非营利网站正在跟踪访问者,有些甚至跟踪击键

已发表: 2021-10-22

去年,近 2 亿人访问了 Planned Parenthood 的网站,这是一个非营利组织,许多人求助于非常私人的事务,例如性教育、避孕药具和堕胎。 这些访问者可能不知道的是,当他们打开plannedparenthood.org 时,网站中嵌入的大约两打广告跟踪器会提醒大量公司,这些公司的业务不是生殖自由,而是收集、销售和使用浏览数据。

标记通过我们的 Blacklight 工具运行 Planned Parenthood 的网站,发现 28 个广告跟踪器和 40 个第三方 cookie 跟踪访问者,此外还有所谓的“会话记录器”,可以捕获访问主页的人在搜索中的鼠标移动和击键诸如避孕药具和堕胎的信息之类的东西。 该网站还包含跟踪器,可以告诉 Facebook 和 Google 用户是否访问了该网站。

Markup 的扫描发现 Planned Parenthood 的网站与 Oracle、Verizon、LiveRamp、TowerData 和 Quantcast 等公司进行了通信——其中一些公司已经开展了组装和销售有关人们习惯的大量数字数据的业务。

Planned Parenthood 数字产品副总裁 Katie Skibinski 表示,在其网站上收集的数据“仅供 Planned Parenthood 和我们的附属机构用于内部目的”,该公司不会向第三方“出售”数据。

“虽然我们的目标是使用数据来学习如何发挥最大的影响力,但在计划生育协会,数据驱动的学习总是在尊重患者和用户隐私的情况下进行深思熟虑,”Skibinski 说。 “这意味着使用分析平台收集汇总数据以收集见解并确定有助于我们改进数字计划的趋势。”

斯基宾斯基没有质疑该组织与包括数据经纪人在内的第三方共享数据。

对计划生育墨西哥湾沿岸的黑光扫描——一个专门针对海湾地区人民的本地化网站,包括堕胎基本上被禁止的德克萨斯州——产生了类似的结果。

Planned Parenthood 在非营利组织方面并不孤单,其中一些在心理健康和成瘾等敏感领域开展业务,收集和共享网站访问者的数据。

使用我们的 Blacklight 工具,The Markup 扫描了 23,000 多个非营利组织的网站,包括那些属于堕胎提供者和非营利成瘾治疗中心的网站。 标记使用 IRS 的非营利主文件来识别自 2019 年以来已提交纳税申报表的非营利组织,该机构将其归类为专注于心理健康和危机干预、公民权利和医学研究等领域。 然后,我们检查了 GuideStar 中公开列出的每个非营利组织的网站。 我们发现其中大约 86% 有第三方 cookie 或跟踪网络请求。 相比之下,当 The Markup 对 2020 年排名前 8 万的网站进行调查时,我们发现 87% 的网站使用了某种类型的第三方跟踪。

在我们扫描的 23,856 个非营利性网站中,约有 11% 嵌入了 Facebook 像素,而 18% 使用了谷歌分析的“再营销受众”功能。

Markup 发现,439 个非营利性网站加载了称为会话记录器的脚本,该脚本可以监控访问者的点击和击键。 其中 89 个是属于非营利组织的网站,美国国税局将其归类为主要关注心理健康和危机干预问题。

“作为本网站的用户,通过与他们共享您的信息,您可能不会认为这些敏感信息会与第三方共享,也绝对不会认为您的击键被记录下来,”隐私研究员 Gunes Acar共同发表了 2017 年关于会话记录器的研究,说。 “网站越敏感,我越担心。”

Gateway Rehab 的发展和社区关系副总裁 Tracy Plevel 是在其网站上拥有会话记录器的非营利组织之一,他说该非营利组织使用跟踪器和会话记录器是因为它需要与更大的营利性同行保持竞争力。

“作为我们自己的非营利组织,我们面临着拥有大量广告预算的营利性提供商以及成瘾治疗经纪人,他们用类似的在线广告策略抓住那些寻求护理的人,并将他们与提供最大“销售”补偿的提供商联系起来,”普莱夫说。 “此外,我们知道用户体验对后续治疗有很大影响。 当有人准备好接受治疗时,我们需要确保他们尽可能容易地接受治疗,以免他们对治疗过程感到沮丧或恐吓。”

其他非营利组织也在其网站上嵌入了大量跟踪器。 Markup 在代表面临驱逐的低收入人群的堪萨斯城法律诊所 Sharma-Crawford Attorneys at Law 上发现了 26 个广告跟踪器和 50 个第三方 cookie。

The Clinic 董事会主席 Rekha Sharma-Crawford 在一封电子邮件声明中写道:“我们非常重视隐私和安全问题,并将继续与我们的网络提供商合作解决您发现的问题。”

Save the Children 是一家成立于 100 多年前的人道主义援助组织,拥有 26 个广告跟踪器和 49 个第三方 cookie。 March of Dimes 是由富兰克林·D·罗斯福总统创办的非营利组织,专注于母婴护理,其网站上有超过 29 个广告跟踪器和 58 个第三方 cookie。 加利福尼亚癌症治疗和研究中心希望之城拥有 25 个广告跟踪器和 47 个第三方 cookie。

救助儿童会全球数字战略副总裁 Paul Butcher 在一份电子邮件声明中表示,该组织“非常重视数据保护”。 Butcher 还写道,救助儿童会通过广告跟踪器收集一些数据“以改善用户体验”,并且该组织正在修改其数据保留政策,并最近聘请了一位新的数据主管。

一角钱三月和希望之城没有回应评论请求。↩︎链接

州级隐私法错过了非营利组织

虽然健康数据受 HIPAA 管理,FERPA 管理教育记录,但没有联邦法律规定网站如何跟踪访问者。 最近,加利福尼亚州、弗吉尼亚州和科罗拉多州等几个州颁布了消费者隐私法,要求公司披露其跟踪做法并允许访问者选择退出数据收集。

但是其中两个州加利福尼亚州和弗吉尼亚州的非营利组织不需要遵守这些规定。

提出了自己的联邦隐私立法的参议员 Ron Wyden (D-OR) 表示,非营利组织积累了大量潜在的敏感数据。

怀登在一封电子邮件声明中说:“非营利组织存储有关我们热衷的事情的令人难以置信的个人信息,从政治事业和社会观点到我们关心的慈善事业。” “如果数据泄露显示有人向家庭暴力支持团体或 LGBTQ 权利组织或他们清真寺的名称捐款,那么这些信息中的任何一个都可能是非常私密的。”

然而,非营利组织领导人辩称,他们缺乏遵守隐私法要求的基础设施和资金,并且必须收集和共享有关捐赠者的信息才能生存。

“非营利组织对数据的最实质性和最有影响力的用途之一就是我们的筹款活动,”由非营利组织和企业组成的倡导组织 The Nonprofit Alliance 的首席执行官 Shannon McCracken 说。 “如果没有能力以具有成本效益的方式接触潜在的新捐助者和现有捐助者,那么非营利组织就无法继续像今天一样具有影响力。”

但隐私专家表示,不管有意与否,非营利组织正在向数据经纪人和 Facebook 和谷歌等科技巨头提供个人信息。

“非营利组织可能会与 LiveRamp 分享您的电话号码和姓名。 明天,一个营利性实体可以重复使用相同的数据来针对您,”联邦贸易委员会的隐私专家和前首席技术专家阿什坎·索尔塔尼 (Ashkan Soltani) 说。 “进入这些第三方聚合器和数据代理的数据流通常也来自非营利组织。”

Soltani 于 10 月 4 日被任命为加州隐私保护局执行董事,他帮助起草了加州消费者隐私法案,该法案最初是在非营利性豁免中引入的。

加州非营利组织协会首席执行官 Jan Masaoka 表示,许多主要的非营利组织与数据经纪人合作,帮助组织和分析他们的数据。

“拥有大量捐赠者名单的人广泛使用它们,几乎所有人都使用其中一项服务,”Masaoka 说。 “他们不会将其保留在内部,几乎每个人都将其保留在其中一项服务中。”

她指出,Blackbaud 是一家非营利组织经常求助的公司。 这家注册数据经纪人的营销材料推广了一个合作数据库,该数据库将来自 550 多家非营利组织的捐赠者数据与数百万家庭的公共信息相结合。

布莱克波特没有回应置评请求。

McCracken 说,由于缺乏资金,非营利组织还依赖第三方平台(也恰好是数据经纪人)来管理其数据的安全和隐私。 但这类公司也不能幸免于网络攻击:根据美国证券交易委员会的文件,Blackbaud 在 2020 年披露了一次勒索软件攻击,黑客窃取了密码、社会安全号码和银行信息。 根据身份盗窃资源中心的数据,数百个慈善组织、学校和医院以及超过 1300 万人受到影响。

“他们依靠这种有问题的生态系统来完成他们的工作,因此,他们与第三方广告公司共享号码列表、电子邮件地址或浏览行为,并使他们的成员面临风险,”索尔塔尼说。↩︎ 链接

例外

与加利福尼亚州和弗吉尼亚州的前辈不同,科罗拉多州的隐私法案没有对非营利组织的豁免。

在加利福尼亚州和弗吉尼亚州,该法案的主要支持者将非营利组织作为一种政治手段给予豁免。 Alastair Mactaggart 是房地产开发商,也是加州消费者隐私法案的创始人,他是《加州消费者隐私法案》的推动者,他表示,他的提议已经遭到科技巨头的反对,也不希望与非营利组织展开政治摊牌。

“你必须迈出第一步,所以我们认为这是最容易反弹的一步,”麦克塔加特说。 “最终,我希望大型非营利组织也包括在内。”

提出《弗吉尼亚消费者数据保护法》的州参议员大卫·马斯登(David Marsden)赞同这一观点,反映该法律并不完美,但仍然是一个良好的开端。

“这是否会吸引每个人,或者豁免每个需要豁免的人? 可能不会,但它非常接近,”马斯登说。 “通过这项法案,我们能够在没有人站起来反对我们试图做的事情的情况下获得通过。”

科罗拉多州参议员罗伯特·罗德里格斯 (Robert Rodriguez) 是该州隐私法案的共同发起人,他说他没有包括对非营利组织的豁免,因为他认为任何拥有超过 100,000 人数据的实体都应该遵守隐私保护。 他也不明白为什么其他州有豁免。

“拥有超过 100,000 条记录的人是一个不错的规模,”他在一封电子邮件中说。 “他们应该有一些保护或要求遵循。”

编者注:本文最初由 Alfred NG 和 Maddy Varner 在 The Markup 上发表,并在 Creative Commons Attribution-NonCommercial-NoDerivatives许可下重新发布。

对此有什么想法吗? 在下面的评论中让我们知道,或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐:

  • 如果您的应用包含未经同意收集数据的第三方跟踪器,Apple 将拒绝您的应用
  • 如何阻止您的 Android 将其唯一标识符提供给第三方跟踪器
  • 如何阻止您的 iPhone 将其唯一标识符提供给第三方跟踪器
  • Mozilla Firefox 现在提供了一项旨在对抗追踪器的新功能