Kâr amacı gütmeyen web siteleri ziyaretçileri izliyor, hatta bazıları tuş vuruşlarını izlemeye kadar gidiyor

Geçen yıl, yaklaşık 200 milyon kişi, pek çok kişinin cinsel eğitim, doğum kontrol araçlarına erişim ve kürtaja erişim gibi çok özel konularda başvurduğu, kâr amacı gütmeyen bir kuruluş olan Planned Parenthood'un web sitesini ziyaret etti. Bu ziyaretçilerin bilmediği şey, planlanmışparenthood.org'u açar açmaz, siteye yerleştirilmiş yaklaşık iki düzine reklam izleyicinin, işleri üreme özgürlüğü değil, tarama verilerini toplamak, satmak ve kullanmak olan bir dizi şirketi uyarmış olmalarıdır.

İşaretleme, Planlı Ebeveynlik'in web sitesini Blacklight aracımız aracılığıyla çalıştırdı ve aramada ana sayfayı ziyaret eden kişilerin fare hareketlerini ve tuş vuruşlarını yakalayabilen "oturum kaydediciler"e ek olarak, ziyaretçileri izleyen 28 reklam izleyici ve 40 üçüncü taraf tanımlama bilgisi buldu. doğum kontrol yöntemleri ve kürtaj hakkında bilgi gibi şeyler. Site ayrıca, kullanıcıların siteyi ziyaret edip etmediğini Facebook ve Google'a bildiren izleyiciler içeriyordu.

İşaretleme taraması, Planned Parenthood'un sitesinin Oracle, Verizon, LiveRamp, TowerData ve Quantcast gibi şirketlerle iletişim kurduğunu buldu; bu şirketlerden bazıları, insanların alışkanlıklarıyla ilgili yığınlarca dijital veriye erişim sağlama ve satma işine girişti.

Planned Parenthood'un dijital ürünlerden sorumlu başkan yardımcısı Katie Skibinski, web sitesinde toplanan verilerin "Planned Parenthood ve bağlı şirketlerimiz tarafından yalnızca dahili amaçlarla kullanıldığını" ve şirketin verileri üçüncü taraflara "satmadığını" söyledi.

Skibinski, "Planlı Ebeveynlik'te nasıl en etkili olabileceğimizi öğrenmek için verileri kullanmayı amaçlasak da, veriye dayalı öğrenme her zaman hasta ve kullanıcı gizliliğine saygı duyarak dikkatli bir şekilde yürütülür," dedi Skibinski. "Bu, içgörü toplamak ve dijital programlarımızı geliştirmemize yardımcı olan eğilimleri belirlemek için toplu verileri toplamak için analitik platformları kullanmak anlamına geliyor."

Skibinski, kuruluşun veri komisyoncuları da dahil olmak üzere üçüncü taraflarla verileri paylaştığına itiraz etmedi.

Planned Parenthood Gulf Coast'un Blacklight taraması - özellikle kürtajın esasen yasa dışı olduğu Teksas da dahil olmak üzere Körfez bölgesindeki insanlar için yerelleştirilmiş bir web sitesi - benzer sonuçlar verdi.

Kar amacı gütmeyen kuruluşlar söz konusu olduğunda, bazıları akıl sağlığı ve bağımlılık gibi hassas alanlarda faaliyet gösteren, web sitesi ziyaretçileri hakkında veri toplayan ve paylaşan Planlı Ebeveynlik yalnız değildir.

The Markup, Blacklight aracımızı kullanarak, kürtaj sağlayıcılarına ve kâr amacı gütmeyen bağımlılık tedavi merkezlerine ait olanlar da dahil olmak üzere, kâr amacı gütmeyen kuruluşların 23.000'den fazla web sitesini taradı. İşaretleme, IRS'nin kar amacı gütmeyen ana dosyasını, 2019'dan beri vergi beyannamesi veren ve kurumun ruh sağlığı ve kriz müdahalesi, sivil haklar ve tıbbi araştırma gibi alanlara odaklanarak kategorize ettiği kar amacı gütmeyen kuruluşları belirlemek için kullandı. Ardından, GuideStar'da herkese açık olarak listelenen her bir sivil toplum kuruluşunun web sitesini inceledik. Bunların yaklaşık yüzde 86'sının üçüncü taraf tanımlama bilgileri veya izleme ağı istekleri olduğunu tespit ettik. Karşılaştırma yapmak gerekirse, The Markup 2020'de en iyi 80.000 web sitesiyle ilgili bir anket yaptığında, yüzde 87'sinin bir tür üçüncü taraf izleme kullandığını gördük.

Taradığımız 23.856 kâr amacı gütmeyen web sitesinin yaklaşık yüzde 11'inde gömülü bir Facebook pikseli bulunurken, yüzde 18'i Google Analytics "Yeniden Pazarlama Kitleleri" özelliğini kullandı.

İşaretleme, kâr amacı gütmeyen web sitelerinin 439'unun, ziyaretçilerin tıklamalarını ve tuş vuruşlarını izleyebilen oturum kaydediciler adı verilen komut dosyaları yüklediğini buldu. Bunların seksen dokuzu, IRS'nin öncelikle zihinsel sağlık ve kriz müdahale konularına odaklanarak kategorize ettiği, kar amacı gütmeyen kuruluşlara ait web siteleri içindi.

Gizlilik araştırmacısı Güneş Acar, “Bu web sitesinin bir kullanıcısı olarak, bilgilerinizi onlarla paylaşarak, muhtemelen bu hassas bilgilerin üçüncü şahıslarla paylaşıldığını ve kesinlikle tuş vuruşlarınızın kaydedildiğini varsaymıyorsunuz” dedi. Oturum kaydedicilerle ilgili 2017 tarihli bir çalışmayı birlikte yayınladı, dedi. "Web sitesi ne kadar hassas olursa, o kadar endişeliyim."

Sitesinde oturum kaydedicileri olan kâr amacı gütmeyen kuruluşlardan biri olan Gateway Rehab'ın geliştirme ve topluluk ilişkileri başkan yardımcısı Tracy Plevel, kâr amacı gütmeyen kuruluşun daha büyük, kâr amaçlı meslektaşlarıyla rekabet halinde kalması gerektiği için izleyiciler ve oturum kaydediciler kullandığını söyledi.

“Kendimiz bir kâr amacı gütmeyen kuruluş olarak, benzer çevrimiçi reklamcılık taktikleriyle bakım arayanları yakalayan ve onları en büyük 'satış' tazminatını sunan sağlayıcıya bağlayan bağımlılık tedavisi komisyoncularının yanı sıra büyük reklam bütçeleri olan kar amaçlı sağlayıcılara karşıyız. "dedi Plevel. "Ayrıca, kullanıcı deneyiminin tedaviyi takip etmede büyük bir etkisi olduğunu biliyoruz. Birisi tedaviye başlamaya hazır olduğunda, süreç onu hayal kırıklığına uğratmadan veya gözünü korkutmadan önce onlar için mümkün olduğunca kolay olduğundan emin olmalıyız.”

Diğer kâr amacı gütmeyen kuruluşların da sitelerine yerleştirilmiş önemli sayıda izleyicileri vardı. İşaretleme, sınır dışı edilmekle karşı karşıya kalan düşük gelirli insanları temsil eden bir Kansas City hukuk kliniği olan Sharma-Crawford Hukuk Bürosu'ndaki The Clinic'te 26 reklam izleyici ve 50 üçüncü taraf tanımlama bilgisi buldu.

The Clinic yönetim kurulu başkanı Rekha Sharma-Crawford, e-postayla gönderilen bir bildiride şunları yazdı: "Gizlilik ve güvenlik endişelerini çok ciddiye alıyoruz ve belirlediğiniz sorunları çözmek için web sağlayıcımızla çalışmaya devam edeceğiz."

100 yıldan daha uzun bir süre önce kurulmuş bir insani yardım kuruluşu olan Save the Children'ın 26 reklam izleyicisi ve 49 üçüncü taraf çerezi vardı. Başkan Franklin D. Roosevelt tarafından başlatılan ve anne ve bebek bakımına odaklanan kar amacı gütmeyen bir kuruluş olan March of Dimes'ın sitesinde 29'dan fazla reklam izleyicisi ve 58 üçüncü taraf çerezi vardı. Kaliforniya'daki bir kanser tedavi ve araştırma merkezi olan City of Hope'un 25 reklam izleyicisi ve 47 üçüncü taraf çerezi vardı.

Save the Children'ın küresel dijital stratejiden sorumlu başkan yardımcısı Paul Butcher, e-postayla gönderilen bir açıklamada, kuruluşun "veri korumayı çok ciddiye aldığını" söyledi. Kasap ayrıca Save the Children'ın "kullanıcı deneyimini iyileştirmek için" reklam izleyicileri aracılığıyla bazı veriler topladığını ve kuruluşun veri saklama politikalarını yenileme sürecinde olduğunu ve yakın zamanda yeni bir veri yöneticisi işe aldığını yazdı.

March of Dimes ve City of Hope yorum taleplerine yanıt vermedi.↩︎ link

Eyalet Düzeyinde Gizlilik Yasaları Kar Amacı Gütmeyen Kuruluşlar

Sağlık verileri HIPAA tarafından yönetilirken ve FERPA eğitim kayıtlarını düzenlerken, web sitelerinin ziyaretçilerini nasıl izlediğini düzenleyen federal yasalar yoktur. Son zamanlarda, birkaç eyalet (California, Virginia ve Colorado), şirketlerin izleme uygulamalarını ifşa etmelerini ve ziyaretçilerin veri toplamayı devre dışı bırakmalarına izin vermesini gerektiren tüketici gizliliği yasalarını yürürlüğe koydu.

Ancak bu eyaletlerden ikisinde, California ve Virginia'daki kar amacı gütmeyen kuruluşların düzenlemelere uyması gerekmez.

Kendi federal gizlilik yasasını öneren Senatör Ron Wyden (D-OR), kâr amacı gütmeyen kuruluşların büyük miktarda potansiyel olarak hassas veri biriktirdiğini söyledi.

Wyden, e-postayla gönderilen bir açıklamada, "Kar amacı gütmeyen kuruluşlar, siyasi nedenlerden ve sosyal görüşlerden önemsediğimiz hayırsever nedenlere kadar tutkulu olduğumuz şeyler hakkında inanılmaz derecede kişisel bilgiler depolar," dedi. "Bir veri ihlali, birinin bir aile içi şiddet destek grubuna veya LGBTQ hakları örgütüne veya camilerinin adını bağışladığını ortaya çıkarırsa, bu bilgilerden herhangi biri inanılmaz derecede özel olabilir."

Ancak kâr amacı gütmeyen liderler, gizlilik yasası gerekliliklerine uymak için altyapı ve finansmana sahip olmadıklarını ve hayatta kalabilmek için bağışçılar hakkında bilgi toplamaları ve paylaşmaları gerektiğini savunuyorlar.

Kâr amacı gütmeyen kuruluşlar ve işletmelerden oluşan bir savunuculuk grubu olan The Nonprofit Alliance CEO'su Shannon McCracken, “Kar amacı gütmeyen kuruluşlar tarafından verilerin en önemli ve etkili kullanımlarından biri bizim bağış toplamamız olmuştur” dedi. "Müstakbel yeni bağışçılara ve mevcut bağışçılara maliyet etkin bir şekilde ulaşma yeteneği olmadan, kâr amacı gütmeyen kuruluşlar bugün olduğu kadar etkili olmaya devam edemezler."

Ancak amaçlı olsun ya da olmasın, gizlilik uzmanları, kâr amacı gütmeyen kuruluşların kişisel bilgileri Facebook ve Google gibi veri komisyoncularına ve teknoloji devlerine beslediğini söylüyor.

“Kar amacı gütmeyen bir kuruluş, telefon numaranızı ve adınızı LiveRamp ile paylaşabilir. Federal Ticaret Komisyonu'nda bir gizlilik uzmanı ve eski baş teknoloji uzmanı olan Ashkan Soltani, yarın, kar amacı gütmeyen bir kuruluş aynı verileri sizi hedeflemek için yeniden kullanabilir" dedi. "Bu üçüncü taraf toplayıcılara ve veri simsarlarına giden veri akışları genellikle kâr amacı gütmeyen kuruluşlardan da gelir."

4 Ekim'de California Privacy Protection Agency'nin yönetici direktörü olarak atanan Soltani, başlangıçta kar amacı gütmeyen muafiyetlerle tanıtılan California Tüketici Gizliliği Yasası'nın taslağının hazırlanmasına yardımcı oldu.

Kaliforniya Kâr Amacı Gütmeyen Kuruluşlar Derneği CEO'su Jan Masaoka, birçok büyük kâr amacı gütmeyen kuruluşun, verilerini düzenlemeye ve analiz etmeye yardımcı olmak için veri komisyoncularıyla birlikte çalıştığını söyledi.

Masaoka, "Büyük bağışçı listeleri olan insanlar bunları yoğun bir şekilde kullanıyor, hemen hemen hepsi hizmetlerden birini kullanıyor" dedi. "Bunu şirket içinde tutmuyorlar, hemen hemen herkes bu hizmetlerden biriyle saklıyor."

Blackbaud'un kar amacı gütmeyen kuruluşların sıklıkla başvurduğu bir şirket olduğunu kaydetti. Kayıtlı veri komisyoncusunun pazarlama materyali, 550'den fazla kâr amacı gütmeyen kuruluştan bağışçı verilerini milyonlarca hane hakkında kamuya açık bilgilerle birleştiren bir işbirliği veritabanını desteklemektedir.

Blackbaud, bir yorum talebine yanıt vermedi.

McCracken, fon eksikliği nedeniyle kâr amacı gütmeyen kuruluşların, verilerinin güvenliğini ve gizliliğini yönetmek için aynı zamanda veri komisyoncuları olan üçüncü taraf platformlarına da güvendiğini söyledi. Ancak bu tür şirketler de siber saldırılara karşı bağışık değildir: Blackbaud, bir Menkul Kıymetler ve Borsa Komisyonu dosyasına göre 2020'de bilgisayar korsanlarının şifreleri, Sosyal Güvenlik numaralarını ve bankacılık bilgilerini çaldığı bir fidye yazılımı saldırısını açıkladı. Kimlik Hırsızlığı Kaynak Merkezi'ne göre, 13 milyondan fazla insanla birlikte yüzlerce hayır kurumu, okul ve hastane etkilendi.

Soltani, "İşlerini başarmak için bu tür sorunlu ekosisteme güveniyorlar ve sonuç olarak, numara listelerini, e-posta adreslerini veya tarama davranışlarını üçüncü taraf reklam şirketleriyle paylaşıyorlar ve üyelerini riske atıyorlar" dedi.

İstisna

Kaliforniya ve Virginia'daki öncekilerden farklı olarak, Colorado'nun gizlilik yasası kar amacı gütmeyen kuruluşlar için bir muafiyet içermiyor.

Hem California hem de Virginia'da, faturaların ana destekçileri kar amacı gütmeyen kuruluşlara siyasi bir manevra olarak muafiyet verdi. Bir gayrimenkul geliştiricisi ve California Tüketici Gizliliği Yasası'nın arkasındaki itici güç olan Californians for Consumer Privacy'nin kurucusu Alastair Mactaggart, teklifinin zaten teknoloji devlerinin muhalefetiyle karşı karşıya olduğunu ve kâr amacı gütmeyen kuruluşlarla siyasi bir hesaplaşma istemediğini söyledi.

Mactaggart, "İlk adımı atmalısınız, bu yüzden sıçramanın en kolay olacağını düşündük" dedi. "Sonunda, umarım büyük kar amacı gütmeyen kuruluşlar da dahil edilir."

Virginia Tüketici Verilerini Koruma Yasası'nı başlatan eyalet senatörü David Marsden, yasanın mükemmel olmadığını, ancak yine de iyi bir başlangıç ​​olduğunu yansıtarak bu düşünceyi yineledi.

“Bu, olması gereken herkesi alıyor mu, yoksa muafiyete ihtiyacı olan herkesi muaf tutuyor mu? Muhtemelen hayır, ama oldukça yaklaşıyor, ”dedi Marsden. "Bu yasa tasarısıyla, insanlar ayağa kalkıp yapmaya çalıştığımız şeye itiraz etmeden yasayı geçirmeyi başardık."

Eyaletin mahremiyet yasasına ortak sponsor olan Colorado eyalet senatörü Robert Rodriguez, kar amacı gütmeyen kuruluşlar için bir muafiyet eklemediğini çünkü 100.000'den fazla insan hakkında verisi olan herhangi bir kuruluşun mahremiyet korumalarına uyması gerektiğini hissettiğini söyledi. Ayrıca diğer eyaletlerin neden muafiyetleri olduğunu da anlamadı.

Bir e-postada "100.000'den fazla kaydı olan biri iyi bir boyuttur" dedi. "Takip etmeleri gereken bazı korumaları veya gereksinimleri olmalı."

Editörün Notu: Bu makale ilk olarak Alfred NG ve Maddy Varner tarafından The Markup'ta yayınlanmıştır ve Creative Commons Attribution-NonCommercial-NoTerivatives lisansı altında yeniden yayınlanmıştır.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

• Apple, izniniz olmadan veri toplayan üçüncü taraf izleyiciler içeriyorsa uygulamanızı reddeder
• Android'inizin benzersiz tanımlayıcısını üçüncü taraf izleyicilere vermesini nasıl durdurabilirsiniz?
• iPhone'unuzun benzersiz tanımlayıcısını üçüncü taraf izleyicilere vermesini nasıl durdurabilirsiniz?
• Mozilla Firefox şimdi izleyicilerle savaşmak için tasarlanmış yeni bir özellik sunuyor