В 2020 году медиахолдинги Google и Facebook знают о большинстве пользователей Интернета практически все: где они находятся, какими девайсами пользуются, сколько зарабатывают, чем болеют, какое у них семейное положение и что их интересует. С помощью этих данных корпорации анализируют вашу личность и продают вам то, что вы с большой долей вероятности купите. Более того, они торгуют информацией с правительствами и другими корпорациями. В надежде положить этому конец компания Brave Software, создатель криптобраузера Brave, объявила войну Google. Представители обвинили IT-гиганта в нарушении Общего регламента по защите данных (GDPR) Евросоюза и открыли общественности глаза на то, как корпорация следит за жителям Великобритании прямо через правительственные сайты, которые граждане обязаны посещать по закону. Подробности — в материале DeCenter.

Описание проблем на примере Великобритании

В Великобритании зарегистрировано множество правительственных сайтов, которые предлагают всевозможные услуги и сервисы. Законодательство обязывает граждан самостоятельно регистрировать там различные события: вступление в брак, рождение ребенка, переезд, смену деятельности, смерть близкого человека и так далее. Главная проблема в том, что правительственные ресурсы содержат отслеживающие трекеры, через которые большие корпорации узнают все, чем вы делитесь. Это касается даже деликатных ситуаций — компании знают, когда люди оформляют инвалидность, борются с наркотической зависимостью или испытывают финансовые трудности.

Google, Facebook и другие крупные холдинги анализируют эти сведения и используют «персональные досье» в своих интересах. В конечном счете они предлагают анализ на основе личных данных всем, кто покупает у них рекламу. Они также имеют возможность продать персональную информацию третьим лицам. Все вместе это создает угрозу профилирования, манипуляций и дискриминации со стороны интернет-алгоритмов. Людей могут подсознательно склонять к тем или иным решениям, навязывать товары, вводить в заблуждение, подстраивать стоимость услуг под финансовое положение и так далее. Список можно продолжать бесконечно.

Самое вопиющее в этой ситуации то, что данные собираются не только с сайтов коммерческих организаций, но и со страниц правительственных служб, которые априори не должны позволять частным компаниям это делать.

Исследование Brave показало, что:

 Практически все правительственные сайты содержат хотя бы один трекер от Google, Facebook, Twitter и/или других компаний.

 На 98% сайтах встроены многочисленные отслеживающие системы Google.

 409 ресурсов предоставляют данные о посетителях частным компаниям.

 198 сайтов используют RTB-рекламу, позволяя компаниям продавать товары и услуги на основании анализа личных данных.

 23 сайта передают информацию брокерам данных, которые впоследствии этой информацией торгуют. Через правительственные ресурсы сведения о 6.9 млн британцев попадают в руки брокеру LiveRamp. Ранее он входил в группу Acxiom и продавал данные Cambridge Analytica — сервису по разработке стратегической коммуникации в ходе избирательных кампаний.

 Ни одна из компаний не получила согласие посетителей на обработку данных в соответствии с правилами GDPR.

На некоторых госсайтах больше двадцати трекеров, в среднем их около пяти на каждом. Источник.

Как собираются и используются данные

Анализ начинается с момента посещения вами ресурса. Трекеры отслеживают:

 URL-адреса посещаемых страниц;

 ID-коды;

 Местоположение;

 Часы активности;

 IP-адрес;

 Сведения об устройстве, в некоторых случаях вплоть до предпочитаемого языка и разрешения экрана.

Эти данные компонуются в одно целое и анализируются с целью связать то, что вы делаете на одном веб-сайте или приложении, с тем, что вы просматриваете в Интернете.

Примеры:

 Если вы регулярно заходите на сайт школы, значит, вы родитель, и вам можно рекламировать школьный рюкзак. Или, если понадобится, можно склонить вас к выбору конкретного кандидата в президенты, который якобы делает что-то полезное для детей. Если ваш ребенок инвалид, то управлять вами через ваши чувства и потребности будет еще проще. Страница муниципального совета города Илинг по детской инвалидности насчитывает миллион уникальных посетителей каждый месяц, позволяет 21 компании собирать данные и содержит RTB-рекламу.

 Если вы посещаете страницы, направленные на выдачу льгот и финансовой помощи, значит, у вас мало денег. Вы охотнее возьмете невыгодный микро-займ под залог имущества в сомнительном ломбарде, особенно когда соответствующая реклама у вас перед глазами. И, наоборот, авторитетные корпорации пометят вас как финансово проблемного гражданина и не захотят иметь с вами дел. Ежемесячно 875 000 человек из семей с низким уровнем дохода посещают специализирующиеся на льготах сайты. Соответствующий портал Энфилда насчитывает трекеры от 21 компании, семь из которых — брокеры данных.

 Если вы посещаете страницы по поддержке в борьбе с наркотической и алкогольной зависимостью (те самые, где можно «анонимно» рассказать о проблемах), значит вы или кто-то из ваших близких алкоголик или наркоман. Узнав об этом, одни фирмы предпочтут с вами не связываться, другие предложат свои услуги, третьи могут попытаться заработать на ваших зависимостях, склоняя вас к покупке алкоголя. Соответствующий городской портал Шеффилда обслуживает почти 600 000 человек и позволяет 20 компаниям собирать информацию, восемь из которых — брокеры. Более того, он активно использует RTB-рекламу. Наибольшее количество трекеров сосредоточено на крупных правительственных сайтах, обслуживающих более 300 000 человек. На некоторых порталах Энфилда и Шеффилда насчитывается по 25 трекеров.

Информация с правительственных порталов массово передается третьим лицам. Источник.

Проблемы RTB-рекламы

Около половины государственных площадок не пренебрегают возможностью разместить RTB-рекламу. Она подвергает посетителей подробному анализу со стороны бесчисленных компаний миллиарды раз в день.

Если вкратце, RTB-реклама работает так:

 Рекламодатели посещают аукцион от Google или других сервисов, который происходит в реальном времени.

 Им выводится подробная информация о посетителях различных площадок. Данные собираются в течение долей секунд, пока страница загружается.

 Рекламодатели выбирают релевантную аудиторию и платят за показ максимально таргетированной рекламы. Например, владельцы iPhone видят рекламу бамперов для него.

Такой способ рекламной кампании неоднократно вовлекался в скандальные дискуссии на предмет несоответствия правилам GDPR. 196 госсайтов используют RTB-систему от Google и обмениваются данными с сотнями компаний, не имея понятия о том, кому эти данные будут переданы и как будут использоваться.

Благодаря RTB-рекламе данные передаются тысячам компаний. Источник.

Данные передаются без согласия пользователей

На более чем трети порталов (38%), обслуживающих десятки миллионов британцев, имеются встроенные кнопки социальных сетей, предлагающие поделиться той или иной информацией. Парадокс в том, что сам факт наличия кнопок уже позволяет анализировать активность на страницах. Их даже не надо нажимать, чтобы данные попали в руки Twitter, Facebook, Google (через кнопку YouTube) или напрямую брокерам данных. Так, кнопка AddThis позволяет делиться контентом в различных социальных сетях, а разработана она Oracle — брокером данных.

Личные данные передаются даже через кнопки соцсетей. Источник.

Другая проблема кроется в предупредительных сообщениях об использовании cookie, которые можно встретить почти на всех госресурсах. Официально они направлены на соблюдение положений GDPR и запрашивают разрешение пользователя на анализ его данных. В теории все выглядит вполне логично и правильно, но на практике это работает не так. Поводов для недовольства как минимум два:

 Информация подается завуалировано. В предупредительных месседжах говорится, что сбор данных якобы повышает качество интернет-серфинга. Кнопки «отказаться» нет, присутствует лишь вариант принять или открыть подробные настройки. В самих настройках галочки по умолчанию включены, но никаких подробных разъяснений об использовании данных не имеется.

 Даже если пользователь не нажимает кнопку «принять», компании все равно продолжают обрабатывать его личные данные.

Предупредительные сообщения явно на стороне Google & Co. Источник.

Что дальше

Аналитики Brave считают, что на самом деле проблема обстоит гораздо серьезнее, поскольку они не учитывали скрытые трекеры и не соглашались с обработкой данных. Есть вероятность, что после нажатия на соответствующую кнопку пользователи могут столкнуться с куда более масштабным сбором информации. Если предположить, что множество трекеров сосредоточено не на правительственных сайтах, а на порталах коммерческих организаций, становится очевидно, что эта проблема носит массовый характер — в Британии и по всему миру.

Полтора года назад команда Brave уже пыталась остановить Google, но потерпела фиаско.

 В январе 2018 года представители Brave обвинили компании, задействующие RTB-рекламу, в нарушении законов о защите данных.

 C сентября 2018 они начали предоставлять соответствующие доказательства в британское Управление уполномоченного по вопросам информации (ICO) — регулятор, ответственный за защиту прав в области использования и передачи данных.

 На основании доказательств Brave в июне 2019 года ICO признал RTB-рекламу незаконной и обязал все компании в течение шести месяцев прекратить ее использование.

 В декабре обозначенный период подошел к концу, но отказа от RTB не произошло.

 В январе 2020 года регулятор дал понять, что принимает желание компаний использовать RTB и не намерен осуществлять немедленных действий для остановки рекламных кампаний.

Бездействие ICO вынудило Brave выйти на второй раунд, вооружившись новым «компроматом» и отправив его еще одному регулятору — Управлению по конкуренции и рынкам Великобритании (CMA). Компания считает, что Google и другие корпорации используют незаконные «утечки данных», запрещенные Статьей 5(1) регламента GDPR, который Великобритания обязалась соблюдать и после выхода из Евросоюза. В Статье черным по белому написано, что данные должны собираться и использоваться только в конкретно указанных, не завуалированных целях, и только с личного согласия пользователя.

По мнению Brave, незаконный рынок RTB-рекламы и монополия Google процветают лишь по тем причинам, что власти не в состоянии обеспечить должное соблюдение GDPR. В своем сообщении к CMA представители Brave говорят о необходимости наладить тесное сотрудничество с европейскими и американскими регуляторами, а также разработать и внедрить два аспекта обеспечения защиты данных: внутренний и внешний. Внутренний должен лишить Google нечестного конкурентного преимущества, основанного на масштабном сборе информации. Внешний — не позволить другим компаниям незаконно обрабатывать данные.

Создатели криптобраузера надеются, что CMA прислушаются к рекомендациям и совместно с ICO обеспечат эффективное соблюдение действующих положений GDPR. Подобная стратегия является для Brave беспроигрышной, ведь сражаясь за неприкосновенность частной жизни, они выставляют себя «хорошими парнями» в глазах общественности. Это дает очевидный результат: за год количество владельцев криптобраузера Brave удвоилось и достигло 10.4 млн, а количество ежедневных активных пользователей выросло в три раза — до 3.3 млн. Недавнее исследование Тринити-колледжа в Дублине показало, что Brave является единственным по-настоящему приватным браузером на рынке.

Удастся ли Brave победить в войне против Google — покажет время. Не стоит забывать, что правительство заинтересовано в успехе Google, Facebook и других больших бизнес-корпораций, потому что они платят высокие налоги и обеспечивают государству должный экономический рост. Более того, борьба за приватность частного сектора — это явно не та сфера, за которую власти Великобритании лягут костьми. Они сами заинтересованы в получении информации о пользователях не меньше, чем частные компании. Пока «большой брат» все еще продолжает следить за нами, единственный способ обеспечить приватность — это пользоваться VPN и браузерами с защитой от трекеров, такими как Brave, TOR и Mozilla Firefox (требует настроек), а также следовать рекомендациям по обеспечению анонимности.