oktober 2019, membawa raksasa teknologi itu ke pengadilan karena membuat pernyataan menyesatkan kepada konsumen tentang pengumpulan dan penggunaan data lokasi pribadi mereka di ponsel Android, antara Januari 2017 dan Desember 2018.
Pada bulan April 2021, pengadilan menemukan bahwa Google telah melanggar Undang-Undang Konsumen Australia ketika menyatakan kepada beberapa pengguna Android bahwa setelan “Riwayat Lokasi” adalah satu-satunya setelan akun Google yang memengaruhi apakah Google mengumpulkan, menyimpan, dan menggunakan data pengenal pribadi tentang lokasi mereka.
Sebenarnya, pengaturan lain — yang disebut ‘Aktivitas Web & Aplikasi’ — juga memungkinkan Google untuk mengambil data lokasi pengguna Android dan ini diaktifkan secara default, seperti yang dicatat oleh ACCC dalam siaran pers hari ini. Alias, pola gelap klasik. (Sebenarnya Google menerapkan pola gelap bersarang, jamak, seperti yang kami jelaskan di bawah.)
Regulator memperkirakan bahwa pengguna sekitar 1,3 juta akun Google di Australia mungkin telah melihat layar yang ditemukan oleh Pengadilan telah melanggar Undang-Undang Konsumen.
“Hukuman signifikan yang dijatuhkan oleh Pengadilan hari ini mengirimkan pesan yang kuat ke platform digital dan bisnis lain, besar dan kecil, bahwa mereka tidak boleh menyesatkan konsumen tentang bagaimana data mereka dikumpulkan dan digunakan,” kata ketua ACCC, Gina Cass-Gottlieb, dalam sebuah pernyataan.
“Google, salah satu perusahaan terbesar di dunia, dapat menyimpan data lokasi yang dikumpulkan melalui pengaturan ‘Aktivitas Web & Aplikasi’ dan data yang disimpan tersebut dapat digunakan oleh Google untuk menargetkan iklan ke beberapa konsumen, bahkan jika konsumen tersebut memiliki ‘ Setelan Riwayat Lokasi dimatikan.”
“Data lokasi pribadi sensitif dan penting bagi beberapa konsumen, dan beberapa pengguna yang melihat representasi mungkin telah membuat pilihan berbeda tentang pengumpulan, penyimpanan, dan penggunaan data lokasi mereka jika representasi yang menyesatkan tidak dibuat oleh Google,” dia ditambahkan.
Menurut ACCC, Google mengambil langkah untuk memperbaiki perilaku yang melanggar pada 20 Desember 2018, yang berarti konsumen di negara tersebut tidak lagi diperlihatkan layar yang menyesatkan.
Pada saat putusan pengadilan tahun lalu, Google mengatakan tidak setuju dengan temuan tersebut dan sedang mempertimbangkan banding. Tapi, dalam acara tersebut, ia memutuskan untuk mengambil benjolan.
(Ini tidak seberat jika pelanggaran terjadi baru-baru ini: ACCC mencatat bahwa sebagian besar tindakan yang dikenai sanksi terjadi sebelum September 2018 sebelum hukuman maksimum untuk pelanggaran Undang-Undang Konsumen ditingkatkan secara substansial — dari $1,1 juta per pelanggaran hingga — sejak saat itu — lebih tinggi dari $10 juta, 3x nilai manfaat yang diperoleh atau, jika nilainya tidak dapat ditentukan, 10% dari omset.)
Pengadilan juga telah memerintahkan Google untuk memastikan kebijakannya mencakup komitmen terhadap kepatuhan, dan persyaratan bahwa Google melatih staf tertentu tentang Hukum Konsumen negara tersebut, serta membayar kontribusi untuk biaya ACCC.
Google dihubungi untuk mengomentari sanksi tersebut. Seorang juru bicara perusahaan mengirimi kami pernyataan ini:
Kami dapat mengonfirmasi bahwa kami telah setuju untuk menyelesaikan masalah tentang perilaku historis dari 2017-2018. Kami telah banyak berinvestasi dalam membuat informasi lokasi mudah dikelola dan mudah dipahami dengan alat pertama di industri seperti kontrol hapus otomatis, sekaligus meminimalkan jumlah data yang disimpan secara signifikan. Seperti yang telah kami tunjukkan, kami berkomitmen untuk membuat pembaruan berkelanjutan yang memberikan kontrol dan transparansi kepada pengguna, sambil menyediakan produk yang paling bermanfaat.
Pola gelap di dalam pola gelap
Siaran pers ACCC mencakup beberapa tangkapan layar yang menunjukkan pemberitahuan Google kepada pengguna Android bahwa pengadilan ditemukan menyesatkan — yang mencakup tiga versi layar pengaturan Web & Aktivitas Google yang ditunjukkan kepada konsumen yang menyiapkan akun Google di perangkat mereka yang tidak menyebutkan kata “ lokasi” sama sekali.
Sebagai gantinya, pada satu — yang muncul antara 30 April 2018 dan 19 Desember 2018 — Google menginstruksikan konsumen bahwa pengaturan “menyimpan penelusuran Anda, riwayat penjelajahan Chrome, dan aktivitas dari situs dan aplikasi yang menggunakan layanan Google”, sebelum mendorong mereka untuk mempertahankan pra -pilihan yang dipilih untuk “menyimpan Web & Aktivitas saya ke akun Google saya” (alias, ikut serta dalam pelacakan Google) dengan menyarankan: “Ini memberi Anda hasil penelusuran, saran, dan personalisasi yang lebih baik di seluruh layanan Google.” Tapi tidak ada penjelasan bahwa pengguna setuju untuk dilacak lokasinya.
Jika pengguna Android memilih untuk mencoba mematikan “Riwayat Lokasi” — yaitu melalui pengaturan yang benar-benar terpisah yang sebenarnya tidak memungkinkan mereka untuk mencegah pelacakan lokasi Google — mereka juga dapat diperlihatkan pop-up membingungkan yang menanyakan keputusan mereka untuk “Jeda Riwayat Lokasi ?”, Seperti yang dikatakan Google, memperingatkan mereka bahwa keputusan itu akan “membatasi fungsionalitas beberapa produk Google dari waktu ke waktu”.
Sulit untuk mengetahui apa maksudnya, karena pengaturan tidak memberdayakan konsumen untuk sepenuhnya mencegah Google mengintai lokasi mereka, jadi mungkin sebagian besar di sana untuk menyebarkan FUD.
Teks dalam pemberitahuan ini diakhiri dengan baris membingungkan lebih lanjut — memberi tahu pengguna untuk “ingat, menjeda pengaturan ini tidak menghapus aktivitas sebelumnya” — dan mengarahkan mereka ke lebih banyak pengaturan di mana Google menyarankan agar mereka “melihat dan mengelola informasi ini di peta Riwayat Lokasi Anda”. Ini mungkin dimaksudkan untuk mengirim mereka ke lubang kelinci yang tidak berguna — sambil mengalihkan perhatian mereka dari pengaturan Web & Aktivitas di mana Google telah menyembunyikan pengaturan pelacakan lokasi lain.
Versi lain dari pengaturan Web & Aktivitas yang menurut pengadilan menyesatkan pengguna Android antara awal 2017 dan akhir 2018 termasuk yang berisi lengkap lima kemungkinan tindakan yang dapat dilakukan pengguna — pilihan yang berlebihan jelas dimaksudkan untuk memperdaya mereka agar membiarkan pengaturan ‘aktif’ apa adanya, karena sangat tidak jelas apa arti hal lain yang tersedia di layar.
“Jika Anda menggunakan lebih dari satu akun secara bersamaan, beberapa data mungkin disimpan di akun default Anda. Pelajari lebih lanjut di support.google.com,” menjalankan satu bagian penting dari cetakan kecil Google yang samar — tanpa benar-benar menautkan URL yang dimaksud untuk mengarahkan konsumen ke tempat mereka sebenarnya ‘belajar lebih banyak’ (atau, yah, dengan cepat menyadari tidak ada apa-apa banyak yang harus dipelajari dan tentu saja tidak ada tombol ‘mati’ di sana).
Potongan cetakan kecil ini sebagian besar tampaknya dimaksudkan untuk melindungi konsumen dari membaca deskripsi sebenarnyan dari fungsi pengaturan Web & Aktivitas — pengaturan yang, ingat, adalah default ke ‘on’ — karena informasi yang sangat penting ini terkubur di bawahnya (dan di atas kotak centang yang lebih menarik). Tetapi bahkan di sini Google tidak jelas: Sekali lagi, tidak menggunakan kata ‘lokasi’ sama sekali; hanya ada referensi tidak langsung ke “Peta” yang terkubur dalam daftar yang mengedepankan ‘pencarian lebih cepat’ dan ‘pengalaman yang disesuaikan’ untuk mendorong konsumen agar setuju.
Dengan menggunakan nama produk Maps-nya yang populer sebagai pengganti lokasi, Google tampaknya menyarankan agar pengguna Android mengaktifkan setelan ini jika ingin menggunakan Maps — alih-alih menjelaskan bahwa setelan mengacu pada kemampuannya untuk melacak lokasi mereka.
Layar pengaturan yang sama juga menyertakan kotak centang yang telah dicentang di samping lebih banyak teks yang menyatakan: “Sertakan riwayat penjelajahan Chrome dan aktivitas dari situs web dan aplikasi yang menggunakan layanan Google” — jadi Google tampaknya memisahkan setelan pelacakan, mungkin sebagai cadangan jika ada dari pengaturan yang telah diperiksa sebelumnya ini tidak dicentang, artinya setidaknya dapat mengambil data melalui yang lain.
Setelah itu ada lagi cetakan kecil, bersarang di bawah rubrik hambar “data dari perangkat ini”, yang berbunyi: “Pelaporan Kontrol Aktivitas Aplikasi dari perangkat ini”. Namun teks ini tidak langsung ditautkan secara visual ke pengaturan apa pun yang dapat berinteraksi dengan pengguna — jadi siapa pun yang melihatnya mungkin menganggap itu tidak mengarahkan mereka ke opsi sama sekali dan melewatkannya.
Airgapped di bawah, menuju bagian paling bawah layar, adalah opsi hyperlink ke “KELOLA AKTIVITAS”. Teks ini lebih tebal — berada di ALL CAPS. Begitu juga menarik mata. Namun apa ini? Mengapa pengguna harus masuk ke submenu Google yang baru untuk mencoba mematikan pelacakan, karena opsi ini tampaknya menyiratkan? Tentunya mereka cukup mengaktifkan tombol ‘on’ di bagian atas layar pengaturan untuk melakukan itu…
Tentu saja semua yang dimasukkan ke dalam kue lapis pola gelap ini mendorong konsumen menjauh dari pemahaman apa pun tentang apa yang sebenarnya terjadi dengan data mereka sehingga mereka menyerah dan membiarkan pelacakan default aktif. Benar-benar masterclass dalam desain manipulatif yang menipu.
Tangkapan layar: ACCC
Reboot besar?
Sementara pernyataan Google hari ini tentang sanksi ACCC berusaha untuk menyiratkan bahwa semua hal pelacakan lokasi yang menyesatkan adalah di masa lalu, perusahaan sedang menghadapi penyelidikan yang sedang berlangsung ke dalam praktik yang sama di Uni Eropa – buka sejak Februari 2020 – di mana hal itu bisa terjadi. untuk denda yang lebih besar jika terbukti melanggar Peraturan Perlindungan Data Umum blok tersebut (karena hukuman dapat mencapai 4% dari omset tahunan global).
Pengawas konsumen di UE benar-benar mengajukan keluhan tentang pelacakan lokasi menipu Google pada November 2018. Jadi Google masih dapat mengklaim itu pindah – apa pun hasilnya.
Rancangan keputusan oleh DPA Irlandia, yang memimpin penyelidikan, diharapkan tahun ini – meskipun keputusan akhir dapat didorong hingga 2023 karena harus ditinjau oleh jaringan DPA blok dan kesepakatan dicapai pada penegakan apa pun.
Tapi ada lagi — awal musim panas ini, kelompok hak konsumen Eropa mengajukan serangkaian keluhan baru terhadap Google — menuduh raksasa periklanan itu menipu desain seputar proses pembuatan akun yang mereka katakan mengarahkan pengguna agar menyetujui pemrosesan data mereka yang ekstensif dan invasif.
Keluhan tersebut menyoroti berapa banyak lagi ‘klik’ yang diperlukan oleh Google untuk memungkinkan pengguna menyisih dari pelacakannya vs menangani kunci data mereka… jadi ditambah perubahan Baik?
Laju lamban penegakan hukum privasi Eropa menunjukkan Google dapat mengharapkan beberapa tahun sebelum pesanan korektif mendarat — sementara itu membuat konsumen terpapar.
Tetapi ada beberapa reformasi yang lebih sulit di cakrawala: Anggota parlemen UE baru-baru ini setuju untuk memasukkan larangan platform online yang merancang dan menggunakan antarmuka yang menipu / manipulatif dan / atau membingungkan dalam pembaruan unggulan yang akan datang untuk buku aturan digital blok tersebut.
Digital Services Act (DSA) umumnya dimaksudkan untuk meningkatkan tanggung jawab dan akuntabilitas seputar layanan digital dengan mengarahkan tata kelola.
Pada pola gelap, banyak yang akan bergantung pada spesifikasi teks DSA, dan interpretasinya, dengan jelas — dan mungkin masih ada ruang gerak untuk platform yang kuat untuk menemukan cara menggunakan praktik hiu untuk merampok hak dan agensi konsumen mereka. Tetapi fitur utama dari undang-undang tersebut adalah memerlukan peran aktif Komisi Eropa dalam penegakan (terhadap platform yang lebih besar — yang disebut VLOP).
Ini termasuk memberdayakan eksekutif UE untuk masuk dan mengeluarkan panduan tentang praktik terbaik di bidang-bidang seperti desain antarmuka. Dikombinasikan dengan kemampuan baru untuk menunjukkan gigi pada pelanggar berulang – karena diberdayakan untuk memukul VLOP dengan denda yang besar jika mereka melanggar aturan DSA – sehingga beberapa peraturan yang berfokus pada konsumen UE dapat, tiba-tiba, menjadi lebih sulit untuk diabaikan. (DSA akan mulai mendaftar mulai tahun depan.)
Hukuman untuk pelanggaran DSA dapat meningkatkan hingga 6% dari omset tahunan global. Jadi biaya dan risiko mencuri data orang tentu meningkat. Apakah itu akan cukup untuk membuat raksasa pelacakan berhenti sejenak untuk berpikir — atau, apa yang benar-benar dibutuhkan, memaksakan reformasi model bisnis yang bermusuhan dengan privasi — masih harus dilihat.