Operačný systém Windows 10 podľa francúzskeho regulačného úradu na ochranu osobných údajov CNIL porušuje tamojšiu legislatívu o ochrane osobných údajov používateľov. Microsoft má na nápravu sporných záležitostí tri mesiace, v opačnom prípade dôjde k zahájeniu vyšetrovania, ktoré môže vyústiť v podniknutie právnych krokov. CNIL v oficiálnom vyjadrení píše, Windows 10 zbiera nadbytočne dáta, ktoré nie sú potrebné pre jeho funkčnosť.
Zbierané dáta v žiadnom prípade nepatria medzi súkromné dáta používateľa alebo informácie o ňom. Patria tam napríklad dáta o používaní Windows Store a tom, aké aplikácie z neho používateľ inštaluje alebo o čase používania jednotlivých systémových aplikácii. Microsoft tieto dáta používa na niečo, čo by sa dalo viac-menej označiť ako propagačné alebo ešte lepšie – štatistické účely. Na základe toho vie povedať, koľko používateľov systému využíva Windows Store, koľko hodín strávili streamovaním obsahu cez aplikáciu Xbox, ako veľmi je reálne využívaný prehliadač Microsoft Edge alebo koľko otázok zodpovedala asistentka Cortana.
Úrad ďalej informuje, že na odosielanie týchto nadbytočných informácii neprišiel analýzou komunikácie, ale že bol na túto situáciu upozornený a typ odosielaných dát o ktorých píše, prebral z podmienok používania operačného systému. O zbere týchto informácii pritom Microsoft otvorene informoval a podrobne sú rozpísané v podmienkach ochrany súkromia. Tieto dáta sa tak z definície dajú považovať za nadbytočné, no určite nie za nebezpečné alebo dokonca kompromitujúce.
Kritika za reklamné ID, nedostatočné zabezpečenie a presun dát do USA
Ďalším porušením francúzskej legislatívy má byť automatické vytvorenie takzvaného reklamného ID. Na základe toho sú aplikácie schopné používateľa identifikovať a poskytovať mu relevantnejšiu reklamu. K vytvoreniu má dochádzať bez výslovného súhlasu používateľa – ak počas inštalácie systému zvolíme Expresné nastavenia. Francúzskym úradom sa nepáči ani používanie reklamných súborov cookies v systéme.
Microsoft je navyše kritizovaný za nedostatočnú úroveň zabezpečenia Microsoft účtu, nakoľko ten je možné chrániť aj PIN kódom s dĺžkou 4 čísel, pričom počet pokusov na zadanie nie je limitovaný. Útočník tak môže hádať prístupový kód neobmedzene. S účtom je častokrát spojená platobná karta a ďalšie citlivé informácie. Priamy prístup k Microsoftu účtu pomocou PIN kódu je možný len pri používaní na zariadení, kde predtým dochádza k dodatočnému overeniu identity cez email. Útočník by tak musel mať prístup priamo k zariadeniu používateľa.
Najväčším problémom, má byť to, že zbierané telemetrické dáta sú odosielané priamo na servery Microsoftu do USA. Dochádzalo k tomu na základe dohody, ktorú ale európsky súdny dvor zrušil v októbri minulého roka. Prenos dát z európskej únie do USA tak na základe starej dohody nie je platný. Vyšetrovanie má podľa zverejnených informácii prebiehať aj v ďalších európskych krajinách.
Napriek tomu, že sa téme odosielania telemetrických údajov venuje odborná verejnosť prakticky od momentu uvedenia operačného systému na trh, doteraz nebolo preukázané, že by dochádzalo k odosielaniu citlivých dát, ku ktorému nesmie dochádzať.
Microsoft reaguje, úradom poskytne plnú spoluprácu
Microsoft zverejnil oficiálne vyjadrenie k celej situácii. V priebehu nasledujúcich mesiacov bude s úradmi blízko spolupracovať, aby plne pochopil všetky obavy a pripomienky úradov a došlo tak k vytvoreniu vhodného riešenia. Ku jednotlivým problematickým bodov sa zatiaľ nevyjadruje. K odosielaniu dát z EÚ do USA však hovorí toľko, že dodržiaval všetky princípy a nariadenia vyplývajúce zo starej dohody, aj napriek tomu, že vládny zástupcovia rokovali o novej dohode Privacy Shield. Momentálne sa plne pripravuje na splnenie všetkých podmienok vyplývajúcich z novej dohody. Zároveň upozorňuje, že prenos dát cez Atlantik podchytáva viacero právnych mechanizmov a klauzúl vytvorených Európskou komisiou a schválených rôznymi európskymi autoritami pre ochranu dát. To, ako celá situácia nakoniec skončí bude rozhodne zaujímavé sledovať.