เว็บไซต์ที่ไม่แสวงหากำไรกำลังติดตามผู้เยี่ยมชม บางคนถึงกับติดตามการกดแป้นพิมพ์

เผยแพร่แล้ว: 2021-10-22

ปีที่แล้ว เกือบ 200 ล้านคนเข้าชมเว็บไซต์ของ Planned Parenthood ซึ่งเป็นองค์กรไม่แสวงหากำไรที่ผู้คนจำนวนมากหันไปหาเรื่องส่วนตัว เช่น เพศศึกษา การเข้าถึงยาคุมกำเนิด และการเข้าถึงการทำแท้ง สิ่งที่ผู้เยี่ยมชมอาจไม่ทราบก็คือทันทีที่พวกเขาเปิด Planningparenthood.org ตัวติดตามโฆษณาจำนวนสองโหลที่ฝังอยู่ในไซต์ได้แจ้งเตือนบริษัทจำนวนหนึ่งซึ่งธุรกิจไม่ได้เป็นอิสระในการสืบพันธุ์ แต่รวบรวม ขาย และการใช้ข้อมูลการท่องเว็บ

มาร์กอัปเรียกใช้เว็บไซต์ของ Planned Parenthood ผ่านเครื่องมือ Blacklight ของเรา และพบตัวติดตามโฆษณา 28 ตัวและคุกกี้บุคคลที่สาม 40 ตัวที่ติดตามผู้เยี่ยมชม นอกเหนือจากที่เรียกว่า “ตัวบันทึกเซสชัน” ซึ่งสามารถจับการเคลื่อนไหวของเมาส์และการกดแป้นพิมพ์ของผู้ที่เข้าชมหน้าแรกในการค้นหา เช่น ข้อมูลเกี่ยวกับการคุมกำเนิดและการทำแท้ง ไซต์ยังมีตัวติดตามที่บอก Facebook และ Google ว่าผู้ใช้เยี่ยมชมไซต์หรือไม่

การสแกนของ Markup พบว่าไซต์ของ Planned Parenthood กำลังสื่อสารกับบริษัทต่างๆ เช่น Oracle, Verizon, LiveRamp, TowerData และ Quantcast ซึ่งบางแห่งได้ทำธุรกิจเกี่ยวกับการรวบรวมและขายการเข้าถึงข้อมูลดิจิทัลจำนวนมากเกี่ยวกับนิสัยของผู้คน

Katie Skibinski รองประธานฝ่ายผลิตภัณฑ์ดิจิทัลของ Planned Parenthood กล่าวว่าข้อมูลที่รวบรวมบนเว็บไซต์ "ใช้เพื่อวัตถุประสงค์ภายในโดย Planned Parenthood และบริษัทในเครือของเราเท่านั้น" และบริษัทจะไม่ "ขาย" ข้อมูลให้กับบุคคลที่สาม

“ในขณะที่เราตั้งเป้าที่จะใช้ข้อมูลเพื่อเรียนรู้วิธีที่เราจะสร้างผลกระทบสูงสุด ที่ Planned Parenthood การเรียนรู้ที่ขับเคลื่อนด้วยข้อมูลนั้นดำเนินการอย่างรอบคอบโดยคำนึงถึงผู้ป่วยและความเป็นส่วนตัวของผู้ใช้” Skibinski กล่าว “นี่หมายถึงการใช้แพลตฟอร์มการวิเคราะห์เพื่อรวบรวมข้อมูลเพื่อรวบรวมข้อมูลเชิงลึกและระบุแนวโน้มที่ช่วยเราปรับปรุงโปรแกรมดิจิทัลของเรา”

Skibinski ไม่ได้โต้แย้งว่าองค์กรแบ่งปันข้อมูลกับบุคคลที่สาม รวมถึงนายหน้าข้อมูล

การสแกน Blacklight ของ Planned Parenthood Gulf Coast ซึ่งเป็นเว็บไซต์ที่ได้รับการแปลโดยเฉพาะสำหรับผู้คนในภูมิภาคอ่าวไทย รวมถึงเท็กซัส ซึ่งการทำแท้งเป็นสิ่งผิดกฎหมาย ทำให้เกิดผลลัพธ์ที่คล้ายคลึงกัน

ความเป็นพ่อแม่ตามแผนไม่ได้อยู่เพียงลำพังเมื่อพูดถึงองค์กรไม่แสวงหาผลกำไร บางแห่งดำเนินงานในพื้นที่ที่ละเอียดอ่อน เช่น สุขภาพจิตและการเสพติด การรวบรวมและแบ่งปันข้อมูลกับผู้เยี่ยมชมเว็บไซต์

โดยใช้เครื่องมือ Blacklight ของเรา The Markup สแกนเว็บไซต์มากกว่า 23,000 แห่งขององค์กรไม่แสวงหากำไร ซึ่งรวมถึงเว็บไซต์ที่เป็นของผู้ให้บริการทำแท้งและศูนย์บำบัดการเสพติดที่ไม่แสวงหากำไร Markup ใช้ไฟล์ต้นแบบที่ไม่แสวงหากำไรของ IRS เพื่อระบุองค์กรไม่แสวงผลกำไรที่ได้ยื่นแบบแสดงรายการภาษีตั้งแต่ปี 2019 และหน่วยงานจัดอยู่ในหมวดหมู่ที่มุ่งเน้นในด้านต่างๆ เช่น สุขภาพจิตและการแทรกแซงในภาวะวิกฤต สิทธิพลเมือง และการวิจัยทางการแพทย์ จากนั้นเราได้ตรวจสอบเว็บไซต์ขององค์กรไม่แสวงหากำไรแต่ละแห่งตามรายชื่อที่เปิดเผยต่อสาธารณะใน GuideStar เราพบว่าประมาณ 86 เปอร์เซ็นต์ของพวกเขามีคุกกี้ของบุคคลที่สามหรือติดตามคำขอของเครือข่าย เมื่อเปรียบเทียบแล้ว เมื่อ The Markup สำรวจเว็บไซต์ 80,000 อันดับแรกในปี 2020 เราพบว่า 87 เปอร์เซ็นต์ใช้การติดตามของบุคคลที่สามบางประเภท

ประมาณ 11 เปอร์เซ็นต์ของเว็บไซต์ที่ไม่แสวงหากำไร 23,856 แห่งที่เราสแกนมีพิกเซลของ Facebook ฝังอยู่ ในขณะที่ 18 เปอร์เซ็นต์ใช้คุณลักษณะ "ผู้ชมรีมาร์เก็ตติ้ง" ของ Google Analytics

มาร์กอัปพบว่าเว็บไซต์ไม่แสวงหากำไร 439 แห่งโหลดสคริปต์ที่เรียกว่าตัวบันทึกเซสชัน ซึ่งสามารถตรวจสอบการคลิกและการกดแป้นพิมพ์ของผู้เข้าชมได้ แปดสิบเก้านั้นเป็นเว็บไซต์ที่ไม่หวังผลกำไรที่ IRS จัดอยู่ในหมวดหมู่โดยเน้นที่ปัญหาสุขภาพจิตและการแทรกแซงในภาวะวิกฤตเป็นหลัก

“ในฐานะผู้ใช้เว็บไซต์ การแบ่งปันข้อมูลของคุณกับพวกเขา คุณอาจไม่คิดว่าข้อมูลที่ละเอียดอ่อนนี้ถูกแบ่งปันกับบุคคลที่สาม และอย่าสรุปว่าการกดแป้นพิมพ์ของคุณจะถูกบันทึกไว้” Gunes Acar นักวิจัยด้านความเป็นส่วนตัวที่ ร่วมเผยแพร่การศึกษา 2017 เกี่ยวกับเครื่องบันทึกเซสชันกล่าวว่า “ยิ่งเว็บไซต์อ่อนไหวมากเท่าไหร่ ฉันก็ยิ่งกังวลมากขึ้นเท่านั้น”

Tracy Plevel รองประธานฝ่ายพัฒนาและชุมชนสัมพันธ์ที่ Gateway Rehab หนึ่งในองค์กรไม่แสวงหากำไรที่มีเครื่องบันทึกเซสชันในเว็บไซต์ของตน กล่าวว่าองค์กรไม่แสวงหากำไรใช้เครื่องติดตามและเครื่องบันทึกเซสชัน เนื่องจากจำเป็นต้องคงความสามารถในการแข่งขันกับองค์กรที่แสวงหาผลกำไรที่ใหญ่กว่า

“ในฐานะองค์กรไม่แสวงหากำไร เราต่อสู้กับผู้ให้บริการที่แสวงหาผลกำไรที่มีงบประมาณโฆษณาจำนวนมาก เช่นเดียวกับนายหน้าบำบัดการเสพติดที่ดึงดูดผู้ที่มองหาการดูแลด้วยกลยุทธ์การโฆษณาออนไลน์ที่คล้ายคลึงกันและเชื่อมต่อกับผู้ให้บริการที่ให้ค่าตอบแทน 'การขาย' ที่ยิ่งใหญ่ที่สุด ” เปลเวลกล่าว “นอกจากนี้ เราทราบดีว่าประสบการณ์ของผู้ใช้มีผลกระทบอย่างมากต่อการรักษา เมื่อมีคนพร้อมที่จะรับการรักษา เราต้องแน่ใจว่ามัน [ง่าย] ที่สุดสำหรับพวกเขาก่อนที่พวกเขาจะรู้สึกหงุดหงิดหรือกลัวกับกระบวนการ”

องค์กรไม่แสวงหากำไรอื่น ๆ มีตัวติดตามจำนวนมากที่ฝังอยู่ในไซต์ของพวกเขาเช่นกัน The Markup พบเครื่องมือติดตามโฆษณา 26 รายการและคุกกี้บุคคลที่สาม 50 รายการใน The Clinic at Sharma-Crawford Attorneys at Law ซึ่งเป็นคลินิกกฎหมายในแคนซัสซิตี้ที่เป็นตัวแทนของผู้มีรายได้น้อยที่ต้องเผชิญกับการเนรเทศ

Rekha Sharma-Crawford ประธานคณะกรรมการของ The Clinic เขียนในแถลงการณ์ทางอีเมลว่า “เราให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยเป็นอย่างมาก และจะทำงานร่วมกับผู้ให้บริการเว็บของเราต่อไปเพื่อแก้ไขปัญหาที่คุณระบุ”

Save the Children องค์กรช่วยเหลือด้านมนุษยธรรมที่ก่อตั้งขึ้นเมื่อกว่า 100 ปีที่แล้ว มีตัวติดตามโฆษณา 26 ตัวและคุกกี้บุคคลที่สาม 49 ตัว March of Dimes องค์กรไม่แสวงผลกำไรที่ก่อตั้งโดยประธานาธิบดี Franklin D. Roosevelt ซึ่งมุ่งเน้นไปที่การดูแลมารดาและทารก มีตัวติดตามโฆษณามากกว่า 29 รายการในเว็บไซต์ของตนและคุกกี้ของบุคคลที่สาม 58 รายการ City of Hope ซึ่งเป็นศูนย์การรักษาและวิจัยโรคมะเร็งในแคลิฟอร์เนีย มีเครื่องมือติดตามโฆษณา 25 รายการและคุกกี้บุคคลที่สาม 47 รายการ

Paul Butcher รองรองประธานฝ่ายกลยุทธ์ดิจิทัลระดับโลกของ Save the Children กล่าวในแถลงการณ์ทางอีเมลว่าองค์กร “ให้ความสำคัญกับการปกป้องข้อมูลเป็นอย่างมาก” บุชเชอร์ยังเขียนด้วยว่า Save the Children รวบรวมข้อมูลบางส่วนผ่านเครื่องมือติดตามโฆษณา "เพื่อปรับปรุงประสบการณ์ของผู้ใช้" และองค์กรกำลังอยู่ในขั้นตอนการปรับปรุงนโยบายการเก็บรักษาข้อมูลและเพิ่งได้รับการว่าจ้างหัวหน้าฝ่ายข้อมูลคนใหม่

March of Dimes และ City of Hope ไม่ตอบสนองต่อคำร้องขอความคิดเห็น↩︎ link

กฎหมายความเป็นส่วนตัวระดับรัฐ Miss Nonprofits

แม้ว่าข้อมูลด้านสุขภาพจะอยู่ภายใต้ HIPAA และ FERPA จะควบคุมบันทึกการศึกษา แต่ไม่มีกฎหมายของรัฐบาลกลางที่ควบคุมวิธีที่เว็บไซต์ติดตามผู้เยี่ยมชม เมื่อเร็วๆ นี้ บางรัฐ—แคลิฟอร์เนีย เวอร์จิเนีย และโคโลราโด—ได้ออกกฎหมายความเป็นส่วนตัวของผู้บริโภคที่กำหนดให้บริษัทต่างๆ เปิดเผยแนวทางปฏิบัติในการติดตามและอนุญาตให้ผู้เยี่ยมชมเลือกไม่รับการรวบรวมข้อมูล

แต่องค์กรไม่แสวงหากำไรในสองรัฐเหล่านั้น คือ แคลิฟอร์เนียและเวอร์จิเนีย ไม่จำเป็นต้องปฏิบัติตามระเบียบข้อบังคับ

Sen. Ron Wyden (D-OR) ซึ่งได้เสนอกฎหมายความเป็นส่วนตัวของรัฐบาลกลางกล่าวว่าองค์กรไม่แสวงหากำไรได้รวบรวมข้อมูลที่อาจมีความละเอียดอ่อนจำนวนมาก

“องค์กรไม่แสวงหากำไรเก็บข้อมูลส่วนตัวอย่างไม่น่าเชื่อเกี่ยวกับสิ่งที่เราหลงใหล ตั้งแต่สาเหตุทางการเมืองและมุมมองทางสังคมไปจนถึงงานการกุศลที่เราสนใจ” Wyden กล่าวในแถลงการณ์ทางอีเมล “หากการละเมิดข้อมูลเผยให้เห็นว่ามีผู้บริจาคให้กับกลุ่มสนับสนุนความรุนแรงในครอบครัวหรือองค์กรสิทธิ LGBTQ หรือชื่อมัสยิดของพวกเขา ข้อมูลใด ๆ อาจเป็นความลับอย่างเหลือเชื่อ”

อย่างไรก็ตาม ผู้นำที่ไม่แสวงหาผลกำไรโต้แย้งว่าพวกเขาขาดโครงสร้างพื้นฐานและเงินทุนเพื่อปฏิบัติตามข้อกำหนดของกฎหมายความเป็นส่วนตัว และต้องรวบรวมและแบ่งปันข้อมูลเกี่ยวกับผู้บริจาคเพื่อให้อยู่รอด

Shannon McCracken ซีอีโอของ The Nonprofit Alliance ซึ่งเป็นกลุ่มสนับสนุนที่ประกอบด้วยองค์กรไม่แสวงผลกำไรและธุรกิจ กล่าวว่า "การใช้ข้อมูลโดยองค์กรไม่แสวงผลกำไรที่สำคัญและมีประสิทธิภาพมากที่สุดอย่างหนึ่งคือการระดมทุนของเรา “หากปราศจากความสามารถในการเข้าถึงผู้บริจาครายใหม่และผู้บริจาคปัจจุบันอย่างคุ้มค่า องค์กรไม่แสวงผลกำไรก็ไม่สามารถสร้างผลกระทบต่อไปได้เหมือนในทุกวันนี้”

แต่ผู้เชี่ยวชาญด้านความเป็นส่วนตัวกล่าวว่าองค์กรไม่แสวงผลกำไรกำลังป้อนข้อมูลส่วนบุคคลให้กับนายหน้าข้อมูลและยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Facebook และ Google โดยมีเป้าหมายหรือไม่

“องค์กรไม่แสวงหากำไรอาจแบ่งปันหมายเลขโทรศัพท์และชื่อของคุณกับ LiveRamp พรุ่งนี้นิติบุคคลที่แสวงหาผลกำไรสามารถนำข้อมูลเดียวกันนั้นกลับมาใช้ใหม่เพื่อกำหนดเป้าหมายคุณได้” Ashkan Soltani ผู้เชี่ยวชาญด้านความเป็นส่วนตัวและอดีตหัวหน้านักเทคโนโลยีของ Federal Trade Commission กล่าว “กระแสข้อมูลที่เข้าสู่ผู้รวบรวมและนายหน้าข้อมูลบุคคลที่สามเหล่านี้มักมาจากองค์กรไม่แสวงหากำไรเช่นกัน”

Soltani ซึ่งได้รับแต่งตั้งเป็นกรรมการบริหารของ California Privacy Protection Agency เมื่อวันที่ 4 ต.ค. ได้ช่วยร่างพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย ซึ่งเดิมได้รับการแนะนำพร้อมกับข้อยกเว้นที่ไม่แสวงหากำไร

องค์กรไม่แสวงหากำไรรายใหญ่หลายแห่งทำงานร่วมกับนายหน้าข้อมูลเพื่อช่วยจัดระเบียบและวิเคราะห์ข้อมูล Jan Masaoka ซีอีโอของ California Association of Nonprofits กล่าว

“ผู้ที่มีรายชื่อผู้บริจาคจำนวนมากใช้พวกเขาอย่างกว้างขวาง เกือบทั้งหมดใช้บริการอย่างใดอย่างหนึ่ง” มาซาโอกะกล่าว “พวกเขาไม่ได้เก็บไว้ในบ้าน แทบทุกคนจะเก็บมันไว้กับหนึ่งในบริการเหล่านี้”

เธอตั้งข้อสังเกตว่า Blackbaud เป็นบริษัทที่องค์กรไม่แสวงหากำไรมักจะหันไปหา สื่อการตลาดของนายหน้าข้อมูลที่จดทะเบียนส่งเสริมฐานข้อมูลความร่วมมือที่รวมข้อมูลผู้บริจาคจากองค์กรไม่แสวงหากำไรมากกว่า 550 แห่งเข้ากับข้อมูลสาธารณะในครัวเรือนหลายล้านครัวเรือน

Blackbaud ไม่ตอบสนองต่อการร้องขอความคิดเห็น

เนื่องจากขาดเงินทุน องค์กรไม่แสวงหากำไรจึงต้องพึ่งพาแพลตฟอร์มของบุคคลที่สาม ซึ่งก็คือนายหน้าข้อมูล เพื่อจัดการความปลอดภัยและความเป็นส่วนตัวของข้อมูล McCracken กล่าว แต่บริษัทประเภทนี้ไม่มีภูมิคุ้มกันต่อการโจมตีทางไซเบอร์: Blackbaud เปิดเผยการโจมตี ransomware ในปี 2020 ซึ่งแฮกเกอร์ขโมยรหัสผ่าน หมายเลขประกันสังคม และข้อมูลธนาคาร ตามเอกสารของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ องค์กรการกุศล โรงเรียน และโรงพยาบาลหลายร้อยแห่งได้รับผลกระทบ พร้อมด้วยผู้คนมากกว่า 13 ล้านคน ตามรายงานของ Identity Theft Resource Center

Soltani กล่าวว่า "พวกเขาพึ่งพาระบบนิเวศที่มีปัญหาประเภทนี้เพื่อให้งานสำเร็จ ผลก็คือ พวกเขาแบ่งปันรายการหมายเลข ที่อยู่อีเมล หรือพฤติกรรมการท่องเว็บกับบริษัทโฆษณาบุคคลที่สาม และทำให้สมาชิกของพวกเขาตกอยู่ในความเสี่ยง" Soltani กล่าว

ข้อยกเว้น

การเรียกเก็บเงินด้านความเป็นส่วนตัวของโคโลราโดไม่มีข้อยกเว้นสำหรับองค์กรไม่แสวงหาผลกำไรต่างจากรุ่นก่อนในแคลิฟอร์เนียและเวอร์จิเนีย

ทั้งในแคลิฟอร์เนียและเวอร์จิเนีย ผู้สนับสนุนหลักของร่างกฎหมายดังกล่าวได้ให้ข้อยกเว้นแก่องค์กรไม่แสวงหากำไรเพื่อเป็นแนวทางทางการเมือง Alastair Mactaggart ผู้พัฒนาอสังหาริมทรัพย์และผู้ก่อตั้ง Californians for Consumer Privacy ซึ่งเป็นแรงผลักดันที่อยู่เบื้องหลัง California Consumer Privacy Act กล่าวว่าข้อเสนอของเขากำลังเผชิญกับการต่อต้านจากยักษ์ใหญ่ด้านเทคโนโลยี และไม่ต้องการประลองทางการเมืองกับองค์กรไม่แสวงหากำไรด้วย

“คุณต้องเริ่มก้าวแรก ดังนั้นเราจึงคิดว่านี่เป็นก้าวที่ง่ายที่สุดที่จะเด้งออก” แมคแท็กการ์ตกล่าว “ในที่สุด ฉันหวังว่าองค์กรไม่แสวงหากำไรรายใหญ่จะรวมอยู่ด้วย”

เดวิด มาร์สเดน วุฒิสมาชิกของรัฐผู้แนะนำกฎหมายคุ้มครองข้อมูลผู้บริโภคแห่งเวอร์จิเนีย สะท้อนความรู้สึกนั้น สะท้อนว่ากฎหมายไม่ได้สมบูรณ์แบบแต่ยังคงเป็นการเริ่มต้นที่ดี

“ สิ่งนี้รับทุกคนที่ควรหรือยกเว้นทุกคนที่ต้องการการยกเว้นหรือไม่? อาจไม่ใช่ แต่มันค่อนข้างใกล้เคียง” Marsden กล่าว “เราผ่านร่างกฎหมายนี้ได้โดยไม่มีใครลุกขึ้นมาคัดค้านสิ่งที่เราพยายามจะทำ”

โรเบิร์ต โรดริเกซ วุฒิสมาชิกรัฐโคโลราโด ซึ่งร่วมสนับสนุนร่างกฎหมายความเป็นส่วนตัวของรัฐกล่าวว่า เขาไม่ได้รวมข้อยกเว้นสำหรับองค์กรไม่แสวงหากำไร เพราะเขารู้สึกว่าหน่วยงานใดๆ ที่มีข้อมูลเกี่ยวกับผู้คนมากกว่า 100,000 คน ควรปฏิบัติตามการคุ้มครองความเป็นส่วนตัว เขายังไม่เข้าใจว่าทำไมรัฐอื่นถึงได้รับการยกเว้น

“คนที่มีมากกว่า 100,000 บันทึกคือขนาดที่ดี” เขากล่าวในอีเมล “พวกเขาควรมีการป้องกันหรือข้อกำหนดบางอย่างที่ต้องปฏิบัติตาม”

หมายเหตุบรรณาธิการ: บทความนี้เผยแพร่ครั้งแรกบน The Markup โดย Alfred NG และ Maddy Varner และเผยแพร่ซ้ำภายใต้สัญญา อนุญาต Creative Commons Attribution-NonCommercial-NoDerivatives

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

  • Apple จะปฏิเสธแอพของคุณหากมีตัวติดตามบุคคลที่สามที่รวบรวมข้อมูลโดยไม่ได้รับความยินยอม
  • วิธีหยุด Android จากการให้ตัวระบุที่ไม่ซ้ำกับตัวติดตามบุคคลที่สาม
  • วิธีหยุด iPhone ของคุณจากการให้ตัวระบุที่ไม่ซ้ำกับตัวติดตามบุคคลที่สาม
  • Mozilla Firefox นำเสนอคุณสมบัติใหม่ที่ออกแบบมาเพื่อต่อสู้กับตัวติดตาม