Конфиденциальность мертва: FTC хочет привлечь брокеров данных к реальной ответственности

Федеральная торговая комиссия США (FTC) недавно выразила свою обеспокоенность относительно того, как брокеры данных определяют чувствительную информацию. В качестве примера были приведены недавние случаи с Avast , Outlogic и InMarket , где каждая компания скрытно делилась клиентскими данными без их ведома.

Комиссия заявила, что данные о посещаемых веб-страницах и местоположении пользователей должны рассматриваться как чувствительные и не передаваться третьим лицам. Исследования показывают, что даже без явной лично идентифицируемой информации (PII) подобные наборы данных могут содержать чувствительную информацию.

«Данные о просмотренных веб-сайтах и местоположении рисуют интимную картину жизни человека, включая его религиозную принадлежность, состояние здоровья, финансовое положение и сексуальную ориентацию», — сообщают представители федеральной комиссии.

Райан Патерсон, президент компании Unplugged, специализирующейся на защите персональных данных, привёл пример, в котором он лично обратился к брокеру данных и запросил все рекламные идентификаторы в нескольких географически ограниченных регионах — например, в районах вокруг определённого дома, школы и ресторана — за определённый период времени.

Вооружившись этими данными, любое частное лицо или организация может составить карту перемещений конкретного рекламного идентификатора, которая часто может быть использована для идентификации человека, использующего это устройство.

Если, например, определённый идентификатор часто находится в определённом доме по вечерам, он, вероятно, связан с этим домашним хозяйством. И если он также часто появляется в определённом месте работы в рабочее время, этот человек, вероятно, там работает.

Скриншот из Google Earth с точным маршрутом конкретного человека по его рекламному идентификатору

Несмотря на возможность столь точной идентификации, многие брокеры данных продолжают продавать рекламные данные, угрожая конфиденциальности пользователей.

«Сбор, хранение, использование и передача конфиденциальной информации людей без их осознанного согласия нарушает их конфиденциальность и подвергает их существенному вторичному ущербу, такому как стигматизация, дискриминация, физическое насилие и эмоциональный стресс», — заявили в федеральной комиссии. «FTC этого не потерпит. Комиссия будет использовать все свои инструменты, чтобы продолжать защищать американцев от неправомерного использования данных и незаконной коммерческой слежки», — добавили представители FTC.

В Европе, например, правозащитная организация Open Rights Group подала жалобу на местного брокера данных LiveRamp за «всепроникающе идентификационное отслеживание в маркетинговых целях», требуя проверки деятельности компании на соответствие GDPR и законодательству о защите данных Великобритании.

LiveRamp, ранее известный как Acxiom, также был указан в докладе Университета Дьюка от 2021 года за рекламу данных о военнослужащих США, а также за продажу данных о гражданах США иностранным компаниям.

Эксперты указывают на то, что усилия по анонимизации данных должны соответствовать строгим стандартам, поскольку даже уникальные идентификаторы в современном цифровом мире могут быть даже более идентифицирующими, чем имя человека и его личный адрес.

Большинство пользователей не отключает рекламные идентификаторы, во многом потому, что даже не знает, как это сделать, или не видит в этом прямой угрозы. Этим успешно пользуются рекламодатели и брокеры данных, создавая обширные профили пользователей и объединяя различные источники данных для более точечного отслеживания.

Таким образом, компаниям необходимо проявлять большую осторожность и ответственность при обработке любых данных, связанных с личностью и поведением пользователей, даже если в них отсутствует явная персональная информация.

Анонимизация данных должна соответствовать строгим стандартам, а пользователи должны иметь возможность осознанно контролировать, какие данные о них собираются и используются.