Dropbox oli ensimmäinen valtavirran pilvitallennuspalvelun tarjoaja ja on edelleen markkinoiden suurin toimija, jolla oli 700 miljoonaa käyttäjää(uusi ikkuna) vuonna 2022. Perehdyimme Dropboxin tietosuojakäytäntöön nähdäksemme, kuinka hyvin yritys suojaa noiden miljoonien ihmisten henkilötietoja.
Kävi ilmi, että siinä on vakavia ongelmia. Sen lisäksi, että Dropbox kerää paljon tietoa teistä, se voi myös jakaa sitä kenen tahansa kanssa, mukaan lukien kaupalliset kumppanit ja lainvalvontaviranomaiset. Dropboxin asiakkaana oleminen tarkoittaa, että annatte yritykselle suuren määrän määräysvaltaa tietoihinne.
Tässä artikkelissa eritellään Dropboxin tietosuojakäytäntö ja selitetään, miten yksityinen Dropbox-vaihtoehtomme Proton Drive eroaa siitä perustavanlaatuisilla tavoilla.
Katsaus Dropboxin yksityisyyteen
Dropbox’n tietosuojakäytäntö(uusi ikkuna) on jaettu käytännössä kahteen osaan: ensimmäinen osa kuvaa palvelun keräämiä tietoja ja seuraava osa listaa kaikki tahot, joiden kanssa Dropbox saattaa jakaa tietojasi. Dropboxin kunniaksi on sanottava, että se esittää kaikki nämä ehdot selkeästi ja ymmärrettävästi. Saatavilla on myös UKK-sivu(uusi ikkuna), joka syventyy tarkemmin tiettyihin aiheisiin.
Mitä tietoja Dropbox kerää
Ensimmäinen asia, jonka huomaatte tietosuojakäytännössä, on Dropboxin keräämän tiedon määrä. Sähköpostiosoitteenne – joka on digitaalisen henkilöllisyytenne ydinosa – lisäksi Dropbox kerää myös nimenne, puhelinnumeronne, fyysisen osoitteenne ja maksutietonne.
Dropbox kerää ja tallentaa myös tietoja, jotka liittyvät lähettämiinne tiedostoihin, joita kutsutaan nimellä ”Your Stuff”. Tämä sisältää tiedoston koon, sen, milloin ja mistä se on lähetetty, kenen kanssa se on jaettu – Dropbox kerää tietoja myös yhteystietoluettelostanne – sekä kaiken tiedostoihin liittyvän toiminnan.
Itse asiassa tiedostotoiminnalla on oma alakohtansa tietosuojakäytännössä, ja syy on selvä. Dropbox näyttää pitävän kirjaa käytännössä kaikesta, mitä tiedostolla voi tehdä. Luominen, muokkaaminen, jakaminen jne. – kaikki kirjataan lokiin jonnekin Dropboxin käyttöä varten.
Lopuksi Dropbox kerää myös paljon tietoa laitteista, joita käytätte palvelun käyttämiseen, sekä IP-osoitteenne(uusi ikkuna), joka on yksilöllinen tunniste, joka voi auttaa määrittämään fyysisen sijaintinne. Vaikka tällä voi olla laillinen tarkoitus, kuten vianetsintä, tuntuu oudolta, että Dropbox kerää tämän ennaltaehkäisevästi.
Tietoja on enemmänkin, mutta nämä näyttävät olevan tärkeimmät tietopisteet, joita Dropbox kerää asiakkaistaan. Mitä yritys kuitenkin tekee tällä tietomäärällä?
Mitä Dropbox tekee kaikella tuolla tiedolla?
Dropbox ilmoittaa, ettei se myy tietojanne mainostajille tai kolmansille osapuolille.
Tämä ei kuitenkaan tarkoita, etteikö se jakaisi niitä.
Yllättävintä on tietojanne vastaanottavien kolmansien osapuolten määrä ja tyyppi. Niihin kuuluu yrityksiä, joiden näyttö yksityisyyden suojasta on erittäin heikko, mukaan lukien Google, Amazon ja OpenAI.
Jotkut näistä ovat järkeviä Dropboxin tarjoamassa yhteydessä, kuten tukiportaali ZenDesk, maksupalveluntarjoaja Stripe tai jopa Amazon Web Services, joka todennäköisesti isännöi Dropboxin palvelimia. Mukana on kuitenkin myös sellaisia, joiden pitäisi saada kuka tahansa harkitsemaan kahdesti, kuten Google, joka myy tietoja liiketoimintamallinaan.
Muita vähemmän tunnettuja yrityksiä ovat mainostajien tietoja analysoiva Kissmetrics ja ChatGPT:n kehittänyt OpenAI, joka tunnetaan oikopolkujen valitsemisesta käyttäjien yksityisyyden kustannuksella.
Eikä siinä vielä kaikki. Yhdysvaltoihin sijoittuvana yrityksenä Dropboxin on noudatettava sikäläisiä etsintälupia ja muita määräyksiä, jotka saattavat olla salaisia(uusi ikkuna) ja joita on usein helppo saada(uusi ikkuna). Tämä tarkoittaa, että tietonne voidaan takavarikoida jopa heiveröisin perustein. Tämän seurauksena Dropbox saa paljon pyyntöjä lainvalvontaviranomaisilta(uusi ikkuna).
Tilanne on kuitenkin vielä pahempi: Dropbox tekee myös selväksi, että se jakaa mielellään tietoja viranomaisille oman harkintansa mukaan. Siinä missä kaikki pilvipalvelut joutuvat tekemään yhteistyötä lainvalvonnan kanssa etsintäluvan tullessa, Dropbox tekee hyvin selväksi, että se antaa tietoja vapaaehtoisesti. Ei ihme, että Edward Snowden kutsui sitä ”PRISM-kumppaniksi pyrkiväksi(uusi ikkuna)”.
Mitä tämä tarkoittaa kuluttajille
Dropbox ei mainosta itseään yksityisyyspalveluna, mutta siitä huolimatta on järkyttävää, kuinka paljon tietoa se kerää ja kenen kanssa se niitä jakaa. Se tietää lähes kaiken, mitä teistä on mahdollista tietää, ja jakaa sen mielellään markkinoijille – niin omilleen kuin kolmansille osapuolille.
Vielä pahempaa on se, että se tekee selväksi jakavansa tietoja poliisille ”yleisen edun nimissä”, mikä on niin epämääräinen termi, että sitä voidaan käyttää oikeuttamaan mikä tahansa tilanne. Tiedämme varmuudella vain sen, että Dropboxin mukaan yksityisyys ei ole yleisen edun mukainen asia.
Vielä huonommaksi asian tekee se, että kaiken tämän tiedon keräämiseksi se on tehnyt käyttäjistään vähemmän turvattuja. Jotta näkisitte, mitä käyttäjät tekevät alustallanne, teidän on voitava purkaa heidän tiedostojensa salaus. Toisin sanoen Dropbox ei käytä päästä päähän -salausta, joka on tietosuojan turvallisin muoto. Tämä heikko keskittyminen tietoturvaan on johtanut pitkään sarjaan Dropboxin tietoturvaloukkauksia.
Vaikka teille sopisikin, että Dropbox tietää yksityisistä tiedoistanne (ja miksi ihmeessä sopisi?), se tosiasia, että tämä käytäntö tekee siitä turvattoman, pitäisi saada teidät pysähtymään.
Yksityinen vaihtoehto Dropboxille
Kehitimme Proton Driven tarjotaksemme yhteisöllemme turvallisen pilvitallennuspalvelun, joka ottaa yksityisyytenne vakavasti. Toisin kuin Dropboxilla, yksityisyytenne ei ole asia, jonka voisimme ottaa pois mielivaltaisesti – se sisältyy palveluun oletuksena.
Emme esimerkiksi kerää paljoakaan tietoa asiakkaistamme. Meillä on sähköpostinne, maksutietonne, jos päivitätte tilauksenne, ja siinäpä se. (Voitte nähdä, kuinka minimoimme tiedonkeruun tietosuojakäytännössämme.) Meillä ei yksinkertaisesti ole kiinnostusta näihin tietoihin, koska liiketoimintamallimme perustuu yksityisten ja turvallisten palveluiden tarjoamiseen asiakkaillemme. Olemme täysin yhteisömme rahoittama, joten meidän ei tarvitse myydä tietoja mainostajille.
Olemme myös vähemmän alttiita lainvalvontaviranomaisten määräyksille, koska toimimme Sveitsissä ja siten meihin sovelletaan Sveitsin tietosuojalakeja, jotka ovat eräitä maailman tiukimpia.
Vaikka haluaisimme käyttää tietojanne tai jakaa niitä, emme pysty siihen. Proton käyttää päästä päähän -salausta kaikissa sovelluksissamme. Tämä tarkoittaa, että tiedostonne salataan laitteellanne ennen kuin ne lähetetään palvelimillemme. Tämä suojaa yksityisyyttänne, mutta varmistaa myös sen, ettei hakkereilla ole paljoa varastettavaa tietomurron sattuessa.
Kaikki tämä on osa missiotamme luoda parempi internet. Jos tämä sekä turvallisempi ja yksityisempi pilvitallennusvaihtoehto kuulostaa siltä, mihin haluaisitte kuulua, luokaa ilmainen Proton Drive -tili ja liitytte joukkoomme.
