비영리 웹사이트는 방문자를 추적하고 있으며 일부는 키 입력을 추적하기까지 합니다.

작년에 거의 2억 명이 넘는 사람들이 성교육, 피임약 사용, 낙태와 같은 매우 사적인 문제로 많은 사람들이 찾는 비영리 단체인 계획된 부모의 웹사이트를 방문했습니다. 그 방문자들이 몰랐을 수도 있는 사실은 그들이 plannedparenthood.org를 열자마자 사이트에 내장된 약 24개의 광고 추적기가 번식의 자유가 아니라 검색 데이터를 수집, 판매 및 사용하는 많은 회사에 경고했다는 것입니다.

Markup은 Blacklight 도구를 통해 Planned Parenthood의 웹사이트를 실행했고 방문자를 추적하는 28개의 광고 추적기와 40개의 타사 쿠키를 발견했으며, 검색을 위해 홈페이지를 방문하는 사람들의 마우스 움직임과 키 입력을 캡처할 수 있는 소위 "세션 레코더"도 발견했습니다. 피임 및 낙태에 관한 정보와 같은 것들. 이 사이트에는 사용자가 사이트를 방문했는지 Facebook과 Google에 알려주는 추적기가 포함되어 있습니다.

Markup의 스캔은 Planned Parenthood의 사이트가 Oracle, Verizon, LiveRamp, TowerData 및 Quantcast와 같은 회사와 통신하고 있음을 발견했습니다. 이들 중 일부는 사람들의 습관에 대한 대량의 디지털 데이터에 대한 액세스를 수집 및 판매하는 사업을 했습니다.

Planned Parenthood의 디지털 제품 담당 부사장인 Katie Skibinski는 웹사이트에서 수집된 데이터는 "Planned Parenthood 및 우리 계열사의 내부 목적으로만 사용"되며 회사는 데이터를 제3자에게 "판매"하지 않는다고 말했습니다.

Skibinski는 "데이터를 사용하여 가장 영향력 있는 방법을 배우는 것을 목표로 하고 있지만 Planned Parenthood에서는 데이터 기반 학습이 환자와 사용자의 개인 정보를 존중하면서 항상 신중하게 실행됩니다."라고 말했습니다. "이는 분석 플랫폼을 사용하여 집계 데이터를 수집하여 통찰력을 수집하고 디지털 프로그램을 개선하는 데 도움이 되는 추세를 식별하는 것을 의미합니다."

Skibinski는 조직이 데이터 브로커를 포함하여 제3자와 데이터를 공유한다는 점에 대해 이의를 제기하지 않았습니다.

낙태가 본질적으로 불법인 텍사스를 포함한 걸프 지역의 사람들을 위해 특별히 현지화된 웹사이트인 계획된 부모가 있는 걸프 연안의 블랙라이트 스캔에서도 비슷한 결과가 나왔습니다.

비영리 단체는 정신 건강 및 중독과 같은 민감한 영역에서 활동하고 웹 사이트 방문자에 대한 데이터를 수집 및 공유하는 비영리 단체에 있어서 혼자가 아닙니다.

Markup은 Blacklight 도구를 사용하여 낙태 제공업체 및 비영리 중독 치료 센터에 속한 웹사이트를 포함하여 비영리 조직의 23,000개 이상의 웹사이트를 스캔했습니다. 마크업은 IRS의 비영리 마스터 파일을 사용하여 2019년 이후 세금 신고서를 제출했으며 해당 기관이 정신 건강 및 위기 개입, 시민권, 의료 연구와 같은 분야에 중점을 둔 것으로 분류한 비영리 단체를 식별했습니다. 그런 다음 GuideStar에 공개적으로 나열된 각 비영리단체의 웹사이트를 조사했습니다. 우리는 그들 중 약 86%가 제3자 쿠키 또는 추적 네트워크 요청을 가지고 있다는 것을 발견했습니다. 이에 비해 마크업이 2020년 상위 80,000개 웹사이트를 대상으로 설문조사를 실시했을 때 87%가 일종의 제3자 추적을 사용하는 것으로 나타났습니다.

우리가 스캔한 23,856개의 비영리 웹사이트 중 약 11%에 Facebook 픽셀이 포함되어 있었고 18%는 Google Analytics의 "리마케팅 잠재고객" 기능을 사용했습니다.

마크업은 비영리 웹사이트 중 439개가 방문자의 클릭과 키 입력을 모니터링할 수 있는 세션 레코더라는 스크립트를 로드한 것을 발견했습니다. 그 중 89개는 IRS가 주로 정신 건강 및 위기 개입 문제에 중점을 둔 것으로 분류한 비영리 단체에 속한 웹사이트를 위한 것입니다.

"이 웹사이트의 사용자는 정보를 공유함으로써 이 민감한 정보가 제3자와 공유된다고 가정하지 않을 수 있으며, 귀하의 키 입력이 기록되었다고 가정하지 않을 것입니다." 세션 레코더에 대한 2017년 연구를 공동 출판했다고 말했습니다. “웹사이트가 민감할수록 더 걱정이 됩니다.”

사이트에 세션 레코더가 있는 비영리 단체 중 하나인 Gateway Rehab의 개발 및 커뮤니티 관계 담당 부사장인 Tracy Plevel은 비영리 단체가 더 큰 영리 단체와 경쟁력을 유지해야 하기 때문에 트래커와 세션 레코더를 사용한다고 말했습니다.

“비영리 단체로서 우리는 광고 예산이 큰 영리 제공업체와 유사한 온라인 광고 전략으로 치료를 원하는 사람들을 사로잡아 가장 큰 '판매' 보상을 제공하는 제공업체와 연결하는 중독 치료 중개인과 맞서고 있습니다. "라고 플리벨은 말했다. “또한 우리는 사용자 경험이 치료의 후속 조치에 큰 영향을 미친다는 것을 알고 있습니다. 누군가가 치료에 전념할 준비가 되었을 때 그들이 그 과정에서 좌절하거나 겁을 먹기 전에 가능한 한 쉽게 치료를 받을 수 있도록 해야 합니다.”

다른 비영리 단체도 사이트에 상당한 수의 추적기를 내장했습니다. Markup은 추방 위기에 처한 저소득층을 대변하는 Kansas City 법률 클리닉인 The Clinic at Sharma-Crawford Attorneys at Law에서 26개의 광고 추적기와 50개의 타사 쿠키를 발견했습니다.

클리닉의 이사회 회장인 Rekha Sharma-Crawford는 이메일 성명에서 "우리는 개인 정보 보호 및 보안 문제를 매우 중요하게 생각하며 귀하가 식별한 문제를 해결하기 위해 웹 제공업체와 계속 협력할 것입니다."라고 썼습니다.

100여 년 전에 설립된 인도주의적 구호 단체인 Save the Children에는 26개의 광고 추적기와 49개의 타사 쿠키가 있습니다. 프랭클린 D. 루즈벨트 대통령이 시작하여 산모 및 유아 돌봄에 중점을 둔 비영리 단체인 March of Dimes는 사이트에 29개 이상의 광고 추적기와 58개의 타사 쿠키를 보유하고 있습니다. 캘리포니아 암 치료 및 연구 센터인 City of Hope에는 25개의 광고 추적기와 47개의 타사 쿠키가 있습니다.

세이브 칠드런(Save the Children)의 글로벌 디지털 전략 담당 부사장인 폴 부쳐(Paul Butcher)는 이메일 성명에서 조직이 "데이터 보호를 매우 중요하게 생각한다"고 말했습니다. Butcher는 또한 Save the Children이 "사용자 경험을 개선하기 위해" 광고 추적기를 통해 일부 데이터를 수집하고 조직이 데이터 보존 정책을 수정하는 과정에 있으며 최근에 새로운 데이터 책임자를 고용했다고 썼습니다.

March of Dimes와 City of Hope는 댓글 요청에 응답하지 않았습니다.↩︎ 링크

주 수준 개인 정보 보호법 Miss Nonprofits

건강 데이터는 HIPAA에 의해 관리되고 FERPA는 교육 기록을 규제하지만 웹사이트가 방문자를 추적하는 방법에 적용되는 연방법은 없습니다. 최근 캘리포니아, 버지니아, 콜로라도 등 일부 주에서는 기업이 추적 관행을 공개하고 방문자가 데이터 수집을 거부할 수 있도록 하는 소비자 개인정보 보호법을 제정했습니다.

그러나 캘리포니아와 버지니아 두 주에 있는 비영리 단체는 규정을 준수할 필요가 없습니다.

자신의 연방 개인정보 보호법을 제안한 Ron Wyden 상원의원(D-OR)은 비영리단체가 잠재적으로 민감한 데이터를 대량으로 축적한다고 말했습니다.

Wyden은 이메일 성명에서 "비영리 단체는 정치적 원인과 사회적 관점에서 우리가 관심을 갖고 있는 자선 활동에 이르기까지 우리가 열정을 갖고 있는 것에 대한 믿을 수 없을 정도로 개인 정보를 저장합니다."라고 말했습니다. "데이터 유출로 누군가가 가정 폭력 지원 단체, LGBTQ 인권 단체 또는 모스크 이름에 기부한 사실이 밝혀지면 해당 정보는 믿을 수 없을 정도로 비공개가 될 수 있습니다."

그러나 비영리 단체 지도자들은 개인 정보 보호법 요구 사항을 준수하기 위한 인프라와 자금이 부족하고 생존을 위해 기부자에 대한 정보를 수집하고 공유해야 한다고 주장합니다.

비영리 단체와 기업으로 구성된 옹호 단체인 비영리 연합(Nonprofit Alliance)의 CEO인 섀넌 매크라켄(Shannon McCracken)은 "비영리 단체가 데이터를 가장 실질적이고 영향력 있게 사용한 것 중 하나는 우리의 기금 마련입니다."라고 말했습니다. "잠재적 신규 기부자와 현재 기부자에게 비용 효율적으로 도달할 수 있는 능력이 없다면 비영리 단체는 오늘날처럼 계속해서 영향력을 발휘할 수 없습니다."

그러나 목적이 있든 없든, 개인 정보 보호 전문가들은 비영리 단체가 Facebook 및 Google과 같은 거대 기술 기업과 데이터 중개인에게 개인 정보를 제공하고 있다고 말합니다.

“비영리 단체에서 귀하의 전화번호와 이름을 LiveRamp와 공유할 수 있습니다. 미래에는 영리 단체가 동일한 데이터를 재사용하여 귀하를 표적으로 삼을 수 있습니다. "이러한 제3자 수집기 및 데이터 브로커로 들어가는 데이터 흐름은 종종 비영리 단체에서도 발생합니다."

10월 4일 캘리포니아 개인정보 보호국(California Privacy Protection Agency)의 전무이사로 임명된 솔타니(Soltani)는 원래 비영리 면제로 도입된 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act) 초안 작성을 도왔습니다.

California Association of Nonprofits의 CEO인 Jan Masaoka는 많은 주요 비영리 단체가 데이터 브로커와 협력하여 데이터를 정리하고 분석하는 데 도움을 준다고 말했습니다.

Masaoka는 "큰 기증자 목록이 있는 사람들은 이를 광범위하게 사용하며 거의 모든 사람이 이 서비스 중 하나를 사용합니다"라고 말했습니다. "그들은 그것을 사내에 보관하지 않고 거의 모든 사람들이 이러한 서비스 중 하나를 사용하여 보관합니다."

그녀는 Blackbaud가 비영리 단체가 자주 찾는 회사라고 언급했습니다. 등록된 데이터 중개인의 마케팅 자료는 550개 이상의 비영리 단체의 기부자 데이터와 수백만 가구에 대한 공개 정보를 결합한 협동 데이터베이스를 홍보합니다.

Blackbaud는 논평 요청에 응답하지 않았습니다.

자금 부족으로 인해 비영리 단체는 데이터 브로커이기도 한 타사 플랫폼에 의존하여 데이터 보안 및 개인 정보를 관리한다고 McCracken은 말했습니다. 그러나 이러한 종류의 회사도 사이버 공격에 영향을 받지 않습니다. Blackbaud는 2020년에 해커가 암호, 주민등록번호, 은행 정보를 훔친 랜섬웨어 공격을 공개했습니다. 신원 도용 자원 센터(Identity Theft Resource Center)에 따르면 수백 개의 자선 단체, 학교, 병원이 영향을 받았고 1,300만 명이 넘는 사람들이 피해를 입었습니다.

Soltani는 "그들은 이러한 종류의 문제가 있는 생태계에 의존하여 작업을 수행하고 결과적으로 타사 광고 회사와 번호 목록, 이메일 주소 또는 검색 행동을 공유하고 회원을 위험에 빠뜨립니다."라고 말했습니다.↩︎ 링크

예외

캘리포니아와 버지니아의 전임자와 달리 콜로라도의 개인 정보 보호 법안에는 비영리 단체에 대한 면제가 없습니다.

캘리포니아와 버지니아 모두에서 법안의 주요 지지자들은 정치적 책략으로 비영리 단체에 면제를 부여했습니다. 캘리포니아 소비자 개인 정보 보호법(California Consumer Privacy Act)을 주도한 부동산 개발자이자 캘리포니아 소비자 개인 정보 보호(Californians for Consumer Privacy)의 설립자인 Alastair Mactaggart는 그의 제안이 이미 기술 대기업의 반대에 직면해 있으며 비영리 단체와의 정치적 대결도 원하지 않는다고 말했습니다.

Mactaggart는 "첫 번째 단계를 시작해야 하므로 이것이 가장 쉽게 튕겨 나갈 수 있는 단계라고 생각했습니다."라고 말했습니다. “결국에는 큰 비영리단체도 포함되기를 바랍니다.”

버지니아 소비자 데이터 보호법(Virginia Consumer Data Protection Act)을 도입한 주 상원의원 데이비드 마스든(David Marsden)은 이 법이 완벽하지는 않지만 여전히 좋은 출발임을 반영하면서 이러한 감정을 반영했습니다.

“이것이 필요한 모든 사람을 선택합니까, 아니면 면제가 필요한 모든 사람을 면제합니까? 아마 아닐 수도 있지만 거의 근접해 있습니다.”라고 Marsden이 말했습니다. "우리는 이 법안으로 사람들이 일어나 우리가 하려는 일에 반대하지 않고 통과시킬 수 있었습니다."

주의 개인 정보 보호 법안을 공동 발의한 콜로라도 주의 로버트 로드리게스 상원의원은 10만 명 이상의 데이터를 보유한 기업은 개인 정보 보호를 따라야 한다고 생각했기 때문에 비영리 단체에 대한 면제를 포함하지 않았다고 말했습니다. 그는 또한 왜 다른 주에 면제가 있는지 이해하지 못했습니다.

"100,000개 이상의 레코드가 있는 사람은 좋은 크기입니다."라고 그는 이메일에서 말했습니다. "그들은 따라야 할 보호 또는 요구 사항이 있어야합니다."

편집자 주: 이 기사는 원래 Alfred NG와 Maddy Varner가 The Markup에 게시했으며 Creative Commons Attribution-NonCommercial-NoDerivatives 라이선스에 따라 다시 게시되었습니다.

이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.

편집자 추천:

• Apple은 동의 없이 데이터를 수집하는 타사 추적기가 포함된 앱을 거부합니다.
• Android에서 타사 추적기에 고유 식별자를 제공하지 못하도록 하는 방법
• iPhone이 타사 추적기에 고유한 식별자를 제공하지 못하도록 하는 방법
• Mozilla Firefox는 이제 추적자와 싸우도록 설계된 새로운 기능을 제공합니다