Innsyn i den skjulte industrien bak datamegling

Dev, som arbeider med dataforskning ved Australian National University, merket seg at e-posten hun fikk fra et stort politisk parti var adressert til et fiktivt navn hun bare hadde brukt i forbindelse med netthandel flere år tidligere. Det samme navnet hadde tidligere dukket opp i spam fra et mindre parti i 2020.

"Det må være knyttet til en transaksjon, kanskje innen strøm eller e-handel", sier hun.

Politisk databruk i et lovtomt rom

Australske politiske partier er unntatt fra personvernlovgivningen, og er derfor ikke forpliktet til å opplyse hvor de får data fra – eller å tilby brukere muligheten til å reservere seg. Dev håper å kunne spore opprinnelsen til opplysningene, men det er vanskelig:

Les også: Ekspertene avslører: Denne funksjonen bør alltid være slått av

"Partiene svarer ikke på henvendelser. Om jeg faktisk finner kilden, ville det vært utrolig", sier hun.

Det er ikke første gang hun forsøker. I fjor klarte hun å spore sin egen kontaktinformasjon tilbake til eiendomsgiganten CoreLogic Australia, som hadde kjøpt opplysningene fra en annen datamegler i 2023 – som igjen hadde fått dem fra enda en aktør i 2016. Den opprinnelige innsamlingen stammer helt tilbake til en markedsføringskampanje i 2014, og Dev fikk vite at dataene hennes trolig har blitt delt med minst 50 selskaper. Det skriver The Guardian.

Hvem er datameglerne – og hva vet de?

Datameglere er selskaper som kjøper og videreselger personopplysninger til blant annet markedsførere, forsikringsselskaper, eiendomsaktører og sosiale medieplattformer. Ifølge en rapport fra Reset.Tech Australia kan slike data inkludere:

• Navn, adresse, alder
• Søkehistorikk og kjøpsvaner
• Økonomisk situasjon og arbeidsforhold
• Leiehistorikk, helseopplysninger og personlige utfordringer
• Seksuell legning, alkohol- og spillevaner
• Posisjonsdata og bevegelsesmønstre

Selv selskaper som hevder å fjerne navnene fra datasett, kan ifølge personvernmyndighetene bidra til at informasjon likevel kan knyttes tilbake til enkeltpersoner.

Personvernlovgivningen henger etter

Australske myndigheter har blitt stadig mer oppmerksomme på utfordringene knyttet til datamegling. En rapport fra konkurransetilsynet ACCC påpeker at selskaper ofte skjuler datadeling bak vagt språk i personvernerklæringer, noe som gjør det vanskelig for brukere å forstå hvem som har tilgang til informasjonen deres – eller hvordan de kan reservere seg.

Ifølge rapporten tar det i snitt 29 minutter å lese en typisk personvernerklæring, som består av nær 7.000 ord. Samtidig sier 74 % av australierne at de er ukomfortable med at personopplysninger deles eller selges.

Trenger politiske endringer

Personvernkommissær Carly Kind beskriver industrien som “svært ugjennomsiktig” og peker på en kompleks verdikjede hvor data bytter hender mange ganger. Hun sier en stor del av aktiviteten trolig er lovlig, men at grensen mellom legitim og uakseptabel bruk er uklar.

"Mange vil oppfatte dette som ubehagelig, og noen ganger rett og slett uakseptabelt", sier hun.

Kind har varslet at hennes etat nå vurderer hvordan eksisterende lovgivning kan brukes mer aktivt mot datameglere – og at dette arbeidet er en prioritet.

Politisk unntak møter kritikk

Dev mener det bør startes en offentlig debatt om hvorvidt politiske partier fortsatt skal være unntatt personvernloven. Hun har flere ganger forsøkt å få vite hvilke data partiene har lagret om henne – uten hell.

Jurist og personvernekspert Katharine Kemp sier det trolig er mulig å stramme inn på datamegling generelt, men hun tviler på at politikere vil utfordre sitt eget unntak.

"Men det betyr ikke at vi bør gi opp", sier hun. – Dette er et område som er modent for reform.

Les også: Viktig mobilinnstilling du bør deaktivere for bedre datasikkerhet