Apakah tidak etis untuk melacak penggunaan aplikasi melalui panggilan REST API?

9

Saya membangun aplikasi yang berkomunikasi dengan situs web saya dengan ASIHTTPRequest ke REST API berbasis PHP di sisi server.

Secara alami, di aplikasi saya, saya memiliki titik akhir yang berbeda di sisi server, dan biasanya mengembalikan data JSON.

Apakah tidak etis untuk mencatat konter berapa kali setiap titik akhir dipukul?

Saya ingin menangkap bagaimana aplikasi digunakan untuk menangkap titik akhir apa yang terkena, agen pengguna, waktu hari, mungkin IP mereka (untuk kunjungan kelompok dll).

Haruskah saya meminta izin untuk melakukan ini?

barfoon
sumber

Jawaban:

7

Seharusnya dalam syarat dan ketentuan Anda, tetapi Anda tidak harus memberi tahu pengguna. Secara teknis ini sama dengan file log server HTTP tradisional dan menjalankan statistik terhadapnya.

Namun saya akan memastikan bahwa itu tidak mungkin untuk mengidentifikasi pengguna individu dari data karena dapat melanggar undang-undang privasi lokal atau internasional. Mereka dapat memilih untuk itu jika mereka mau.

Dihapus
sumber
3

Satu-satunya bagian data yang dipertanyakan yang Anda lacak adalah alamat IP. Sisanya cukup generik. Setiap situs yang menerapkan Google Analytics melacak hal yang sama ... tanpa peringatan.

Jika Anda ingin melacak alamat IP (atau hal lain yang dapat membuat pengguna dapat diidentifikasi secara pribadi), Anda harus mendapatkan izin sebelum melakukannya.

Justin Niessner
sumber
Saya telah memposting pertanyaan tindak lanjut mengenai informasi IP: stackoverflow.com/questions/7934312/…
barfoon
2
Lebih jauh untuk ini - bagaimana jika saya hash alamat IP? Dengan begitu saya tidak bisa mendapatkan IP kembali, tetapi saya masih bisa melakukan kunjungan kelompok.
barfoon
@barfoon: pada titik teknis, hanya ada 2 ^ 32 alamat IPv4, jadi hashing mereka tidak harus ireversibel bahkan dengan garam. Yang lebih sulit ditembus adalah dengan menetapkan token yang dibuat secara acak untuk setiap alamat IP, mempertahankan tabel pencarian untuk jangka waktu tertentu (sehingga Anda dapat mengelompokkan permintaan berdasarkan token untuk analisis), dan kemudian menghapus tabel pencarian untuk menghancurkan hubungan antara token dan informasi pengenal pribadi. Tentu saja ini berarti Anda hanya dapat mengelompokkan berdasarkan IP selama periode terbatas, setelah dihapus alamat IP yang sama akan mendapatkan token yang berbeda kunjungan berikutnya.
Steve Jessop