Независимый аудит, проведенный компанией webXray, выявил системные нарушения в работе трех крупнейших технологических корпораций. Исследование касалось веб-трафика жителей Калифорнии, который защищен одним из самых строгих законов о конфиденциальности в США. Речь идет законе, позволяющем пользователям отказываться от продажи их личных данных.
Для этого существует специальный инструмент Global Privacy Control, или GPC. Это расширение для браузера, которое посылает сайтам четкий сигнал «не отслеживать меня».
Аудиторы проверили более семи тысяч популярных сайтов в течение марта. Результат оказался неутешительным, потому что в 55% случаев сайты все равно устанавливали рекламные cookies, даже когда получали явный отказ от установки.
Невидимый сигнал и явный ответ
Global Privacy Control работает через HTTP-заголовок `sec-gpc: 1`. Когда браузер отправляет его серверу, это юридически значимый отказ от отслеживания. Однако аудиторы обнаружили, что серверы Google в 87% случаев отвечали на этот отказ командой `set-cookie` с параметром IDE. IDE это стандартный идентификатор для рекламного таргетинга. Аудиторы назвали это нарушение легко обнаруживаемым и буквально находящимся на виду.
У Microsoft доля игнорирования сигнала составила 50 процентов. Способ нарушения тот же самый. Но самым показательным оказался код Meta*. Аудиторы выяснили, что компания вообще не утруждает себя получением согласия пользователей. Cookies загружаются всегда, без каких-либо условий.
Каждая из трех корпораций оспорила выводы аудита. Google заявила, что исследование основано на фундаментальном непонимании того, как работает их продукт. Meta назвала результаты вводящими в заблуждение и указала, что пользовательский контроль скорее ограничивает передачу данных, а не их сбор. Microsoft тоже выразила несогласие, но не привела развернутых технических контраргументов. Все три компании так или иначе настаивают на том, что не все cookies можно приравнивать к продаже персональных данных.
Конечный пользователь в таких случаях сталкивается с иллюзией контроля. Когда он нажимает кнопку «отказаться от отслеживания», он ожидает, что его выбор будет уважаться. Но на деле происходит совсем не то, что ожидалось. Его браузер отправляет сигнал «не следите за мной», а серверы Google, Meta* и Microsoft в большинстве случаев просто игнорируют это. Рекламные cookies все равно оказываются в его браузере.
Практически это означает, что его рекламный профиль продолжает формироваться. Пользователь видит навязчивые объявления о товарах, которые он искал неделю назад. Его перемещения по разным сайтам связываются в единую цепочку. Даже если он явно запретил продавать свои данные, компании все равно обрабатывают их для таргетинга. Разница между «согласен» и «не согласен» для обычного человека становится неощутимой.
Для пользователей за пределами Калифорнии ситуация еще интереснее. Дело в том, что закон CCPA действует только в одном штате США, а технические механизмы отслеживания работают во всем мире. Если компании игнорируют требования граждан своей страны, то можно представить с каким отношением они отнесутся к попыткам запрета сбора информации пользователями из других стран.
Еще один важный аспект, это юридическая уязвимость самого пользователя. На практике отдельный человек не сможет подать в суд на Google из-за одной неправильно установленной cookies. Ему придется доказывать ущерб, что почти невозможно. В результате система остается безнаказанной, а пользователь просто устает бороться. Сергей Сергеев: «Покупатель должен видеть выгоду сразу, в цене на полке» ИИ-генерация кода. Как обезопасить разработку? Российские банки будут блокировать переводы между физлицами
Наконец, это подрывает саму идею информированного согласия. Люди начинают думать, что любые кнопки «отказаться» ничего не меняют. Они либо полностью отключают cookies в браузере, ломая работу многих сайтов, либо махнув рукой соглашаются на все. Впрочем, и в том, и в другом случае конечный пользователь останется в проигрыше, даже если формально закон на его стороне.
Источник: www.it-world.ru