Maximillian Schrems, một nhà hoạt động đến từ Áo, đã nộp đơn khiếu nại Google về việc xử lý dữ liệu cá nhân. Đặc biệt, đã tấn công mã định danh Google của các nhà quảng cáo AAID (ID quảng cáo) mà anh ví như “biển số xe kỹ thuật số”.
Theo ông, AAID đơn giản là một công cụ theo dõi trên smartphone thay vì cookie trong trình duyệt web. Maximillian Schrems, người đứng đầu nhóm bảo mật noyb.eu, đã trở nên nổi bật trong cuộc chiến chống lại các thương hiệu công nghệ lớn.
Google định nghĩa mã định danh duy nhất này trong chính sách bảo mật của bạn là:
«một chuỗi ký tự nhận dạng duy nhất một trình duyệt, một ứng dụng hoặc một thiết bị... Trên các nền tảng không phải trình duyệt, số nhận dạng duy nhất cho phép nhận dạng một thiết bị cụ thể hoặc một ứng dụng được cài đặt trên thiết bị đó. Ví dụ: mã nhận dạng quảng cáo được sử dụng để hiển thị quảng cáo có liên quan trên thiết bị Android…”
AAID rất giống với mã định danh theo dõi hiện diện trong cookie duyệt web: Google và các bên thứ ba (chẳng hạn như nhà cung cấp ứng dụng) có thể truy cập thông tin được lưu trữ trên thiết bị đầu cuối của người dùng. Cái này có thể được sử dụng để xác định sở thích của người dùng được liên kết với AAID của bạn và hiển thị quảng cáo có liên quan trong các ứng dụng khác hoặc thậm chí trên các trang web không liên quan.
Để sử dụng các chức năng khác nhau của hệ điều hành Android, nguyên đơn phải chấp nhận các điều khoản sử dụng dịch vụ Google Play và các quy tắc bảo mật của Google.
Theo mặc định, hệ điều hành Android, được tích hợp bởi "Bộ công cụ dịch vụ của Google Play", sẽ tự động liên kết từng thiết bị Android, bao gồm cả thiết bị của người khiếu nại, với một chuỗi ký tự được gọi là ID quảng cáo ("AAID").
Trong đơn khiếu nại, nhóm bảo mật Noyb của Schrems lập luận rằng bằng cách tạo và lưu trữ các mã này mà không xin phép người dùng trước, Google đã tham gia vào "các hoạt động bất hợp pháp vi phạm luật riêng tư của EU".
Trên thực tế, AAID là “biển số xe kỹ thuật số”. Mọi chuyển động của người dùng đều có thể được liên kết với "biển số xe" này và được sử dụng để tạo hồ sơ về người dùng, sở thích và hành vi của họ. Hồ sơ và tùy chọn này có thể được sử dụng trong quảng cáo được nhắm mục tiêu, mua hàng trong ứng dụng, khuyến mãi, v.v. So với các trình theo dõi truyền thống trên Internet, AAID đơn giản là trình theo dõi trên điện thoại thay vì cookie trên trình duyệt web.
Noyb kêu gọi mở một cuộc điều tra về hoạt động theo dõi của Google và buộc công ty phải tuân thủ các quy định về quyền riêng tư. Ông lập luận rằng nên phạt gã khổng lồ công nghệ nếu cơ quan giám sát tìm thấy bằng chứng về hành vi sai trái.
Theo như anh ấy, định danh này được gọi là AAID (dành cho Mã nhận dạng quảng cáo Android) cho phép Google và các công ty bên thứ ba theo dõi mọi người để thiết lập hồ sơ quảng cáo hoàn chỉnh. Tuy nhiên, theo khuôn khổ pháp lý của Châu Âu, hoạt động như vậy cần có sự đồng ý của mỗi người trước khi thực hiện việc theo dõi nói trên, sự đồng ý mà Google không yêu cầu, theo Schrems. Quy định sau không dựa trên Quy định bảo vệ dữ liệu chung (GDPR), mà dựa trên chỉ thị ngày 12 tháng 2002 năm XNUMX về bảo vệ quyền riêng tư trong lĩnh vực truyền thông điện tử, các điều khoản được đưa vào Đạo luật bảo vệ dữ liệu.
Stefano Rossetti, luật sư về quyền riêng tư tại Noyb cho biết: “Với những thông tin nhận dạng ẩn này trên điện thoại của bạn, Google và các bên thứ ba có thể theo dõi người dùng mà không cần sự đồng ý của họ”. "Nó giống như việc bạn có bột trên tay và chân, để lại dấu vết của mọi việc bạn làm trên điện thoại, cho dù bạn vuốt sang phải hay sang trái trên bài hát bạn đã tải xuống."
Google, công ty có khoảng 300 triệu người dùng Android ở châu Âu, phải đối mặt với một khiếu nại riêng từ Noyb gửi đến cơ quan bảo vệ dữ liệu của Áo, cơ quan này lập luận cụ thể rằng người dùng không thể xóa thông tin nhận dạng khỏi thiết bị Android của họ.
Theo những người quen thuộc với khiếu nại này, Noyb đã chọn cách tiếp cận cơ quan quản lý của Pháp, bởi vì hệ thống pháp luật của nước này đủ để xử lý các khiếu nại theo chỉ thị về Quyền riêng tư điện tử của Châu Âu. Noyb cũng lo ngại về tính hiệu quả của cơ quan bảo vệ dữ liệu của Ireland sau khi một số quốc gia thành viên, bao gồm cả Đức, cáo buộc cơ quan này thực thi chậm chạp.