Nieustanny wyciek danych, który dotyka każdego użytkownika sieci

RODO obowiązuje już 8 miesięcy, a na rynku reklamy behawioralnej nadal jesteśmy towarem: bez praw i głosu. Wiemy to, bo zajrzeliśmy do środka. Przez ponad rok próbowaliśmy dowiedzieć się, co o nas wiedzą portale internetowe, brokerzy danych i inni gracze specjalizujący się w profilowaniu reklam. Ustalenie tego, jakie cechy są nam przypisywane na giełdach reklamowych, okazało się zwyczajnie niemożliwe. To nie jest błąd, tylko cecha systemu. A zarazem powód, dla którego musimy go zmienić. Z okazji Międzynarodowego Dnia Ochrony Danych Osobowych publikujemy raport zbierający to, czego udało nam się dowiedzieć o „podziemiu” reklamowym, i wypowiadamy batalię prawną największym graczom.

Witajcie na zapleczu Internetu

Targetowana reklama wymaga śledzenia. Bez wiedzy o użytkowniku nie da się jej dopasować. Dlatego tak wiele „zgód” nękających nas na portalach dotyczy ciasteczek (które to śledzenie umożliwiają) i profilowania (które jest celem). Ale żadna strona już nie wyjaśnia, co się dzieje dalej: jak w ułamkach sekund dane zebrane o użytkowniku (dzięki udzielonej „zgodzie”) trafiają do wszystkich firm, które w tym momencie szukają okazji, żeby wyświetlić właściwą reklamę właściwej osobie w sieci. Tych firm może być nawet kilkaset.

Wrażliwe dane o tym, czego szukasz w sieci, trafiają do setek firm, które chcą wyświetlić Ci dopasowaną reklamę.

W danych, które rozsiewa strona, na którą wchodzisz (zwykle wcale nie po to, żeby obejrzeć reklamę), pojawiają się informacje o Twoim urządzeniu i lokalizacji, identyfikator reklamowy i tzw. śledzący link, który ujawnia, z jakiej strony właśnie przychodzisz lub czego szukasz. Jeśli wyszukiwanie dotyczy zdrowia, życia seksualnego albo nałogu, wraz ze śledzącym linkiem na aukcję trafiają wrażliwe dane. „Wsparcie dla ofiar przemocy”, „zaburzenia odżywiania”, „lewicowa polityka”, „scjentologia” to przykłady tzw. taksonomii, które w systemach aukcyjnych pomagają dopasować reklamę do użytkownika. Na tym etapie nikt Cię już nie pyta o zdanie ani o to, w jakim celu może takie informacje wykorzystać. Od teraz będą żyć własnym życiem.

Cyfrowy profil powstaje z okruchów danych, które trafiają do reklamowego obiegu dzięki tysiącom współpracujących stron internetowych i brokerom, którzy dorzucają dane z innych źródeł (np. z programów lojalnościowych albo marketingu bezpośredniego). Na tej podstawie dobierane są dla Ciebie reklamy (od bannerów z lodówkami i laptopami po oferty pracy i kredytów) oraz spersonalizowane treści, łącznie z codzienną porcją newsów. Stawką w tej grze może być Twój styl życia (co i dlaczego konsumujesz), Twoja ścieżka kariery (jakie masz aspiracje i pomysły na ich zrealizowanie) albo informacyjna dieta, która przekłada się na to, w jakiej bańce funkcjonujesz. Jest o co walczyć.

Panoptykon na tropie cyfrowego profilu

Chcieliśmy się przekonać na własnej skórze, co w rzeczywistości trafia do cyfrowego profilu. Co też mają na myśli portale informacyjnie, kiedy – próbując nas przekonać do „zgody na cookies” – piszą, że dzięki śledzeniu tego, co robimy na stronie, mogą personalizować dla nas treści i reklamy. Blefują czy naprawdę budują profil każdego użytkownika? Żeby to sprawdzić, ochotnicy z zespołu Panoptykonu wysłali ok. 30 wniosków o dostęp do „własnych” danych osobowych.

Za pomocą wniosków wysłanych do ok. 30 firm z różnych stron reklamowego ekosystemu próbowaliśmy sprawdzić, które z nich mają nasz cyfrowy profil i jak on wygląda.

Zadbaliśmy o to, żeby na liście adresatów były firmy pełniące różne role w ekosystemie reklamy interaktywnej: brokerzy danych, którzy integrują dane pochodzące z różnych źródeł (np. Criteo, Cloud Technologies, Netsprint), firmy, które biorą udział w licytacjach na giełdzie reklam (np. AdForm, AppNexus, Rubicon Project), portale internetowe, które wystawiają nasze profile na giełdach, a potem wyświetlają reklamy (Onet, Interia i Wirtualna Polska), i oczywiście Google, który wchodzi w różne role i dostarcza kluczowe platformy technologiczne.

Zagranicznych brokerów i hurtowników danych zaczęliśmy pytać w kwietniu, jeszcze zanim RODO zaczęło być stosowane. Połowa z nich w ogóle nam nie odpowiedziała, reszta mówiła: „Nie możemy zidentyfikować Was po ciasteczkach” albo „Nie mamy Twoich danych” (mimo że na naszych komputerach nadal aktywne były ich pliki cookies). Wnioski o dostęp do danych do polskich portali i Google wysłaliśmy po 25 maja, licząc, że pod presją RODO potraktują je poważnie. Dane, które wykorzystuje do profilowania i wystawia na giełdy reklamowe, ujawniła nam tylko Wirtualna Polska (w tym przypadku zidentyfikowaliśmy się po adresie e-mail). Inne portale, którym jako załącznik do wniosku przedstawiliśmy ich własny plik cookie, odmawiały, powołując się na problem z identyfikacją (upraszczając: „Skąd mamy mieć pewność, że nie podszywasz się pod innego użytkownika, skoro legitymujesz się jakimś plikiem tekstowym, a nie dowodem osobistym?”).

Próby uzyskania naszych cyfrowych profili okazały się bezskuteczne. To nie przypadek, tylko konsekwencja sposobu zaprojektowania aukcji reklamowych. 

Mimo dużej determinacji i długich godzin spędzonych na tropie nie udało nam się odtworzyć ani jednego cyfrowego profilu w takiej formie, w jakiej trafia on na giełdę reklamową. Mamy (m.in. dzięki Wirtualnej Polsce) trochę surowych danych, z których byliśmy w stanie odtworzyć niektóre wzorce, składające się na nasz obraz w oczach firm (por. graf). Ale nadal nie wiemy, jakie kategorie marketingowe mogły zostać nam przypisane ani dlaczego właśnie takie. Nie wiemy też, komu nasze dane zostały ostatecznie przekazane w wyniku wygranych aukcji ani które – z setek podmiotów podłączonych do systemów aukcyjnych – mogły mieć do nich przelotny dostęp.

Wiemy jedno: bariery, na które trafiliśmy, tropiąc swoje cyfrowe profile, nie stały tam przypadkiem. System aukcji reklamowych został tak zaprojektowany, żeby ukryć przepływy danych i ograniczyć odpowiedzialność poszczególnych graczy. Tropy gubią się po drodze, bo każdy z graczy posługuje się innym identyfikatorem na oznaczenie tego samego użytkownika. A kiedy dostaje pytanie takie jak nasze, może łatwo odpowiedzieć „Nie wiem, kim jesteś”. Jesteśmy traktowani jak towar, który nie ma praw. I to nam się nie podoba.

IAB i Google muszą zmienić reguły gry

Zmienić reguły gry dla aukcji reklamowych – a konkretnie zapewnić większą przejrzystość przepływu danych i szacunek dla wyborów samych użytkowników – mogą tylko ci, którzy je zaprojektowali. W dzisiejszych realiach są to Google i IAB (Interactive Advertising Bureau – organizacja branżowa firm zajmujących się reklamą w Internecie). Obie organizacje są znane szerszej publiczności z innych usług, ale w branży reklamy interaktywnej występują w roli nieformalnych regulatorów rynku. Google i IAB stworzyły specyfikacje techniczne i standardy organizacyjne dla wszystkich firm uczestniczących w licytacjach (w przypadku IAB jest to standard OpenRTB, w przypadku Google – program Authorized Buyers, wcześniej znany Doubleclick Ad Exchange).

Google i IAB stworzyły struktury, które regulują rynek reklamy w Internecie, i to one muszą zmienić reguły gry.

Z tych specyfikacji wynika, jakie dane użytkowników powinny trafić na giełdę reklamową w ramach tzw. bid request oraz kto i na jakiej zasadzie może mieć do nich dostęp. To ważne, bo mówimy nie tylko o danych charakteryzujących urządzenie, ale też o lokalizacji użytkownika i jego cechach, które da się wyciągnąć z tzw. śledzących linków. Oficjalnie wszystkie firmy, które biorą udział w licytacji, powinny skasować te dane w ciągu 18 miesięcy. W praktyce nie wiadomo, kto i w jaki sposób miałby egzekwować to zobowiązanie. Jest duże ryzyko, że dane rozsiewane wraz z bid request po prostu zostają w obiegu reklamowym i na długo przyklejają się do konkretnych użytkowników (poszczególni gracze rozpoznają ich po przypisanych na stałe identyfikatorach).

Co na to RODO? Niedługo się przekonamy. We wrześniu 2018 r. Johnny Ryan (Chief Policy & Industry Relations Officer w Brave Software) we współpracy z Open Rights Group złożył skargi na działania IAB i Google – jako podmioty decydujące o tym, jak są zorganizowane i jak funkcjonują aukcje reklamowe – do organów ochrony danych osobowych w Wielkiej Brytanii i Irlandii. Jest duża szansa, że skargi będą rozpatrywane we współpracy z innymi organami (w tym polskim) ze względu na transgraniczny charakter naruszenia RODO.

Na czym polega sygnalizowane przez Brave naruszenie prawa? Oto najpoważniejsze zarzuty:

• na aukcje trafia więcej danych, niż jest potrzebne, żeby dopasować reklamę (mogą to być nawet dane wrażliwe, ujawniające stan zdrowia, orientację seksualną, pochodzenie etniczne czy poglądy polityczne);

• setki firm, które biorą udział w aukcjach reklamowych, ma dostęp do danych osobowych użytkowników bez ich wiedzy i zgody;

• ani strona, która rozpoczyna aukcję, ani twórcy tych systemów nie mają kontroli nad dalszym wykorzystaniem rozpowszechnionych danych;

• użytkownik, którego dane trafiają na giełdę, nie ma do nich dostępu i nie jest w stanie realizować uprawnień, które daje mu RODO (np. zażądać korekty czy usunięcia).

Przyłączamy się do walki z „podziemiem” reklamowym

28 stycznia Fundacja Panoptykon formalnie przyłączyła się do walki o przejrzystość i poszanowanie praw użytkowników na giełdach reklamowych, składając do Urzędu Ochrony Danych Osobowych własną skargę na działania IAB i Google. Parę miesięcy wcześniej, wspólnie z Privacy International, zwróciliśmy uwagę UODO na naruszenia prawa związane z modelem działania brokerów danych, którzy na masową skalę zbierają i eksploatują informacje pochodzące m.in. z systemów aukcyjnych (bez zgody i wiedzy użytkowników). 10 stycznia UODO poinformowało nas, że bada tę sprawę. W drodze skargi do UODO walczymy także o uzyskanie naszych profili od dwóch portali, które nam ich nie udostępniły: Onetu i Interii.

Wszystko wskazuje na to, że rok 2019 będzie przełomowy dla rynku reklamy interaktywnej. Liczymy na to, że w sprawie systemów aukcyjnych organy ochrony danych osobowych – w tym polski UODO – zajmą równie ostre stanowisko, co francuski organ (CNIL) w sprawie wymuszania zgody na przetwarzanie danych i nieprzejrzystości w usługach Google. W przypadku usług Google użytkownik dostaje przynajmniej podstawowe informacje i może wyrazić sprzeciw wobec profilowania. W ekosystemie reklamowym nie wie nawet, z kim o tym rozmawiać. To musi się zmienić.

Więcej o złożonych skargach: Panoptykon skarży IAB i Google: każdy ma prawo poznać i skorygować swój profil marketingowy

Co jeszcze robimy w związku z reklamą interaktywną?

• Badamy i opisujemy, jak to działa
  Opublikowaliśmy raport Śledzenie i profilowanie w sieci. Jak z klienta stajesz się towarem. Zamieściliśmy w nim m.in. wizualizacje danych, które udało nam się wydobyć od portali internetowych, infografikę tłumaczącą, jak działa ekosystem reklamowy, i przykłady wrażliwych danych, które trafiają na aukcje reklamowe.

• Prowadzimy dialog z biznesem
  Zanim zdecydowaliśmy się na złożenie skarg, długo próbowaliśmy przekonać IAB do zmiany praktyk: konsultowaliśmy kodeks postępowania branży interaktywnej, opisywaliśmy najgorsze praktyki i proponowaliśmy rozwiązania zgodne z RODO. Niestety, bez odzewu.

• Inspirujemy innych do działania
  Z okazji Międzynarodowego Dnia Ochrony Danych Osobowych zaprosiliśmy inne organizacje do wspólnej akcji edukacyjnej #skasujciastko. Przyłączyły się do niej m.in. Centrum Cyfrowe, Ośrodek Edukacji Informatycznej i Zastosowań Komputerów w Warszawie, Polskie Towarzystwo Edukacji Medialnej, Fundacja Nowoczesna Polska, Inicjatywa Kultury Bezpieczeństwa, Europejski Miesiąc Cyberbezpieczeństwa i NASK SA.

Więcej materiałów

Wesprzyj nas w walce o wolność i prywatność w sieci. Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% podatku (KRS: 0000327613)