非營利網站正在跟踪訪問者,有些甚至跟踪擊鍵

已發表: 2021-10-22

去年,近 2 億人訪問了 Planned Parenthood 的網站,這是一個非營利組織,許多人求助於非常私人的事務,例如性教育、避孕藥具和墮胎。 這些訪問者可能不知道的是,當他們打開plannedparenthood.org 時,網站中嵌入的大約兩打廣告跟踪器會提醒大量公司,這些公司的業務不是生殖自由,而是收集、銷售和使用瀏覽數據。

標記通過我們的 Blacklight 工具運行 Planned Parenthood 的網站,發現 28 個廣告跟踪器和 40 個第三方 cookie 跟踪訪問者,此外還有所謂的“會話記錄器”,可以捕獲訪問主頁的人在搜索中的鼠標移動和擊鍵諸如避孕藥具和墮胎的信息之類的東西。 該網站還包含跟踪器,可以告訴 Facebook 和 Google 用戶是否訪問了該網站。

Markup 的掃描發現 Planned Parenthood 的網站與 Oracle、Verizon、LiveRamp、TowerData 和 Quantcast 等公司進行了通信——其中一些公司已經開展了組裝和銷售有關人們習慣的大量數字數據的業務。

Planned Parenthood 數字產品副總裁 Katie Skibinski 表示,在其網站上收集的數據“僅供 Planned Parenthood 和我們的附屬機構用於內部目的”,該公司不會向第三方“出售”數據。

“雖然我們的目標是使用數據來學習如何發揮最大的影響力,但在計劃生育協會,數據驅動的學習總是在尊重患者和用戶隱私的情況下進行深思熟慮,”Skibinski 說。 “這意味著使用分析平台收集匯總數據以收集見解並確定有助於我們改進數字計劃的趨勢。”

斯基賓斯基沒有質疑該組織與包括數據經紀人在內的第三方共享數據。

對計劃生育墨西哥灣沿岸的黑光掃描——一個專門針對海灣地區人民的本地化網站,包括墮胎基本上被禁止的德克薩斯州——產生了類似的結果。

Planned Parenthood 在非營利組織方面並不孤單,其中一些在心理健康和成癮等敏感領域開展業務,收集和共享網站訪問者的數據。

使用我們的 Blacklight 工具,The Markup 掃描了 23,000 多個非營利組織的網站,包括那些屬於墮胎提供者和非營利成癮治療中心的網站。 標記使用 IRS 的非營利主文件來識別自 2019 年以來已提交納稅申報表的非營利組織,該機構將其歸類為專注於心理健康和危機干預、公民權利和醫學研究等領域。 然後,我們檢查了 GuideStar 中公開列出的每個非營利組織的網站。 我們發現其中大約 86% 有第三方 cookie 或跟踪網絡請求。 相比之下,當 The Markup 對 2020 年排名前 8 萬的網站進行調查時,我們發現 87% 的網站使用了某種類型的第三方跟踪。

在我們掃描的 23,856 個非營利性網站中,約有 11% 嵌入了 Facebook 像素,而 18% 使用了谷歌分析的“再營銷受眾”功能。

Markup 發現,439 個非營利性網站加載了稱為會話記錄器的腳本,該腳本可以監控訪問者的點擊和擊鍵。 其中 89 個是屬於非營利組織的網站,美國國稅局將其歸類為主要關注心理健康和危機干預問題。

“作為本網站的用戶,通過與他們共享您的信息,您可能不會認為這些敏感信息會與第三方共享,也絕對不會認為您的擊鍵被記錄下來,”隱私研究員 Gunes Acar共同發表了 2017 年關於會話記錄器的研究,說。 “網站越敏感,我越擔心。”

Gateway Rehab 的發展和社區關係副總裁 Tracy Plevel 是在其網站上擁有會話記錄器的非營利組織之一,他說該非營利組織使用跟踪器和會話記錄器是因為它需要與更大的營利性同行保持競爭力。

“作為我們自己的非營利組織,我們面臨著擁有大量廣告預算的營利性提供商以及成癮治療經紀人,他們用類似的在線廣告策略抓住那些尋求護理的人,並將他們與提供最大“銷售”補償的提供商聯繫起來,”普萊夫說。 “此外,我們知道用戶體驗對後續治療有很大影響。 當有人準備好接受治療時,我們需要確保他們盡可能容易地接受治療,以免他們對治療過程感到沮喪或恐嚇。”

其他非營利組織也在其網站上嵌入了大量跟踪器。 Markup 在代表面臨驅逐的低收入人群的堪薩斯城法律診所 Sharma-Crawford Attorneys at Law 上發現了 26 個廣告跟踪器和 50 個第三方 cookie。

The Clinic 董事會主席 Rekha Sharma-Crawford 在一封電子郵件聲明中寫道:“我們非常重視隱私和安全問題,並將繼續與我們的網絡提供商合作解決您發現的問題。”

Save the Children 是一家成立於 100 多年前的人道主義援助組織,擁有 26 個廣告跟踪器和 49 個第三方 cookie。 March of Dimes 是由富蘭克林·D·羅斯福總統創辦的非營利組織,專注於母嬰護理,其網站上有超過 29 個廣告跟踪器和 58 個第三方 cookie。 加利福尼亞癌症治療和研究中心希望之城擁有 25 個廣告跟踪器和 47 個第三方 cookie。

救助兒童會全球數字戰略副總裁 Paul Butcher 在一份電子郵件聲明中表示,該組織“非常重視數據保護”。 Butcher 還寫道,救助兒童會通過廣告跟踪器收集一些數據“以改善用戶體驗”,並且該組織正在修改其數據保留政策,並最近聘請了一位新的數據主管。

一角錢三月和希望之城沒有回應評論請求。↩︎鏈接

州級隱私法錯過了非營利組織

雖然健康數據受 HIPAA 管理,FERPA 管理教育記錄,但沒有聯邦法律規定網站如何跟踪訪問者。 最近,加利福尼亞州、弗吉尼亞州和科羅拉多州等幾個州頒布了消費者隱私法,要求公司披露其跟踪做法並允許訪問者選擇退出數據收集。

但是其中兩個州加利福尼亞州和弗吉尼亞州的非營利組織不需要遵守這些規定。

提出了自己的聯邦隱私立法的參議員 Ron Wyden (D-OR) 表示,非營利組織積累了大量潛在的敏感數據。

懷登在一封電子郵件聲明中說:“非營利組織存儲有關我們熱衷的事情的令人難以置信的個人信息,從政治事業和社會觀點到我們關心的慈善事業。” “如果數據洩露顯示有人向家庭暴力支持團體或 LGBTQ 權利組織或他們清真寺的名稱捐款,那麼這些信息中的任何一個都可能是非常私密的。”

然而,非營利組織領導人辯稱,他們缺乏遵守隱私法要求的基礎設施和資金,並且必須收集和共享有關捐贈者的信息才能生存。

“非營利組織對數據的最實質性和最有影響力的用途之一就是我們的籌款活動,”由非營利組織和企業組成的倡導組織 The Nonprofit Alliance 的首席執行官 Shannon McCracken 說。 “如果沒有能力以具有成本效益的方式接觸潛在的新捐助者和現有捐助者,那麼非營利組織就無法繼續像今天一樣具有影響力。”

但隱私專家表示,不管有意與否,非營利組織正在向數據經紀人和 Facebook 和谷歌等科技巨頭提供個人信息。

“非營利組織可能會與 LiveRamp 分享您的電話號碼和姓名。 明天,一個營利性實體可以重複使用相同的數據來針對您,”聯邦貿易委員會的隱私專家和前首席技術專家阿什坎·索爾塔尼 (Ashkan Soltani) 說。 “進入這些第三方聚合器和數據代理的數據流通常也來自非營利組織。”

Soltani 於 10 月 4 日被任命為加州隱私保護局執行董事,他幫助起草了加州消費者隱私法案,該法案最初是在非營利性豁免中引入的。

加州非營利組織協會首席執行官 Jan Masaoka 表示,許多主要的非營利組織與數據經紀人合作,幫助組織和分析他們的數據。

“擁有大量捐贈者名單的人廣泛使用它們,幾乎所有人都使用其中一項服務,”Masaoka 說。 “他們不會將其保留在內部,幾乎每個人都將其保留在其中一項服務中。”

她指出,Blackbaud 是一家非營利組織經常求助的公司。 這家註冊數據經紀人的營銷材料推廣了一個合作數據庫,該數據庫將來自 550 多家非營利組織的捐贈者數據與數百萬家庭的公共信息相結合。

布萊克波特沒有回應置評請求。

McCracken 說,由於缺乏資金,非營利組織還依賴第三方平台(也恰好是數據經紀人)來管理其數據的安全和隱私。 但這類公司也不能倖免於網絡攻擊:根據美國證券交易委員會的文件,Blackbaud 在 2020 年披露了一次勒索軟件攻擊,黑客竊取了密碼、社會安全號碼和銀行信息。 根據身份盜竊資源中心的數據,數百個慈善組織、學校和醫院以及超過 1300 萬人受到影響。

“他們依靠這種有問題的生態系統來完成他們的工作,因此,他們與第三方廣告公司共享號碼列表、電子郵件地址或瀏覽行為,並使他們的成員面臨風險,”索爾塔尼說。↩︎ 鏈接

例外

與加利福尼亞州和弗吉尼亞州的前輩不同,科羅拉多州的隱私法案沒有對非營利組織的豁免。

在加利福尼亞州和弗吉尼亞州,該法案的主要支持者將非營利組織作為一種政治手段給予豁免。 Alastair Mactaggart 是房地產開發商,也是加州消費者隱私法案的創始人,他是《加州消費者隱私法案》的推動者,他表示,他的提議已經遭到科技巨頭的反對,也不希望與非營利組織展開政治攤牌。

“你必須邁出第一步,所以我們認為這是最容易反彈的一步,”麥克塔加特說。 “最終,我希望大型非營利組織也包括在內。”

提出《弗吉尼亞消費者數據保護法》的州參議員大衛·馬斯登(David Marsden)贊同這一觀點,反映該法律並不完美,但仍然是一個良好的開端。

“這是否會吸引每個人,或者豁免每個需要豁免的人? 可能不會,但它非常接近,”馬斯登說。 “通過這項法案,我們能夠在沒有人站起來反對我們試圖做的事情的情況下獲得通過。”

科羅拉多州參議員羅伯特·羅德里格斯 (Robert Rodriguez) 是該州隱私法案的共同發起人,他​​說他沒有包括對非營利組織的豁免,因為他認為任何擁有超過 100,000 人數據的實體都應該遵守隱私保護。 他也不明白為什麼其他州有豁免。

“擁有超過 100,000 條記錄的人是一個不錯的規模,”他在一封電子郵件中說。 “他們應該有一些保護或要求遵循。”

編者註:本文最初由 Alfred NG 和 Maddy Varner 在 The Markup 上發表,並在 Creative Commons Attribution-NonCommercial-NoDerivatives許可下重新發布。

對此有什麼想法嗎? 在下面的評論中讓我們知道,或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦:

  • 如果您的應用包含未經同意收集數據的第三方跟踪器,Apple 將拒絕您的應用
  • 如何阻止您的 Android 將其唯一標識符提供給第三方跟踪器
  • 如何阻止您的 iPhone 將其唯一標識符提供給第三方跟踪器
  • Mozilla Firefox 現在提供了一項旨在對抗追踪器的新功能