Данные вышли из-под контроля: рекламную индустрию обвинили в слежке за пользователями приложений
В незаконном сборе чувствительной информации оказались замешаны десяток популярных приложений и более сотни рекламных сетей
Сбор данных о пользователях приложений нарушает европейское законодательство, в первую очередь GDPR, однако широко практикуется крупнейшими интернет-компаниями. Они делятся со сторонними компаниями рекламными идентификаторами (Advertising ID), IP-адресами, GPS-координатами, сведениями об установленных приложениях, интересах человека и даже его сексуальных предпочтениях. «Ситуация совершенно вышла из-под контроля», — заявляют в норвежском Совете по правам потребителей (NCC), который провел собственное расследование и уже подал жалобы в отношении шести компаний.
В отчете NCC фигурируют 10 Android-приложений, в том числе популярные сервисы знакомств Tinder, Grindr, OkCupid и happn, игра My Talking Tom 2, менструальный календарь Clue, сервис для создания виртуального макияжа Perfect365. Техническим анализом трафика занималась компания Mnemonic, которая специализируется на кибербезопасности. Оценив объем полученных данных, популярность приложений и масштабы бизнеса «сборщиков», исследователи сделали вывод о распространенности подобных практик в adtech-индустрии.
Тесты выявили ряд серьезных нарушений, связанных с приватностью.
Упомянутые десять приложений передавали пользовательские данные минимум 135 сторонним партнерам, которые занимаются рекламой и/или профилированием аудитории.
Рекламный идентификатор Android передавался минимум 70 сторонним партнерам. Зачастую Advertising ID идет вместе с GPS-координатами и IP-адресом, что позволяет отслеживать пользователя на различных устройствах и в приложениях, тем самым формируя исчерпывающий профиль.
Все приложения отдавали данные нескольким партнерам и (за исключением одного) не ограничивались только идентификатором. Третьи лица получали информацию о поле, возрасте и действиях пользователя. Такие сведения могут использоваться для отслеживания пользователей, показа им таргетированной рекламы, профилирования (в том числе похожей, look-alike) аудитории и определения таких чувствительных характеристик, как сексуальная ориентация и религиозные взгляды.
Например, приложение для ЛГБТ-знакомств Grindr делилось детальной информацией — IP-адресами, Advertising ID, координатами GPS, полом, возрастом — с большим числом сторонних компаний. В большинстве случаев посредником выступала платформа MoPub, принадлежащая Twitter. Среди компаний, которым она передавала данные, были AppNexus и OpenX. В свою очередь, некоторые из этих компаний застолбили за собой право делиться собранными данными с довольно широким кругом партнеров.
Согласно опросу RSA, 68% респондентов считают неэтичным отслеживание онлайн-активности для показа релевантной рекламы.
OkCupid уличили в передаче сведений о сексуальной ориентации, употреблении наркотических веществ, политических взглядах и многом другом аналитической фирме Braze. У Perfect365 обнаружили более 70 third-party-партнеров, в их числе — Unacast, OneAudience и Tutela. Принадлежащая Google платформа DoubleClick получала данные от восьми приложений из списка, Facebook — от девяти. В большинстве случаев такие действия противоречат GDPR, заявляют эксперты NCC. Напомним, нарушение закона грозит компании штрафом в размере до €20 млн либо до 4% от годового оборота.
После публикации отчета Twitter отключил Grindr от рекламной сети MoPub и начал собственное расследование.
В Совете по правам потребителей напоминают, что персональные данные используются не только в благих целях, для показа релевантной рекламы и улучшения пользовательского опыта. Обратные стороны профилирования — дискриминация, манипуляция, непрозрачные схемы сбора и передачи данных, подрыв доверия к цифровой экономике.
Facebook неоднократно обвиняли в том, что он позволяет рекламодателям таргетировать объявления таким образом, чтобы их не видели определенные социальные или возрастные группы пользователей. В первую очередь это касалось рекламы жилья, работы или кредитных продуктов. После ряда скандалов и исков соцсеть пересмотрела свою политику и запретила таргетинг по национальному признаку, сексуальной ориентации и религиозной принадлежности.
Зачастую паблишеры и рекламодатели не обеспечивают должный контроль над тем, как сторонние продавцы используют собранные данные. В свою очередь, у пользователя практически нет инструментов влияния — он может попасть в категорию «неблагонадежных» потребителей на основании ряда признаков (и оказаться в «отказниках» у банков), но исправить ситуацию или выразить протест у него не получится.
В ноябре Goldman Sachs заподозрили в том, что его скоринговая система дискриминирует женщин и занижает им кредитный лимит по Apple Card — хотя их супруги получали более высокий рейтинг при схожих характеристиках и общем имуществе.
NCC предлагает принять следующие меры:
- Признать, что неконтролируемое распространение персональных данных широко
практикуется в adtech-индустрии и должно быть ограничено.
- Регуляторам — пристально следить за интернет-гигантами, которые имеют дело
с персональными данными, и не допускать монополизма.
- Рекламодателям и паблишерам — взять на себя ответственность за нарушения
законодательства и максимально ограничить объем собираемых данных.
- Использовать альтернативный способ — контекстный таргетинг, который позволяет выбирать для показа объявлений релевантные сайты, ориентируясь на содержание веб-страниц, ключевые слова и другие критерии.
