Nettsteder kan se telefonnummeret ditt når du surfer på mobil eller mobilt bredbånd

[stormelf]

Min tolkning av dette er at en slik ordning er akseptabel når det tilbys betalingsløsninger via en mobiltelefonregning eller liknende.

 

Så hvis jeg f.eks. er russisk næringsdrivende med et lugubert usertracking-nettsted, og jeg får det for meg at jeg vil ha greie på telefonnummeret til alle de jeg tracker, så trenger jeg bare å legge ut en håndfull ringetoner til salgs så har jeg gyldig grunn til "mobilsalg" og kan inngå avtale med Telenor og Co om at de skal sende meg mobilnummer til alle som besøker siden min (eller uforvarende laster ned tracking-scriptet mitt når de besøker helt andre nettsider).

 

Brønnøysundregistret: "Brønnøysundregistret, værsågod."

Russern: "Jai vil opprette norsk postboksfirma for å selge ringetone til kjekke norske ongdom"

Brønnøysundregistret: "Ok, skriv under her."

...

Telenor: "Telenor Bedrift, værsågod."

Russern: "Jai vil jerne se det telefonnummer til den mobilabonnent som besoke mitt nettsted."

Telenor: "Har du et norsk firma?"

Russern: "Da. Det ha navn Dritabra Ringetone AS, postboks 1234"

Telenor: "Selger du noe hvor brukeren kan betale via mobiltelefon?"

Russen: "Da. Jai selge flotte ringetone til kjekke norske ongdom."

Telenor: "Har du sikker server?"

Russern: "Da. Jai ha sikreste server i den hele Vladivostok."

Telenor: "Hva er nettadressen hvor nettbutikken ligger plassert?"

Russern: "Det vere www.mobilpersondatatrackerandringtones.com."

Telenor: "Strålende. Velkommen som vår bedriftspartner. Så snart vi har mottatt innbetaling for månedsavgiften så får du mobilnummeret til alle våre abonnenter som henter data fra www.mobilpersondatatrackerandringtones.com."

Russern: "Takk for den avtale. Vi bli gode partner vi to. Ha do forresten den telefonnummer til Netcom Bedrift? Jai ringe dem for å gi flere kjekke norsk ongdom molighet for kjøpa flott rossisk ringetone..."

 

 

Eller var dette eksemplet helt på trynet?

I så fall hvor gikk det galt?

Endret 8. september 2008 av stormelf

[cyclo]

Vel. Får å få en CPA avtale må firmaet ha norsk avdeling, norsk support telefon, samt en hel rekke andre krav.

[nipsen]

Eller var dette eksemplet helt på trynet?

I så fall hvor gikk det galt?

Jeg forestiller meg vel at det kan være fullstendig legitimt for norske selskaper som driver reklameplass- salg å åpne en slik avtale med telenor, etc., før de selger kontaktinformasjonen videre. Samtidig, hvis utenlandske selskaper tegner slike avtaler med telenor, er ikke norsk eller dansk(?) lovverk mye til hjelp for å stoppe noen fra å selge slik info videre.

[stormelf]

Vel. Får å få en CPA avtale må firmaet ha norsk avdeling, norsk support telefon, samt en hel rekke andre krav.

 

Noe sted hvor den rekken med krav finnes til offentlig skue? Holder den vann i praksis eller er det bare ei papirkvern man må gjennom?

 

Hva er det f.eks. som stopper en semiluguber bruktbil- og ringetoneselger fra å inngå en slik CPA-avtale? (Og kanskje under bordet selge alle dataene videre til f.eks. privatetterforskere som jakter på skilsmissegrunn o.l.)

[stormelf]

Ser i Netcom sin CPA at det bl.a. står:

 

10.3 Dersom innholdet er klassifisert som uegnet for mindreårige skal innholdsleverandøren gjøre en sjekk mot operatørens grensesnitt for alderskontroll.

 

Så jeg som innholdsleverandør kan altså til og med finne ut alderen til den som har mobiltelefonen! Fantastisk.

 

Og det var ikke spesielt dyrt dette CPA-greiene heller ser det ut til. Størrelsesorden 50.000,- i etablering og bare 3.000,- pr måned! Trodde det var en halv mill minst, men dette er jo så annenhver enkeltmannsbedrift kan starte ringetone-/overvåkingsfirma i garasjen.

 

Må nok en gang spørre om jeg seriøst missforstår noe her.

[cyclo]

Close, but no sigar Som innholdsleverandør kan man finne ut om vedkommende er myndig eller ikke.

[Gjest medlem-82119]

Fordelen med en pc er at man kan surfe på alle dirty sidene med naboens usikrede nettverk og så vil polti banke på hans dør.

Med mobilen må vi bevise at naboen har lånt den for å slippe unna, og det er vel litt mer tricky.

Vet at det finnes ombygde mobiler som skanner nært nett og plukker opp iden til en tilfeldig som man så kan ringe med når den legger på.

ikke billig, men sikkert kjekt å ha....

 

Personvernet døde uansett for mange mange år siden.

Ser for meg en tjeneste der man surfer med mobilen så popper det opp at surfeloggen sendes til polti hvis man ikke betaler x tusen kroner, og så gjør man det og så sendes loggen til polti allikevel.

 

Jeg mener at alle må vite alt om alle hele tiden, kun da kan ikke personvern misbrukes dvs kun da kan de ikke hevde at man har vært uforsiktige med det.

Er jo ikke verre enn at man lager en nettside med et søkefelt og så kan hvem som helst taste inn en ipadresse og finne ut hvem som eier den eller at man automatisk viser navn og adresse på den som besøker en side med mobilen.

[MentalMoose]

I svaret fra Telenor som Drain Bamaged postet så mener jeg de presiserte at de ikke sendte nr eller annen form for personalia til disse tilbyderne. Vil derfor påstå at eksempelet ditt heldigvis blir veldig feil stormelf

 

Mot innholdsleverandører med avtale med Telenor sender vi et kryptert

alias, som innholdsleverandøren må sende tilbake til Telenor for

betaling. Vi sender ikke telefonnummer til andre steder på internett,

nettopp for å beskytte integriteten til våre kunder.

Vår policy er at kunden skal være anonym inntil han foretar et kjøp

som da krever gjenkjenning for belastning.

[stormelf]

I svaret fra Telenor som Drain Bamaged postet så mener jeg de presiserte at de ikke sendte nr eller annen form for personalia til disse tilbyderne. Vil derfor påstå at eksempelet ditt heldigvis blir veldig feil stormelf

 

Mot innholdsleverandører med avtale med Telenor sender vi et kryptert

alias, som innholdsleverandøren må sende tilbake til Telenor for

betaling. Vi sender ikke telefonnummer til andre steder på internett,

nettopp for å beskytte integriteten til våre kunder.

Vår policy er at kunden skal være anonym inntil han foretar et kjøp

som da krever gjenkjenning for belastning.

 

Her er jeg ikke helt med, kan du forklare i mer detalj hva du mener jeg har forstått feil?

 

Jeg leser det sitatet du referer til som:

 

1. Brukerens nettleser spør etter en bildefil fra www.mobiletrackingandringtones.com (f.eks fordi det er et reklamebanner fra www.mobiletrackingandringtones.com på en annen side du besøker)

 

2. Telenors mobilbredbåndrouter mottar forespørselen fra nettleseren din og ser at denne webadressen tilhører en innholdsleverandørpartner de har avtale med.

 

3. Telenor legger automatisk på en identifikator-header "AG55876SAF6SDHJKW789WEW678NSKS23HJ" (ikke lik mobilnummeret) før de sender forespørselen videre til www.mobiletrackingandringtones.com

 

4. Serveren til www.mobiletrackingandringtones.com mottar identifikatoren, og sender en forespørsel tilbake til Telenor

 

5. Telenor svarer med å fortelle www.mobiletrackingandringtones.com at "AG55876SAF6SDHJKW789WEW678NSKS23HJ" egentlig betyr telefonnummer "901XXXXXX"

 

6. Så lagrer www.mobiletrackingandringtones.com dette i databasen sin, og vet heretter hvem "AG55876SAF6SDHJKW789WEW678NSKS23HJ" er uten å trenge å spørre Telenor

 

 

Hvordan er dette prinsipielt annerledes enn om de hadde sendt selve telefonnummeret hver eneste gang? Oppslagene går naturligvis helt automatisk uansett, de må bare gjøre ett eneste oppslag mot Telenor, så har www.mobiletrackingandringtones.com (eller Google) deretter full oversikt over hvem du er og hvor du er bosatt (samt om du er under 18 år, og kanskje diverse annen info). Det tar 1 sekund ekstra første gangen, men deretter trenger de ikke kontakte Telenor mer.

[cyclo]

Punkt 4, 5 og 6 tror jeg er feil. Må byttes ut med:

 

4. www.mobiletrackingandringtones.com sender forespørselen til telenor: "Vennligst belast AG55876SAF6SDHJKW789WEW678NSKS23HJ xxx kr for yyyy.

 

5. telenor svarer ok AG55876SAF6SDHJKW789WEW678NSKS23HJ belastet, referansenr 90as8d7f9a8s7f9sa87fd

 

6. du mottar en overtaksert sms

 

7. www.mobiletrackingandringtones.com lagrer AG55876SAF6SDHJKW789WEW678NSKS23HJ belastet med kr xxx for yyyy med referansenr 90as8d7f9a8s7f9sa87fd

[stormelf]

Her er svaret jeg fikk fra Datatilsynet. De har ikke noe konkret å si annet enn at de "vil følge med på utviklingen".

 

Det du tar opp er en svært aktuell problemstilling. Foreløpig har ikke Datatilsynet foretatt seg noe i forhold til de mobiloperatørene dette gjelder, men tilsynet er i en utredningsfase i forhold til de personvernmessige problemstillingene som denne praksisen reiser, og vil helt klart følge nøye med på utviklingen innenfor denne sektoren.

[MentalMoose]

I svaret fra Telenor som Drain Bamaged postet så mener jeg de presiserte at de ikke sendte nr eller annen form for personalia til disse tilbyderne. Vil derfor påstå at eksempelet ditt heldigvis blir veldig feil stormelf

 

Mot innholdsleverandører med avtale med Telenor sender vi et kryptert

alias, som innholdsleverandøren må sende tilbake til Telenor for

betaling. Vi sender ikke telefonnummer til andre steder på internett,

nettopp for å beskytte integriteten til våre kunder.

Vår policy er at kunden skal være anonym inntil han foretar et kjøp

som da krever gjenkjenning for belastning.

 

Her er jeg ikke helt med, kan du forklare i mer detalj hva du mener jeg har forstått feil?

 

Jeg leser det sitatet du referer til som:

 

1. Brukerens nettleser spør etter en bildefil fra www.mobiletrackingandringtones.com (f.eks fordi det er et reklamebanner fra www.mobiletrackingandringtones.com på en annen side du besøker)

 

2. Telenors mobilbredbåndrouter mottar forespørselen fra nettleseren din og ser at denne webadressen tilhører en innholdsleverandørpartner de har avtale med.

 

3. Telenor legger automatisk på en identifikator-header "AG55876SAF6SDHJKW789WEW678NSKS23HJ" (ikke lik mobilnummeret) før de sender forespørselen videre til www.mobiletrackingandringtones.com

 

4. Serveren til www.mobiletrackingandringtones.com mottar identifikatoren, og sender en forespørsel tilbake til Telenor

 

5. Telenor svarer med å fortelle www.mobiletrackingandringtones.com at "AG55876SAF6SDHJKW789WEW678NSKS23HJ" egentlig betyr telefonnummer "901XXXXXX"

 

6. Så lagrer www.mobiletrackingandringtones.com dette i databasen sin, og vet heretter hvem "AG55876SAF6SDHJKW789WEW678NSKS23HJ" er uten å trenge å spørre Telenor

 

 

Hvordan er dette prinsipielt annerledes enn om de hadde sendt selve telefonnummeret hver eneste gang? Oppslagene går naturligvis helt automatisk uansett, de må bare gjøre ett eneste oppslag mot Telenor, så har www.mobiletrackingandringtones.com (eller Google) deretter full oversikt over hvem du er og hvor du er bosatt (samt om du er under 18 år, og kanskje diverse annen info). Det tar 1 sekund ekstra første gangen, men deretter trenger de ikke kontakte Telenor mer.

 

Sånn som jeg tolket den så sender Telenor aldri nummeret til innholdsleverandøren, men de snakker med hverandre utelukkende gjennom denne koden. Det vil i så tilfelle si at det kun er Telenor som vet hvilket nummer som gjemmer seg under koden. Ser ingen grunn til at innholdsleverandøren skal få nummeret uansett om trafikken rutes gjennom Telenor der det er nødvendig. Håper virkelig at jeg har rett her for din versjon er betydelig skumlere enn min.

[stormelf]

Sånn som jeg tolket den så sender Telenor aldri nummeret til innholdsleverandøren, men de snakker med hverandre utelukkende gjennom denne koden. Det vil i så tilfelle si at det kun er Telenor som vet hvilket nummer som gjemmer seg under koden. Ser ingen grunn til at innholdsleverandøren skal få nummeret uansett om trafikken rutes gjennom Telenor der det er nødvendig. Håper virkelig at jeg har rett her for din versjon er betydelig skumlere enn min.

 

Opplevelsen med Telia i Sverige syntes i alle fall å være en ganske annen ( http://blogg.idg.se/brahma/ ). Men vi kan jo håpe Telenor har annet syn på personvern enn hva Telia tydeligvis har.

 

Så kan man eventuelt spørre seg hvordan det er med de andre mobiloperatørene da. Har de også anonymiseringstjeneste?

 

NetCom for eksempel...?

 

NetCom er Norges nest største mobiloperatør, og tilbyr mobile kommunikasjonsløsninger. Selskapet eies av det svenskfinske konsernet TeliaSonera

 

...nei-men-i-alle-dager! Sannelig er det ikke Telia som eier selveste NetCom...

 

Men den norske delen av Telia har naturligvis helt annen personvernpraksis enn den svenske, eller..?

Endret 10. september 2008 av stormelf

[cyclo]

Det er jo ikke akkurat slik at de deler teknisk plattform på tvers av landegrensene eller noe sånnt kostnadsbesparende..?

Neppe siden den tekniske plattformen var på plass lenge før Teliasonera kjøpte opp Netcom.

[stormelf]

Det er jo ikke akkurat slik at de deler teknisk plattform på tvers av landegrensene eller noe sånnt kostnadsbesparende..?

Neppe siden den tekniske plattformen var på plass lenge før Teliasonera kjøpte opp Netcom.

 

Du svarer kjapt gitt! Jeg hadde akkurat tenkt 2sek og slettet den setningen

[oktrg500]

Jeg surfet i sin tid via wap med (s)T(j)elenor som leverandør. Ikke fritt for at jeg var innom noen adult sider. Etter en tid begynte jeg å motta spam med adult innehold på samme telefon. Denne tråden er forklaring på hva som skjedde. For jeg registrerte meg ikke noe sted ved å oppgi mitt mobilnummer. Skikkelig ergelig for fungerer det likt i spam verdenen når det gjelder mobil som når det gjelder email adresse, blir opplysningene solgt videre til stadig flere og det hele sprer seg som en omvendt pyramide det er umulig å komme seg ut av. Resultatet er at man mottar mer og mer uønsket spam.

Endret 10. september 2008 av oktrg500

[stormelf]

Men tilbake til eksemplet med den russiske "ringetoneselgeren" som egentlig tjener penger på innsamling av persondata:

 

I følge NetCom sin CPA-beskrivelse ser det faktisk ut til at innholdsleverandøren (www.mobiletrackingandringtones.com) ikke får se ditt mobilnummer før det initsieres en transaksjon. Men hvis en transaksjon utføres så får innholdsleverandøren se "MSISDN i klartekst" dvs mobilnummeret.

 

Ok, det høres jo fair ut ikke sant? Hvis du ikke aktivt kjøper noe så vil aldri innholdsleverandøren kunne initsiere en transaksjon vel? Jeg tror ikke det. Jeg tror www.mobiletrackingandringtones.com når som helst kan initsiere en transaksjon, så lenge de får en forespørsel av noe slag fra din nettleser (f.eks. fordi du var inne på en side som inneholdt et reklamebanner fra www.mobiletrackingandringtones.com som du ikke la merke til engang). Korriger meg hvis jeg tar feil.

 

Sett at www.mobiletrackingandringtones.com faktisk kan initsiere en slik transaksjon mot NetCom uten mitt vitende, og få tilbake mobilnummeret mitt i klartekst. Hva koster det dem og meg? Hva jeg kan se fra NetComs prisliste er det mulig å belaste kunden med kroner 0,-, som vel ingen forbrukere ville reagert noe særlig på. Kanskje det ikke kommer på regningen engang. Jeg er litt usikker på hva det eventuelt koster for innholdsleverandøren, i beste fall 0,-for dem også men det er i alle fall laaangt under kroner 1,-

 

Hvis du var i den litt halvshady delen av webtrackingbransjen - ville du være villig til å betale noen tiører for å kunne identifisere hvem som besøker en nettside? Jeg tror det. Uansett ville naturligvis ikke dette skje mer enn meks én gang pr nettleserbesøk, og kanskje bare én gang per preson hvis brukeren har cookies aktivert i nettleseren (noe mannen-i-gata har).

 

Og hvis du var i reklamebransjen, ville du være villig til å betale en russisk trackingpartner noen tusenlapper for en liste med tidspunkter, navn, adresse og telefonnummer på personer som har vært inne på nettside X?

 

Jeg håper jeg er helt på jordet her.

 

EDIT:

Jeg forutsetter naturligvis her at tracking-firmaet ikke er tvers igjennom redelige ærlige arbeidsfolk som aaaldri ville finne på å gjøre noe som er på kant av de avtalene de har inngått selv om de kunne tjene maaasse penger på det. Iiingen norske businessfolk ville kunne fiiinne på å gjøre noe som ikke var 110% etter lover og avtaler, så derfor måtte jeg ta bryet med å reise helt til russland for å finne en eks-bruktbilselger som var villig til å ignorere et par økonomisk sett helt ubetydelige linjer i avtalen han hadde inngått med NetCom. Hvis han blir "avslørt" sier han bare beklager, og hvis det er riktig ille overleverer han stafettpinnen til broren som allerede har registert www.mobiletrackingandringtones.net...

Endret 10. september 2008 av stormelf

[cyclo]

Vell. Uten at jeg kjenner hverken Netcoms eller Telenors systemer internt vet jeg at systemene er utviklet av profesjonelle. Det er ikke akkurat gutteromshackere som utvikler dem.

Å åpne for at billing informasjon overføres ved nulltakserte meldinger er da et ganske stort sikkerhetshull og det skulle virkelig forundre meg om dette er noe man ikke tok hensyn til under utvikling.

 

Du er forøvrig ganske glad i disse Russland eksemplene dine. Som jeg har påpekt tidligere får ikke tilfeldige russere tilgang til hverken Netcom eller Telenors CPA-systemer.

 

5.1

Kunden plikter å ha kundeservice på alle tjenester som tilbys via de Kortnummer som

fremgår av Avtalen. Kundeservice for alle tjenester på et enkelt Kortnummer skal kunne nås

av Forbrukeren på et telefonnummer. Kunden må håndtere kundeservice direkte og kan ikke

viderekoble kundeservicen. Klager skal behandles innen rimelig tid etter at klagen er

mottatt. Alle klager skal realitetsbehandles. Dersom klagen ikke tas til følge, er det et

minimumskrav at standpunktet i en klageavgjørelse begrunnes og at klagers anførsler i

størst mulig grad besvares.

5.2

Åpningstiden skal som et minimum være fra kl 9-15 i ukedagene.

5.3

Kundeservice skal kommunisere på norsk.

5.4

Utenfor kundeservice sin åpningstid skal det, ved opprigning til nummeret, gis informasjon

om åpningstidene. For eksempel: Kundeservice: 930 00 000, åpent hverdager 9-15.

5.5

Forbrukerens kostnad ved å kontakt kundeservice skal ikke overstige ordinær mobiltakst for

tale.

 

7.1 Innholdsleverandør plikter å ha kundeservice på alle tjenester som tilbys via de Kortnummer

som fremgår av Avtalen, inklusive spørsmål knyttet til markedsføring, bestilling, levering og

betaling. Kundeservice for alle tjenester på et enkelt Kortnummer skal kunne nås av

Forbrukeren på et telefonnummer. Innholdsleverandør må håndtere kundeservice direkte og

kan ikke viderekoble kundeservicen. Klager skal behandles innen rimelig tid etter at klagen

er mottatt. Alle klager skal realitetsbehandles. Dersom klagen ikke tas til følge, er det et

minimumskrav at standpunktet i en klageavgjørelse begrunnes og at klagers anførsler i

størst mulig grad besvares.

7.2 Åpningstiden skal som et minimum være fra kl 9-15 i ukedagene.

7.3 Kundeservice skal kommunisere på norsk.

7.4 Utenfor kundeservice sin åpningstid skal det, ved opprigning til nummeret, gis informasjon

om åpningstidene. For eksempel: Kundeservice: 930 00 000, åpent hverdager 9-15.

7.5 Forbrukerens kostnad ved å kontakt kundeservice skal ikke overstige ordinær mobiltakst for

tale.

 

De foretar også kredittvurdering og tilsvarende av det enkelte selskap de skal gjøre avtale med. Tviler på at hverken Netcom eller Telenor er særlig interesert i å gjøre avtaler med lugubre russiske gutteromsbedrifter.

 

Alle disse russiske gutteromsbedrifteksemplene er ikke reelle og er situasjoner som aldri kommer til å oppstå.

[stormelf]

De foretar også kredittvurdering og tilsvarende av det enkelte selskap de skal gjøre avtale med. Tviler på at hverken Netcom eller Telenor er særlig interesert i å gjøre avtaler med lugubre russiske gutteromsbedrifter.

 

Alle disse russiske gutteromsbedrifteksemplene er ikke reelle og er situasjoner som aldri kommer til å oppstå.

 

Greit. Blås i eksemplet med den fiktive ringetone-selgeren. Det er helt perifert i forhold til selve problemstillingen.

 

Erstatt gjerne alle instanser av "russisk ringetoneselger" med "børsledende internasjonalt informasjonsbyrå", og eg eventuelt erstatt ww.mobiletrackingandringtones.com med www.google-analytics.com eller noe sånnt. Prinsippet er det samme.

 

Poenget er at det virker som en for meg ukjent tredjeperson kan få mitt mobilnummer (og dermed navn og adresse) helt uten min kjennskap, og at dette er vidt forskjellig fra det som er praksis med vanlig bredbånd hvor det kun er ISP som har tilgang til mine persondata, med mindre jeg selv aktivt sprer informasjonen til andre på nettet.

 

PS:

Jeg har forresten ennå ikke fått noe svar fra hverken Telenor eller NetCom på mine spørsmål...

[cyclo]

Helt uten din kjennskap kan det da ikke være, siden du må gjøre flere aktive handlinger. Du må besøke en side og gjøre en aktiv handling for å bestille et produkt/en tjeneste. Det er vell heller ikke ukjent tredjeperson da man gjerne ikke bestiller tjenester helt tilfeldig uten at man vet hvem det er.