$76.0589.63

Google, Meta* и Microsoft игнорируют запрет на слежку за пользователями

It-world

Независимый аудит, проведенный компанией webXray, выявил системные нарушения в работе трех крупнейших технологических корпораций. Исследование касалось веб-трафика жителей Калифорнии, который защищен одним из самых строгих законов о конфиденциальности в США. Речь идет законе, позволяющем пользователям отказываться от продажи их личных данных.

Google, Meta* и Microsoft игнорируют запрет на слежку за пользователями
© it-world.ru

Аудиторы проверили более семи тысяч популярных сайтов в течение марта. Результат оказался неутешительным, потому что в 55% случаев сайты все равно устанавливали рекламные cookies, даже когда получали явный отказ от установки.

Cookies (куки) — это небольшие текстовые файлы, которые веб-сайты сохраняют на устройстве пользователя (компьютере, телефоне) для запоминания информации: логинов, настроек, корзины покупок и предпочтений. Они улучшают работу сайтов, ускоряя загрузку страниц и обеспечивая персонализацию, но также используются для отслеживания действий в рекламных целях.

Невидимый сигнал и явный ответ

Global Privacy Control работает через HTTP-заголовок `sec-gpc: 1`. Когда браузер отправляет его серверу, это юридически значимый отказ от отслеживания. Однако аудиторы обнаружили, что серверы Google в 87% случаев отвечали на этот отказ командой `set-cookie` с параметром IDE. IDE это стандартный идентификатор для рекламного таргетинга. Аудиторы назвали это нарушение легко обнаруживаемым и буквально находящимся на виду.

У Microsoft доля игнорирования сигнала составила 50 процентов. Способ нарушения тот же самый. Но самым показательным оказался код Meta*. Аудиторы выяснили, что компания вообще не утруждает себя получением согласия пользователей. Cookies загружаются всегда, без каких-либо условий.

Что говорят сами компании

Каждая из трех корпораций оспорила выводы аудита. Google заявила, что исследование основано на фундаментальном непонимании того, как работает их продукт. Meta назвала результаты вводящими в заблуждение и указала, что пользовательский контроль скорее ограничивает передачу данных, а не их сбор. Microsoft тоже выразила несогласие, но не привела развернутых технических контраргументов. Все три компании так или иначе настаивают на том, что не все cookies можно приравнивать к продаже персональных данных.

Как это затрагивает обычных людей, которые просто посещают сайты?

Конечный пользователь в таких случаях сталкивается с иллюзией контроля. Когда он нажимает кнопку «отказаться от отслеживания», он ожидает, что его выбор будет уважаться. Но на деле происходит совсем не то, что ожидалось. Его браузер отправляет сигнал «не следите за мной», а серверы Google, Meta* и Microsoft в большинстве случаев просто игнорируют это. Рекламные cookies все равно оказываются в его браузере.

Практически это означает, что его рекламный профиль продолжает формироваться. Пользователь видит навязчивые объявления о товарах, которые он искал неделю назад. Его перемещения по разным сайтам связываются в единую цепочку. Даже если он явно запретил продавать свои данные, компании все равно обрабатывают их для таргетинга. Разница между «согласен» и «не согласен» для обычного человека становится неощутимой.

Для пользователей за пределами Калифорнии ситуация еще интереснее. Дело в том, что закон CCPA действует только в одном штате США, а технические механизмы отслеживания работают во всем мире. Если компании игнорируют требования граждан своей страны, то можно представить с каким отношением они отнесутся к попыткам запрета сбора информации пользователями из других стран.

Еще один важный аспект, это юридическая уязвимость самого пользователя. На практике отдельный человек не сможет подать в суд на Google из-за одной неправильно установленной cookies. Ему придется доказывать ущерб, что почти невозможно. В результате система остается безнаказанной, а пользователь просто устает бороться.

Наконец, это подрывает саму идею информированного согласия. Люди начинают думать, что любые кнопки «отказаться» ничего не меняют. Они либо полностью отключают cookies в браузере, ломая работу многих сайтов, либо махнув рукой соглашаются на все. Впрочем, и в том, и в другом случае конечный пользователь останется в проигрыше, даже если формально закон на его стороне.

*Признана экстремистской организацией, деятельность на территории России запрещена и ее продукты официально заблокированы в РФ.