Spotify övervakar inte bara ditt musiklyssnande, utan även din hårddisk

“Övervakning” är ett begrepp som fått negativ laddning, men som egentligen borde vara neutralt. Frågan är ju vem som övervakar vem (eller vad som övervakar vad), när, var, hur, i vilket syfte, i vilken skala. Övervakningsstaten är en otrevlig sak, inte för att övervakning är fel, utan för att det rör sig om en stat. Detsamma gäller för de företag som har gjort övervakning till sin affärsidé. Vissa av dessa företag låter övervakningen ske i kulisserna, medan andra spelar på vår vilja att övervaka oss själva.

Sedan tio år har jag t.ex. valt att låta Last.fm övervaka mitt lyssnande på mp3-musik. I gengäld får jag en del riktigt bra musiktips. Jag ger alltså bort data till mediejätten CBS och har ingen kontroll över vart dessa data hamnar eller hur de används. Men jag besväras inte över saken: detaljerad data om min musiklyssning känns inte så värst känslig, jämfört med t.ex. detaljerad data om min läsning eller mina geografiska rörelser. Framför allt inte som min användarprofil på Last.fm saknar formell koppling till mina användarprofiler på andra sajter. Jag litar också – kanske naivt – på att Last.fm inte registrerar annat än just mitt musiklyssnande.

Spotify är ett av många företag som sätter övervakning i system. Delvis fortsätter de på samma spår som Last.fm: det är ingen slump att Spotify redan i startskedet erbjöd användarna att integrera sitt användarkonto med en Last.fm-profil. Senare tillkom en djup integrering mellan Spotify och Facebook. Målet är uppenbarligen att ta reda på exakt vem som lyssnar på vad, samt när och var musiklyssnandet sker. Ur detta informationsberg kan Spotify utvinna de mest intrikata mönster, vilket är en produkt som kan säljas vidare till reklamindustrin.

Att ens musiklyssnande övervakas av Spotify är nog inget skäl för obehag bland flertalet användare. Men faktum är att företagets övervakning går längre än så. Spotify övervakar även filerna vi har på våra hårddiskar.

Jag testade att registrera en ny användare på Spotify, för att jag ville dokumentera hur de bemöter de nytillkomna. Här följer ett utdrag ur mina anteckningar från processen.

Jag registrerar ett nytt Spotifykonto och loggar in med detta på min stationära hemmadator. Det råkar vara samma dator som jag använder för att hantera mp3-filer: där finns program som Soulseek och Itunes, där finns en extern hårddisk där själva mp3-filerna ligger.
Så fort jag har loggat in som en ny användare på Spotify, möts jag av uppmaningen att koppla användarkontot till Facebook för att göra upplevelsen mer “social”. Jag avböjer.
Därefter möts jag av olika slags musikrekommendationer, särskilt i form av “appar” som ska hjälpa mig att få ihop några spellistor. Medan jag överblickar detta utbud, märker jag att Spotify har fullt upp med att kartlägga vilka musikfiler jag har sparade lokalt (på datorns externa hårddisk). Dessa filer listas sedan under “Local files” i vänsterspalten.

I mitt s.k. Itunes-bibliotek finns 23163 objekt, varav nästan alla är ljudfiler i mp3-format. Det verkar vara dessa som Spotify registrerar i en process som tar ganska lång tid. Jag ser att räkneverket tickar en bra bit över 20000, men när processen är färdig finns endast 18116 objekt listade under “Local files”. Vissa av dem är vita, vilket betyder att de finns på Spotify och att jag kan lyssna på dem i Spotify-klienten. Många av dem är dock gråtonade eftersom jag i hög grad lyssnar på musik som inte tillhandahålls av Spotify. Om jag dubbelklickar ett gråtonat objekt får jag budskapet: “This track was added as a local file. If you have the file on your computer you can import it.” Spotify skiljer alltså mellan att registrera existensen av en ljudfil och att “importera” densamma.

Jag noterar att Spotify inte har registrerat de mp3-filer som ligger i mappen “Soulseek downloads”, utan bara de som jag har valt att lägga in i Itunes. Men där finns inte bara musik, utan även en del privata inspelningar som jag har gjort “i fält”, samt ett antal inspelade föredrag som jag har laddat ner från webben.

Vidare så noterar jag att en del filer har fått annan metadata när de hamnar under “Local files” i Spotify, jämfört med den metadata som finns i filerna på min hårddisk och i mitt Itunes. Det kan vara sådant som att gästartister får plats i artistfältet i stället för i spårnamnet. Metadatan har alltså “korrigerats” för att överensstämma med den standard som tillämpas på Spotify. Detta är ett belägg för att alla de 23163 objektens metadata faktiskt har skickats till Spotifys servrar, inte bara lagts in i den lokala klientens databas.

Eftersom processen tar så lång tid, misstänker jag att det är mer än bara metadata som skickats till Spotifys servrar. Troligen skickas även s.k. akustiska fingeravtryck. Spotify övervakar alltså även innehållet i tusentals ljudfiler på min hårddisk.

Visst är det anmärkningsvärt att Spotify tar sig friheten att söka igenom ljudfilerna på min hårddisk, utan att fråga först! Fundera på om en distributör av e-böcker skulle göra samma sak, alltså söka igenom samtliga textfiler på hårddisken och registrera dessa på en central server. Skulle ljud vara mindre känsligt än text? Vem vet vilka ljudinspelningar som Spotify kan söka igenom – och vem kan veta om Spotify har en bakdörr till t.ex. NSA?

Min första tanke blir förstås att jag måste ha klickat förbi en finstilt text där jag accepterar att Spotify söker igenom min hårddisk efter ljudfiler. Därför tittar jag närmare på “Spotify Privacy Policy“. Det närmaste jag kommer är följande stycke:

2.2 Usage & log data
When you use the Service, we automatically collect certain information, including: (i) information about your type of subscription and your, interactions with the Service, including with songs, playlists, other Spotify users, Third Party Applications (as defined in the Terms and Conditions of Use) and advertising, products and services which are offered, linked to or made available on the Service; (ii) the details of the queries you make; (iii) User Content (as defined in the Terms and Conditions of Use);

Ljudfilerna på min hårddisk kan knappast räknas som en “interaktion med tjänsten”. De faller heller inte under användaravtalets definition av “User Content“, som handlar om sådant man aktivt postar Spotify. Med vilken rätt kan då Spotify söka igenom mina lokalt lagrade ljudfiler?

27 kommentarer ↓

#1 Ann on 1 April 2014 at 2:12 pm

Det finns “preferences” för lokala filer. Hur är dessa ikryssade i defaultläget? Kan gissa på att de kör med allt ikryssat som default så att du “själv” har valt att bli kartlagd. :-(

#2 rasmus on 1 April 2014 at 3:49 pm

Precis, det finns i preferences och kan kryssas bort men är ikryssat som default. Grejen är att genomsökningen av ens hårddisk inleds OMEDELBART när man första gången loggat in på Spotify, så det är inte ens hypotetiskt möjligt att stoppa.

#3 Anon on 1 April 2014 at 5:46 pm

Grymt bra aprilskämt, trodde nästan det var på riktigt tills den sista biten!

#4 rasmus on 1 April 2014 at 8:06 pm

Anon: Vad menar du? Vad var grejen med sista biten?

Jag må vara gammal men jag är för helvete ingen 60-årig lokaltidningsredaktör. Alltså: jag sysslar inte med aprilskämt.

#5 Patrik on 1 April 2014 at 9:41 pm

Anon = troll?

Väldigt intressant inlägg. Är väldigt intresserad över fortsättningen… Känns lite mkt att spotify ska söka genom folks datorer. Att de kartlägger hur jag lyssnar kan jag vara OK med.

#6 m on 1 April 2014 at 10:12 pm

“Vi ser att du har piratkopierade mp3-filer på hårddisken. Det vore tråkigt om polisen fick reda på det, inte sant? Så, är du riktigt, riktigt säker på att du inte vill prenumerera på Spotify premium?”

#7 T-Short on 1 April 2014 at 11:00 pm

John Carmack sa så här i en intervju efter Facebooks köp av Oculus VR:
“I’m not a ‘privacy is gone, get over it’ sort of person, and I fully support people that want remain unobserved, but that means disengaging from many opportunities. The idea that companies are supposed to interact with you and not pay attention has never seemed sane to me.”

#8 Malte on 2 April 2014 at 2:27 am

Undervakning.

#9 Hemske Sven on 2 April 2014 at 8:51 pm

Hm, spännande. Det blir nog till att avspotifiera sig tror jag bestämt. Ja, så gör vi.

#10 Viktualiebrodern on 2 April 2014 at 10:29 pm

Kan återigen konstatera att världen uppvisar dålig kompatibilitet med min blötvara. Thank you but no thank you. Non serviam.

#11 Manfred on 3 April 2014 at 8:23 am

Rasmus: men hur menar du att övervakning kan vara neutral?
De ledande demokratierna i världen sysslar nämligen sedan längre tid med att principiellt kunna kontrollera allt och alla genom uthämtning och analys av data i nätet; de vill kunna skapa alla möjliga profiler av medborgarna – deras rörelse-, kontakt,- och faktaprofiler.
Staten täpper till alla porer i den sfär, som allmänt antas vara den orten, där individen kan utveckla sig fritt, helt utan att besväras av staten.
I privatlivet sysselsätter man sig med sina egna angelägenheter och trampar sig ömsesidigt på fötterna, utan att staten blandar sig i det. Men den friheten har innebörden, att man ska hålla sig till lagarna. Statsmakten släpper inte lös sina medborgare i den mening att den inte bryr sig om det folk håller på med, utan sörjer med sina lagar för att folk håller sig inom de behöriga gränserna (egendom kan enbart förvärvas med pengar, pengar måste man tjäna med arbete etc.). Man lever i en rättsstat, där principen gäller, att staten inte lägger sig i det man gör, så länge man håller sig till det som är tillåtet. Friheten är alltså en licens vi fått av statsmakten. Det finns ingen avdelning i samhället där man sysselsätter sig utan statlig licens. Utan friheten är det förhållande, som statsmakten har gentemot sitt folk : en koncession, ett ”frihetsbrev”.Frihet betyder inte, att staten partiellt, t. ex. i den privata konkurrensen, avstår från sin förfoganderätt över samhället. Utan varje frihet som medborgaren njuter av, är en frihet som staten har beviljat.

#12 Christopher Kullenberg on 3 April 2014 at 9:47 pm

Förstatliga Spotify!

#13 kjell on 4 April 2014 at 5:53 am

Christopher Kullenberg ; +1

#14 Viktualiebrodern on 4 April 2014 at 7:33 am

Det är sannolikare att staten förspotifieras.

#15 Viktualiebrodern on 4 April 2014 at 7:35 am

Spotifikrati. Spotifitruker.

#16 gustav on 4 April 2014 at 4:46 pm

Hur kan övervakningen vara neutral? Människor som övervakas är alltid del av ett förtryck.

#17 rasmus on 4 April 2014 at 7:25 pm

Jag påstod inte att övervakningen, i något av dess konkreta tillämpningar, skulle vara neutral. Jag påstod att övervakning som begrepp borde betraktas som “neutralt”. Med detta menar jag att det inte borde ha någon positiv eller negativ laddning i sig, utan snarare begripas på samma nivå som “avbildning”.

#18 Rallarn on 5 April 2014 at 7:16 pm

Polisanmäl dom!

#19 Rallarn on 5 April 2014 at 7:16 pm

Dataintrång bör väl brottsrubriceringen vara.

#20 Carl W. on 5 April 2014 at 8:35 pm

På min dator så har Spotify ingen synlig koppling till lokala filer. Men det kan nog bero på att jag från början (typ för ett år sedan) installerade en version av Spotify som ännu inte hade detta beteende som default.

Ytterligare ett problem med ofri programvara… För att verifiera dess funktionalitet över tid måste man först gräva fram gamla binärer (sannolikt från tredjepartsarkiv) och sedan disassemblera dem. Vanskligt, minst sagt!

#21 Svenne on 7 April 2014 at 12:27 pm

Det star på deras windows version att lokala musiken skall syncas med dina andra apparater, så du har säkert rätt att de ladder upp dina andra låtar. Från att ha forskat i dataskyddslagen så kan jag säga att de nog bör fråga om lov före de börjar snoka runt iaf om du är bosatt I Sverige, finns även andra EU-lander med motsvarande lagstiftning men inte alla.

Värt att ta upp det med dem!

#22 bl on 7 April 2014 at 9:47 pm

Jag mailade privacy@spotify.com och frågade om de lagrade meta data från mina lokala filer i sina databaser.
Fick jag följande svar:
“The data we keep is purely a log that you have a track on your playlist that is a local file.
We can not tell what the track is or who it was made by.
The data is purely a label track so it appears in your account.

When we then sync for offline it will scan the metadata and try to find a Spotify version for offline use but will not store any of that scanned data.”

Jag tolkar detta som att informationen som Spotify sparar i sina databaser är huruvida en låt i en spellista är en lokal fil eller inte. Sen scannas meta data vid synkning men själva meta datat sparas inte.

Sen tycker jag inte det verkar vara så att Spotify dammsuger hela hårddisken efter ljudfiler, jag tänker här på meningen “Fundera på om en distributör av e-böcker skulle göra samma sak, alltså söka igenom samtliga textfiler på hårddisken och registrera dessa på en central server.”.
Som Ann påpekar så under Preferences->Local files finns de mappar som scannas. Standardmapparna var förkryssade och jag har inte gjort det valet vad jag kan minnas, vilket ju spontant känns fel.

#23 rasmus on 8 April 2014 at 8:21 am

bl: Svaret antyder ju att loggen som de sparar åtminstone innehåller filernas metadata. Detta i sig är en ganska anmärkningsvärd övervakning, oavsett om de söker igenom filernas innehåll eller inte.

#24 Svenne on 8 April 2014 at 6:37 pm

Vad de säger I sitt svar är att de inte lagrar persondata och att de anser av den anledningen att de inte behöver fråga om lov.

Personligen kan man tycka att det att de redan skannar din maskin och automatiskt bearbetar filer på din hårddisk som ofta även är kopplat till en fysisk person via ett konto, så gör det personligt. Problemet är att lagstiftningen (EU direktivet) är mycket flummigt, om de inte går med på att uppdatera sitt installationsprogram där de frågar om lov, så kan vi inte påverka saken utan att gå till domstol. Du kan alltid be datainspektionen ta ställning till fallet, eventuellt fattar Spotify galoppen, att kunna göra ett val är viktigt för människor.
http://www.datainspektionen.se/

Det intressanta är kanske också vad de inte säger gällande sparande av offline filer som de inte har:
“When we then sync for offline it will scan the metadata and try to find a Spotify version for offline use but will not store any of that scanned data.”

#25 Svenne on 8 April 2014 at 6:43 pm

Här är en direktlänk som förklarar saken:

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/strukturerat-eller-ostrukturerat/

#26 SWAGHETTI YOLOGNESE on 17 July 2014 at 1:17 am

[…] Övervakning av våra hårddiskar. […]

#27 COPYRIOT | Spotify trappar upp sin övervakning av användarna on 21 August 2015 at 1:49 pm

[…] Spotify övervakar inte bara ditt musiklyssnande, utan även din hårddisk […]

Kommentera