Некоммерческие веб-сайты отслеживают посетителей, а некоторые даже отслеживают нажатия клавиш.

Опубликовано: 2021-10-22

В прошлом году почти 200 миллионов человек посетили веб-сайт Planned Parenthood, некоммерческой организации, к которой многие люди обращаются по очень личным вопросам, таким как половое воспитание, доступ к противозачаточным средствам и доступ к абортам. Чего эти посетители, возможно, не знали, так это того, что как только они открыли planparenthood.org, около двух десятков рекламных трекеров, встроенных в сайт, предупредили множество компаний, чей бизнес заключается не в репродуктивной свободе, а в сборе, продаже и использовании данных просмотра.

Компания Markup запустила веб-сайт Planned Parenthood с помощью нашего инструмента Blacklight и обнаружила 28 рекламных трекеров и 40 сторонних файлов cookie, отслеживающих посетителей, в дополнение к так называемым «регистраторам сеансов», которые могли фиксировать движения мыши и нажатия клавиш людьми, посещающими домашнюю страницу в поиске. таких вещей, как информация о противозачаточных средствах и абортах. Сайт также содержал трекеры, которые сообщают Facebook и Google, посещали ли сайт пользователи.

Сканирование Markup обнаружило, что сайт Planned Parenthood взаимодействует с такими компаниями, как Oracle, Verizon, LiveRamp, TowerData и Quantcast, некоторые из которых занимаются сбором и продажей доступа к массе цифровых данных о привычках людей.

Кэти Скибински, вице-президент по цифровым продуктам Planned Parenthood, заявила, что данные, собранные на ее веб-сайте, «используются только для внутренних целей Planned Parenthood и нашими аффилированными лицами», и компания не «продает» данные третьим лицам.

«Хотя мы стремимся использовать данные, чтобы узнать, как мы можем быть наиболее эффективными, в Planned Parenthood обучение на основе данных всегда осуществляется продуманно с уважением к конфиденциальности пациентов и пользователей», — сказал Скибински. «Это означает использование аналитических платформ для сбора совокупных данных, чтобы получить представление и выявить тенденции, которые помогут нам улучшить наши цифровые программы».

Скибински не оспаривал, что организация делится данными с третьими лицами, в том числе с брокерами данных.

Сканирование Blacklight сайта Planned Parenthood Gulf Coast — локализованного веб-сайта специально для жителей региона Персидского залива, включая Техас, где аборты фактически запрещены законом, — дало аналогичные результаты.

Planned Parenthood не единственная компания, когда речь идет о некоммерческих организациях, некоторые из которых работают в таких деликатных областях, как психическое здоровье и зависимость, собирая и обмениваясь данными о посетителях веб-сайтов.

Используя наш инструмент Blacklight, The Markup просканировал более 23 000 веб-сайтов некоммерческих организаций, в том числе принадлежащих поставщикам абортов и некоммерческим центрам лечения наркомании. Разметка использовала некоммерческий основной файл IRS для выявления некоммерческих организаций, которые подали налоговую декларацию с 2019 года и которые агентство классифицирует как сосредоточенные на таких областях, как психическое здоровье и кризисное вмешательство, гражданские права и медицинские исследования. Затем мы изучили веб-сайты каждой некоммерческой организации, как общедоступные в GuideStar. Мы обнаружили, что около 86 процентов из них имеют сторонние файлы cookie или отслеживающие сетевые запросы. Для сравнения, когда The Markup провела опрос 80 000 лучших веб-сайтов в 2020 году, мы обнаружили, что 87 процентов использовали какой-либо вид стороннего отслеживания.

Около 11 процентов из 23 856 некоммерческих веб-сайтов, которые мы отсканировали, имели встроенный пиксель Facebook, а 18 процентов использовали функцию Google Analytics «Аудитория ремаркетинга».

Анализ обнаружил, что 439 некоммерческих веб-сайтов загружали скрипты, называемые регистраторами сеансов, которые могут отслеживать клики и нажатия клавиш посетителями. Восемьдесят девять из них предназначались для веб-сайтов, принадлежащих некоммерческим организациям, которые IRS классифицирует как в первую очередь ориентированные на вопросы психического здоровья и кризисного вмешательства.

«Как пользователь этого веб-сайта, делясь с ними своей информацией, вы, вероятно, не предполагаете, что эта конфиденциальная информация передается третьим лицам, и определенно не предполагаете, что ваши нажатия клавиш записываются», — Гюнеш Акар, исследователь конфиденциальности, который совместно опубликовал исследование сессионных записывающих устройств 2017 года. «Чем более конфиденциальным является веб-сайт, тем больше я беспокоюсь».

Трейси Плэйв, вице-президент по развитию и связям с общественностью в Gateway Rehab, одной из некоммерческих организаций, использующих устройства записи сеансов на своем сайте, сказала, что некоммерческая организация использует трекеры и устройства записи сеансов, потому что ей необходимо оставаться конкурентоспособным со своими более крупными коммерческими коллегами.

«Как некоммерческая организация, мы сталкиваемся с коммерческими поставщиками с большими рекламными бюджетами, а также с брокерами по лечению наркомании, которые захватывают тех, кто обращается за помощью, с помощью аналогичной тактики онлайн-рекламы и связывают их с поставщиком, который предлагает наибольшую компенсацию за «продажи». — сказал Плевель. «Кроме того, мы знаем, что пользовательский опыт оказывает большое влияние на выполнение лечения. Когда кто-то готов приступить к лечению, мы должны сделать его максимально простым для него, прежде чем он будет разочарован или запуган процессом».

На сайтах других некоммерческих организаций также было встроено значительное количество трекеров. Разметка обнаружила 26 рекламных трекеров и 50 сторонних файлов cookie в The Clinic at Sharma-Crawford Attorneys at Law, юридической клинике Канзас-Сити, которая представляет интересы людей с низким доходом, которым грозит депортация.

Реха Шарма-Кроуфорд, президент совета The Clinic, написала в заявлении по электронной почте: «Мы очень серьезно относимся к проблемам конфиденциальности и безопасности и будем продолжать работать с нашим веб-провайдером для решения выявленных вами проблем».

Спасти детей, гуманитарную организацию, основанную более 100 лет назад, было 26 рекламных трекеров и 49 сторонних файлов cookie. March of Dimes, некоммерческая организация, созданная президентом Франклином Д. Рузвельтом и занимающаяся вопросами охраны материнства и детства, имела на своем сайте более 29 рекламных трекеров и 58 сторонних файлов cookie. В City of Hope, калифорнийском центре лечения и исследования рака, было 25 рекламных трекеров и 47 сторонних файлов cookie.

Пол Батчер, заместитель вице-президента по глобальной цифровой стратегии Save the Children, заявил в электронном письме, что организация «очень серьезно относится к защите данных». Батчер также написал, что Save the Children собирает некоторые данные через рекламные трекеры «для улучшения взаимодействия с пользователем» и что организация находится в процессе пересмотра своей политики хранения данных и недавно наняла нового руководителя по данным.

March of Dimes и City of Hope не ответили на запросы о комментариях. ↩︎ ссылка

Законы о конфиденциальности на уровне штатов Мисс некоммерческие организации

В то время как данные о здоровье регулируются HIPAA, а FERPA регулирует образовательные записи, нет федеральных законов, регулирующих, как веб-сайты отслеживают своих посетителей. Недавно несколько штатов — Калифорния, Вирджиния и Колорадо — приняли законы о конфиденциальности потребителей, которые требуют от компаний раскрывать свои методы отслеживания и позволяют посетителям отказаться от сбора данных.

Но некоммерческие организации в двух из этих штатов, Калифорнии и Вирджинии, не обязаны соблюдать правила.

Сенатор Рон Уайден (D-OR), который предложил свой собственный федеральный закон о конфиденциальности, сказал, что некоммерческие организации накапливают большое количество потенциально конфиденциальных данных.

«Некоммерческие организации хранят невероятно личную информацию о вещах, которыми мы увлечены, от политических причин и социальных взглядов до благотворительных целей, которые нам небезразличны», — сказал Уайден в заявлении по электронной почте. «Если утечка данных обнаружит, что кто-то делает пожертвования группе поддержки насилия в семье или организации по защите прав ЛГБТК, или название их мечети, любая эта информация может быть очень конфиденциальной».

Однако лидеры некоммерческих организаций утверждают, что им не хватает инфраструктуры и финансирования для соблюдения требований закона о конфиденциальности, и они должны собирать и обмениваться информацией о донорах, чтобы выжить.

«Одним из наиболее существенных и эффективных способов использования данных некоммерческими организациями был наш сбор средств», — сказал Шеннон Маккракен, генеральный директор The Nonprofit Alliance, группы защиты интересов, состоящей из некоммерческих организаций и предприятий. «Без возможности экономичного привлечения потенциальных новых доноров и нынешних доноров некоммерческие организации не смогут продолжать оказывать такое же влияние, как сегодня».

Но целенаправленно или нет, говорят эксперты по конфиденциальности, некоммерческие организации передают личную информацию брокерам данных и технологическим гигантам, таким как Facebook и Google.

«Некоммерческая организация может поделиться вашим номером телефона и именем с LiveRamp. Завтра коммерческая организация сможет повторно использовать те же данные для нацеливания на вас», — сказал Ашкан Солтани, эксперт по конфиденциальности и бывший главный технолог Федеральной торговой комиссии. «Потоки данных, которые поступают к этим сторонним агрегаторам и брокерам данных, часто также исходят от некоммерческих организаций».

Солтани, который был назначен исполнительным директором Калифорнийского агентства по защите конфиденциальности 4 октября, помог разработать Калифорнийский закон о конфиденциальности потребителей, который первоначально был введен с исключениями для некоммерческих организаций.

По словам Яна Масаока, генерального директора Калифорнийской ассоциации некоммерческих организаций, многие крупные некоммерческие организации работают с брокерами данных, чтобы помочь организовать и проанализировать свои данные.

«Люди, у которых есть большие списки доноров, широко их используют, почти все они используют одну из услуг», — сказал Масаока. «Они не хранят его дома, почти все хранят его с помощью одной из этих служб».

Она отметила, что Blackbaud — это компания, к которой часто обращаются некоммерческие организации. Маркетинговые материалы зарегистрированного брокера данных продвигают совместную базу данных, которая объединяет данные доноров из более чем 550 некоммерческих организаций с общедоступной информацией о миллионах домохозяйств.

Blackbaud не ответил на запрос о комментарии.

По словам Маккракена, из-за нехватки средств некоммерческие организации также полагаются на сторонние платформы, которые также являются брокерами данных, для управления безопасностью и конфиденциальностью своих данных. Но такие компании также не застрахованы от кибератак: согласно заявлению Комиссии по ценным бумагам и биржам, в 2020 году Blackbaud раскрыла атаку программы-вымогателя, в ходе которой хакеры украли пароли, номера социального страхования и банковскую информацию. По данным Ресурсного центра по краже личных данных, пострадали сотни благотворительных организаций, школ и больниц, а также более 13 миллионов человек.

«Они полагаются на такого рода проблематичную экосистему для выполнения своей работы, и в результате они делятся списками номеров, адресами электронной почты или поведением в Интернете со сторонними рекламными компаниями и подвергают своих участников риску», — сказал Солтани. ↩︎ ссылка

Исключение

В отличие от своих предшественников в Калифорнии и Вирджинии, в законопроекте о конфиденциальности штата Колорадо нет исключений для некоммерческих организаций.

И в Калифорнии, и в Вирджинии основные сторонники законопроектов предоставили некоммерческим организациям исключение в качестве политического маневра. Аластер Мактаггарт, застройщик и основатель организации Californians for Consumer Privacy, которая была движущей силой Калифорнийского закона о защите прав потребителей, сказал, что его предложение уже столкнулось с противодействием со стороны технологических гигантов, и он также не хочет политического противостояния с некоммерческими организациями.

«Вы должны сделать первый шаг, поэтому мы решили, что от него будет легче всего отказаться», — сказал Мактаггарт. «В конце концов, я надеюсь, что крупные некоммерческие организации также будут включены».

Дэвид Марсден, сенатор штата, представивший Закон о защите данных потребителей штата Вирджиния, поддержал это мнение, подчеркнув, что закон не идеален, но все же является хорошим началом.

«Подбирает ли это всех, кого должно, или освобождает всех, кто нуждается в освобождении? Вероятно, нет, но это довольно близко», — сказал Марсден. «С этим законопроектом мы смогли провести его без того, чтобы люди вставали и возражали против того, что мы пытались сделать».

Сенатор штата Колорадо Роберт Родригес, который был соавтором законопроекта штата о конфиденциальности, сказал, что не включает исключения для некоммерческих организаций, поскольку считает, что любая организация, имеющая данные о более чем 100 000 человек, должна соблюдать меры по защите конфиденциальности. Он также не понимал, почему в других штатах были исключения.

«Кто-то, у кого есть более 100 000 записей, — это хороший размер», — сказал он в электронном письме. «У них должны быть какие-то средства защиты или требования, которым нужно следовать».

Примечание редактора: эта статья была первоначально опубликована в The Markup Альфредом Н. Г. и Мэдди Варнер и была переиздана под лицензией Creative Commons Attribution-NonCommercial-NoDerivatives .

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Некоммерческие веб-сайты отслеживают посетителей, а некоторые даже отслеживают нажатия клавиш.

Законы о конфиденциальности на уровне штатов Мисс некоммерческие организации

Исключение

Рекомендации редакции: