Большой пиксель смотрит на тебя: неавторизованный сбор информации практикует половина сайтов в США

Согласие на использование персональных данных стало простой формальностью: до того, как такой вопрос появился на экране, пользователь уже загрузил в среднем 33 cookie-файла, собирающих уникальные данные с его устройства. На 47% обследованных сайтов есть пиксель Meta* — фрагмент кода, передающий данные о событиях, происходящих на площадке, а на 12% — пиксель TikTok. Таковы результаты исследования американской компании Lokker. Авторы назвали серьезной проблемой неавторизованный сбор информации, в том числе через использование рекламных технологий. В рунете ситуация не менее сложная: по данным компании МТС Red, 80% российских сайтов используют веб-трекеры для сбора данных о пользователях.

Как проводилось исследование Lokker

Американская компания Lokker, предоставляющая программные решения по защите данных в сети, опубликовала доклад «Конфиденциальность на сайте и соответствие вызовам. Количественная оценка рисков, связанных с конфиденциальностью на сайте» (Website Privacy and Compliance Challenges. Quantifying Website Privacy Risks), посвященный ситуации с приватностью в интернете.

Специалисты Lokker проанализировали 3419 американских сайтов в четырех сферах деятельности: здравоохранение, технологии, финансовые услуги, розничная торговля. Также они проверили сайты всех компаний, чьи акции входят в американский биржевой индекс S&P 500. Проверка проводилась на предмет обеспечения конфиденциальности информации пользователей. Основные выводы исследователей таковы: персональные данные в больших масштабах перетекают к информационным брокерам.

Пикселей соцсетей стало очень много

Практически каждому знакома следующая ситуация. Человек ищет какой-то товар в сети. Независимо от того, купили он его или нет, вскоре реклама этого схожих с ним товаров начинает назойливо, до отвращения часто появляться в браузере и лентах соцсетей.

В докладе Lokker эта ситуация описывается так: «неавторизованный сбор данных с помощью трекеров, тэгов и пикселей, ведущий к распространению этих данных и экспансии экосистемы брокеров данных». Брокеры данных (информационные брокеры) занимаются сбором, анализом и продажей персональных данных. На сайте Data Brokers Watch размещена, по утверждению составителей, наиболее полная общедоступная карта, демонстрирующая масштабы этой экосистемы. На ней отмечено 1038 таких служб, причем некоторые регионы, в частности, Россия, отмечены как не охваченные ими.

Аналитики Lokker утверждают, что «вездесущесть» брокеров данных недооценивается. В докладе сообщается, что на 12% обследованных сайтов был обнаружен пиксель TikTok. Сама китайская соцсеть характеризует этот инструмент так: «Пиксель TikTok — это фрагмент кода, который можно разместить на веб-сайте и передавать с его помощью данные событий, происходящих на веб-сайте, в TikTok. В сочетании с любым из инструментов TikTok for Business пиксель позволяет измерять трафик на веб-сайте и эффективность рекламы, а также оптимизировать рекламные кампании и находить новых клиентов». Специалисты Lokker пишут, что пиксель TikTok установлен на 9% сайтов компаний из индекса S&P 500, 25% компаний розничной торговли, 7% технологических компаний, 6% игроков из сектора финансовых услуг и 4% – из сферы здравоохранения.

На 47% обследованных сайтов специалисты Locker обнаружили пиксель Meta: его установили 55% участников рейтинга S&P 500, в розничной торговле он был у 58% компаний, в сегментах технологических услуг – у 42%, финансовых услуг – у 42%, в здравоохранении – у 33%. Аналитики Lokker особо выделяют сайты компаний, действующих в сфере здравоохранения, отмечая, что американские регуляторы давно пытаются бороться со сбором в интернете конфиденциальной информации, касающейся здоровья пользователей.

Неразбериха с cookies и согласием на их использование

На 67% всех обследованных сайтов присутствовал всплывающий баннер согласия на использование cookie-файлов: S&P 500 – 88%, розничная торговля – 67%, технология – 67%, финансовые услуги – 63%, здравоохранение – 59%. Но при этом, как выяснили специалисты Lokker, почти на всех сайтах (точнее, на 98,5%) при загрузке страницы пользователь сразу загружает cookie-файлы, в среднем 33 штуки. Многие из них не являются технически необходимыми и начинают отслеживать пользователей без их разрешения еще до появления баннера согласия. Кроме того, не существует стандарта, позволяющего относить cookie-файлы к той или иной категории – эксплуатационные, аналитические, рекламные.

В баннерах согласия конкретные cookies и трекеры часто попадают не в ту категорию или вовсе игнорируются. Часто у пользователей не спрашивают согласия на использование технологии отпечатка браузера (fingerprinting) – сбора уникальных следов конкретного устройства, с которого пользователь выходит в интернет. Быстрое развитие новых технологий может способствовать тому, что инструмент получения согласия от пользователей не будет замечать какие-то изменения в трекерах, в результате пользователи будут соглашаться на нежелательный сбор информации, не подозревая об этом.

Что грозит американским нарушителям

Существующие инструменты защиты конфиденциальности можно усовершенствовать, чтобы компании могли соответствовать требованиям все новых законов о защите конфиденциальности в сети, принимаемых в США, считают авторы исследования. Из-за постоянно меняющихся законов на федеральном уровне и на уровне штатов 5% обследованных сайтов потенциально грозит риск стать ответчиками по искам о нарушении закона VPPA. Закон о защите данных клиентов видеопрокатов (Video Privacy Protection Act, VPPA) был принят в 1988 году.

В последние годы его пытаются использовать в классовых исках против компаний, размещающих на своих сайтах видео вместе с пикселями социальных сетей. Часто такие иски отклоняются судами, в некоторых случаях дело заканчивается внесудебным урегулированием. Так, в 2023 году газета The Boston Globe заключила внесудебное соглашение по такому иску на $4,05 млн, принадлежащий Sony видеосервис Crunchyroll урегулировал аналогичный иск за $16 млн. По данным Lokker, подобных исков подано более ста.

Межграничная передача конфиденциальной информации

В докладе Lokker не обошлось без политически окрашенной страшилки о возможной утечке конфиденциальной информации в другие страны. Оказалось, что 2% обследованных сайтов используют веб-трекеры, расположенные в России и Китае. «В то время, как эти 2% представляют прямую передачу информации, критически важно признавать, что в экосистеме информационных брокеров также консолидируется информация, собранная в стране с помощью тэгов, трекеров и пикселей», – отмечается в докладе.

Если считать верной такую точку зрения, то в рунете ситуация более тревожная. В 2022 году информационное агентство РБК сообщало со ссылкой на доклад АНО «Информационная культура», что почти 90% мобильных приложений из магазина RuStore используют иностранные трекеры, которые могут собирать как технические ошибки, так и данные пользователей. Годом ранее сайт IXBT приводил следующие сведения АНО «Информационная культура»: в большинстве государственных мобильных приложений используются трекеры Facebook* и Google, а приложение «Услуги РТ» использует трекер организации из Японии.

Использование веб-трекинга в России

В России по закону «О персональных данных» куки-файлы и иные идентификаторы пользователя относятся к персональным данным, так как теоретически позволяют определить конкретного субъекта или выделить его среди других лиц. Роскомнадзор неоднократно проговаривал позицию, что файлы куки являются персональными данными, подтвердил ADPASS гендиректор Института исследования интернета Карен Казарян. «Дело в том, что они позволяют идентифицировать интернет-браузеры и, соответственно, субъекта, который ими пользуется», – сказал он. Следовательно, владельцы российских сайтов должны получать от пользователя разрешение на сбор таких данных.

Карен Казарян назвал сложной ситуацию с соблюдением закона о защите персональных данных, в частности по сбору куки-файлов и веб-трекингу. В 2023 году дочка МТС в сфере кибербезопасности – центр инноваций Future Crew компании МТС Red, опубликовала данные исследования веб-трекеров. В нем говорилось, что 80% сайтов используют веб-трекеры для сбора данных о пользователях. При этом количество включений веб-трекеров на интернет-сайтах, которые посещали абоненты МТС в первом полугодии 2023 года, выросло на 17,5% по сравнению с аналогичным периодом 2022 года и более чем в два раза по сравнению с первым полугодием 2021 года. При посещении сайта в среднем включался 21 трекер (на новостных сайтах – 32, на сайтах интернет-магазинов –26, на видео-хостингах – 22, в соцсетях и на ИТ-ресурсах – 18).

* продукт компании Meta (признана экстремистской организацией и запрещена в РФ)