Witryny non-profit śledzą odwiedzających, a niektóre nawet śledzą naciśnięcia klawiszy

W zeszłym roku prawie 200 milionów osób odwiedziło stronę Planned Parenthood, organizacji non-profit, do której wiele osób zwraca się w bardzo prywatnych sprawach, takich jak edukacja seksualna, dostęp do środków antykoncepcyjnych i dostęp do aborcji. To, o czym odwiedzający mogli nie wiedzieć, to to, że gdy tylko otworzyli portal planparenthood.org, jakieś dwa tuziny narzędzi do śledzenia reklam osadzonych w witrynie zaalarmowały mnóstwo firm, których działalność nie polega na wolności reprodukcyjnej, ale na gromadzeniu, sprzedawaniu i wykorzystywaniu danych przeglądania.

Markup uruchomił witrynę Planned Parenthood za pośrednictwem naszego narzędzia Blacklight i znalazł 28 narzędzi do śledzenia reklam i 40 zewnętrznych plików cookie śledzących odwiedzających, oprócz tak zwanych „rejestratorów sesji”, które mogły rejestrować ruchy myszy i naciśnięcia klawiszy osób odwiedzających stronę główną w wyszukiwarce takich rzeczy jak informacje o środkach antykoncepcyjnych i aborcjach. Witryna zawierała również moduły śledzące, które informują Facebooka i Google, czy użytkownicy odwiedzili witrynę.

Skan Markup wykrył, że witryna Planned Parenthood komunikuje się z firmami takimi jak Oracle, Verizon, LiveRamp, TowerData i Quantcast — niektóre z nich zajęły się gromadzeniem i sprzedażą dostępu do masowych danych cyfrowych o zwyczajach ludzi.

Katie Skibinski, wiceprezes ds. produktów cyfrowych w Planned Parenthood, powiedziała, że ​​dane zebrane na jej stronie internetowej są „używane wyłącznie do celów wewnętrznych przez Planned Parenthood i nasze podmioty stowarzyszone”, a firma nie „sprzedaje” danych stronom trzecim.

„Chociaż naszym celem jest wykorzystanie danych, aby dowiedzieć się, w jaki sposób możemy wywierać największy wpływ, w Planned Parenthood uczenie się oparte na danych jest zawsze przemyślane, z poszanowaniem prywatności pacjenta i użytkownika” – powiedział Skibinski. „Oznacza to korzystanie z platform analitycznych do zbierania danych zbiorczych w celu zbierania informacji i identyfikowania trendów, które pomagają nam ulepszać nasze programy cyfrowe”.

Skibiński nie kwestionował, że organizacja udostępnia dane stronom trzecim, w tym brokerom danych.

Skanowanie Blacklight Planned Parenthood Gulf Coast – zlokalizowanej strony internetowej przeznaczonej specjalnie dla osób z regionu Zatoki Perskiej, w tym z Teksasu, gdzie aborcja została zasadniczo zakazana – przyniosło podobne wyniki.

Planned Parenthood nie jest osamotniony, jeśli chodzi o organizacje non-profit, z których niektóre działają w newralgicznych obszarach, takich jak zdrowie psychiczne i uzależnienia, gromadząc i udostępniając dane o odwiedzających witrynę.

Korzystając z naszego narzędzia Blacklight, The Markup przeskanował ponad 23 000 stron internetowych organizacji non-profit, w tym należących do dostawców aborcji i non-profit ośrodków leczenia uzależnień. Markup wykorzystał główne akta organizacji non-profit IRS, aby zidentyfikować organizacje non-profit, które złożyły zeznanie podatkowe od 2019 r. i które agencja kategoryzuje jako koncentrujące się na obszarach takich jak zdrowie psychiczne i interwencje kryzysowe, prawa obywatelskie i badania medyczne. Następnie zbadaliśmy witrynę każdej organizacji non-profit podaną publicznie w GuideStar. Odkryliśmy, że około 86 procent z nich miało pliki cookie stron trzecich lub żądania sieci śledzącej. Dla porównania, gdy The Markup przeprowadził ankietę wśród 80 000 najlepszych witryn w 2020 roku, okazało się, że 87 procent korzystało z jakiegoś rodzaju śledzenia stron trzecich.

Około 11 procent z 23 856 przeskanowanych przez nas witryn non-profit miało osadzony piksel Facebooka, a 18 procent korzystało z funkcji „Odbiorcy remarketingu” Google Analytics.

The Markup wykrył, że 439 witryn non-profit załadowało skrypty zwane rejestratorami sesji, które mogą monitorować kliknięcia i naciśnięcia klawiszy przez odwiedzających. Osiemdziesiąt dziewięć z nich dotyczyło witryn należących do organizacji non-profit, które IRS klasyfikuje jako skupiające się głównie na kwestiach zdrowia psychicznego i interwencji kryzysowych.

„Jako użytkownik tej witryny, dzieląc się z nimi swoimi informacjami, prawdopodobnie nie zakładasz, że te poufne informacje są udostępniane stronom trzecim i zdecydowanie nie zakładasz, że twoje naciśnięcia klawiszy są rejestrowane”, Gunes Acar, badacz prywatności, który powiedział, że wspólnie opublikował badanie z 2017 r. dotyczące rejestratorów sesji. „Im bardziej wrażliwa jest ta strona, tym bardziej się martwię”.

Tracy Plevel, wiceprezes ds. rozwoju i relacji ze społecznościami w Gateway Rehab, jednej z organizacji non-profit z rejestratorami sesji na swojej stronie, powiedział, że organizacja non-profit używa trackerów i rejestratorów sesji, ponieważ musi pozostać konkurencyjna w stosunku do swoich większych odpowiedników nastawionych na zysk.

„Sami jako organizacja non-profit walczymy z dostawcami nastawionymi na zysk z dużymi budżetami reklamowymi, a także z brokerami leczenia uzależnień, którzy chwytają osoby szukające opieki za pomocą podobnych taktyk reklamowych online i łączą ich z dostawcą oferującym największe wynagrodzenie za sprzedaż ”- powiedział Plevel. „Dodatkowo wiemy, że wrażenia użytkownika mają duży wpływ na kontynuowanie leczenia. Kiedy ktoś jest gotowy, aby zaangażować się w leczenie, musimy upewnić się, że jest to dla niego tak łatwe, jak to tylko możliwe, zanim ten proces się sfrustruje lub zastraszy”.

Inne organizacje non-profit również miały w swoich witrynach dużą liczbę modułów śledzących. The Markup znalazł 26 narzędzi śledzących reklamy i 50 plików cookie stron trzecich w Klinice w Sharma-Crawford Attorneys at Law, klinice prawnej w Kansas City, która reprezentuje osoby o niskich dochodach, którym grozi deportacja.

Rekha Sharma-Crawford, prezes zarządu The Clinic, napisała w oświadczeniu przesłanym e-mailem: „Traktujemy kwestie prywatności i bezpieczeństwa bardzo poważnie i będziemy nadal współpracować z naszym dostawcą usług internetowych, aby rozwiązać zidentyfikowane przez Ciebie problemy”.

Save the Children, organizacja pomocy humanitarnej założona ponad 100 lat temu, posiadała 26 narzędzi do śledzenia reklam i 49 plików cookie stron trzecich. March of Dimes, organizacja non-profit założona przez prezydenta Franklina D. Roosevelta, która koncentruje się na opiece nad matką i niemowlęciem, miała w swojej witrynie ponad 29 narzędzi do śledzenia reklam i 58 plików cookie innych firm. City of Hope, kalifornijskie centrum leczenia i badań nad rakiem, miało 25 trackerów reklam i 47 plików cookie innych firm.

Paul Butcher, zastępca wiceprezesa ds. globalnej strategii cyfrowej w Save the Children, powiedział w przesłanym e-mailu oświadczeniu, że organizacja „bardzo poważnie traktuje ochronę danych”. Butcher napisał również, że Save the Children zbiera niektóre dane za pomocą narzędzi do śledzenia reklam „w celu poprawy komfortu użytkowników” oraz że organizacja jest w trakcie ulepszania swoich zasad przechowywania danych i niedawno zatrudniła nowego kierownika ds. danych.

March of Dimes i City of Hope nie odpowiedziały na prośby o komentarz.↩︎ link

Stanowe przepisy dotyczące prywatności Miss organizacji non-profit

Chociaż dane dotyczące zdrowia podlegają przepisom HIPAA, a FERPA reguluje dokumentację edukacyjną, nie ma federalnych przepisów regulujących sposób, w jaki strony internetowe śledzą ich odwiedzających. Niedawno kilka stanów — Kalifornia, Wirginia i Kolorado — uchwaliło przepisy dotyczące prywatności konsumentów, które wymagają od firm ujawniania swoich praktyk śledzenia i umożliwiają odwiedzającym rezygnację z gromadzenia danych.

Ale organizacje non-profit w dwóch z tych stanów, Kalifornii i Wirginii, nie muszą przestrzegać przepisów.

Senator Ron Wyden (D-OR), który zaproponował własne federalne ustawodawstwo dotyczące prywatności, powiedział, że organizacje non-profit gromadzą dużą ilość potencjalnie wrażliwych danych.

„Organizacje non-profit przechowują niewiarygodnie dane osobowe dotyczące rzeczy, którymi się pasjonujemy, od spraw politycznych i poglądów społecznych po cele charytatywne, na których nam zależy” – powiedział Wyden w oświadczeniu przesłanym pocztą elektroniczną. „Jeśli naruszenie danych ujawni, że ktoś przekazuje darowizny na rzecz grupy wsparcia przemocy domowej lub organizacji praw LGBTQ lub nazwy ich meczetu, każda z tych informacji może być niezwykle prywatna”.

Liderzy organizacji non-profit twierdzą jednak, że brakuje im infrastruktury i środków finansowych, aby spełnić wymogi prawa prywatności i muszą gromadzić i udostępniać informacje o darczyńcach, aby przetrwać.

„Jednym z najistotniejszych i najbardziej wpływowych sposobów wykorzystania danych przez organizacje non-profit jest pozyskiwanie przez nas funduszy” – powiedział Shannon McCracken, dyrektor generalny The Nonprofit Alliance, grupy rzeczniczej składającej się z organizacji non-profit i firm. „Bez możliwości efektywnego kosztowo dotarcia do potencjalnych nowych i obecnych darczyńców, organizacje non-profit nie mogą nadal mieć tak dużego wpływu, jak obecnie”.

Eksperci ds. prywatności twierdzą, że celowe lub nie, organizacje non-profit przekazują dane osobowe brokerom danych i gigantom technologicznym, takim jak Facebook i Google.

„Organizacja non-profit może udostępnić Twój numer telefonu i imię i nazwisko w LiveRamp. Jutro podmiot nastawiony na zysk będzie mógł ponownie wykorzystać te same dane, aby skierować się na ciebie” – powiedział Ashkan Soltani, ekspert ds. prywatności i były główny technolog w Federalnej Komisji Handlu. „Przepływy danych, które trafiają do zewnętrznych agregatorów i brokerów danych, często pochodzą również od organizacji non-profit”.

Soltani, który został mianowany dyrektorem wykonawczym Kalifornijskiej Agencji Ochrony Prywatności 4 października, pomógł opracować kalifornijską ustawę o prywatności konsumentów, która została pierwotnie wprowadzona wraz ze zwolnieniami dla organizacji non-profit.

Wiele dużych organizacji non-profit współpracuje z brokerami danych, aby pomóc w organizacji i analizie ich danych, powiedział Jan Masaoka, dyrektor generalny Kalifornijskiego Stowarzyszenia Organizacji Non-profit.

„Ludzie, którzy mają duże listy dawców, intensywnie z nich korzystają, prawie wszyscy korzystają z jednej z usług” – powiedział Masaoka. „Nie przechowują tego w domu, prawie każdy ma to w jednej z tych usług”.

Zauważyła, że ​​Blackbaud to firma, do której często zwracają się organizacje non-profit. Materiały marketingowe zarejestrowanego brokera danych promują spółdzielczą bazę danych, która łączy dane darczyńców od ponad 550 organizacji non-profit z publicznymi informacjami na temat milionów gospodarstw domowych.

Blackbaud nie odpowiedział na prośbę o komentarz.

Z powodu braku funduszy organizacje non-profit polegają również na platformach stron trzecich – które również są brokerami danych – do zarządzania bezpieczeństwem i prywatnością swoich danych, powiedział McCracken. Jednak tego rodzaju firmy również nie są odporne na cyberataki: Blackbaud ujawnił atak ransomware w 2020 r., w którym hakerzy ukradli hasła, numery ubezpieczenia społecznego i informacje bankowe, zgodnie z wnioskiem Komisji Papierów Wartościowych i Giełd. Według Identity Theft Resource Center ucierpiały setki organizacji charytatywnych, szkół i szpitali, a także ponad 13 milionów ludzi.

„Opierają się na tego rodzaju problematycznym ekosystemie, aby wykonywać swoją pracę, w wyniku czego dzielą się listami numerów, adresami e-mail lub zachowaniem podczas przeglądania z zewnętrznymi firmami reklamowymi i narażają swoich członków na ryzyko” – powiedział Soltani.↩︎ link

Wyjątek

W przeciwieństwie do swoich poprzedników w Kalifornii i Wirginii, ustawa o ochronie prywatności w Kolorado nie zawiera zwolnienia dla organizacji non-profit.

Zarówno w Kalifornii, jak iw Wirginii główni zwolennicy ustaw przyznali organizacjom non-profit zwolnienie jako polityczny manewr. Alastair Mactaggart, deweloper i założyciel Californians for Consumer Privacy, który był siłą napędową kalifornijskiej ustawy o ochronie prywatności konsumentów, powiedział, że jego propozycja już spotkała się ze sprzeciwem gigantów technologicznych i nie chce politycznego starcia z organizacjami non-profit.

„Musisz zrobić pierwszy krok, więc pomyśleliśmy, że to ten, który będzie najłatwiejszy do odbicia”, powiedział Mactaggart. „W końcu mam nadzieję, że uwzględnione zostaną również duże organizacje non-profit”.

David Marsden, senator stanowy, który wprowadził ustawę o ochronie danych konsumenckich w Wirginii, podzielił ten pogląd, odzwierciedlając, że prawo nie było doskonałe, ale nadal stanowiło dobry początek.

„Czy to podnosi wszystkich, których powinno, czy zwalnia wszystkich, którzy potrzebują zwolnienia? Prawdopodobnie nie, ale jest całkiem blisko” – powiedział Marsden. „Dzięki tej ustawie byliśmy w stanie przeforsować ją bez wstawania i sprzeciwiania się temu, co próbowaliśmy zrobić”.

Senator stanu Kolorado, Robert Rodriguez, który był współsponsorem ustawy o ochronie prywatności, powiedział, że nie uwzględnił zwolnienia dla organizacji non-profit, ponieważ uważa, że ​​każdy podmiot, który posiada dane dotyczące ponad 100 000 osób, powinien przestrzegać zasad ochrony prywatności. Nie rozumiał też, dlaczego inne stany mają wyjątki.

„Ktoś, kto ma ponad 100 000 rekordów, jest dobrej wielkości” – powiedział w e-mailu. „Powinni mieć pewne zabezpieczenia lub wymagania, których należy przestrzegać”.

Uwaga redaktora: Ten artykuł został pierwotnie opublikowany w The Markup przez Alfreda NG i Maddy Varner i został ponownie opublikowany na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Bez utworów zależnych .

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

• Apple odrzuci Twoją aplikację, jeśli zawiera moduły śledzące innych firm, które zbierają dane bez zgody
• Jak powstrzymać Androida przed nadawaniem swojego unikalnego identyfikatora zewnętrznym trackerom?
• Jak powstrzymać iPhone'a przed nadaniem unikalnego identyfikatora zewnętrznym trackerom?
• Mozilla Firefox oferuje teraz nową funkcję przeznaczoną do walki z trackerami