Назад

Данные вышли из-под контроля

Рекламную индустрию обвинили в слежке за пользователями приложений. В незаконном сборе чувствительной информации оказались замешаны десяток популярных приложений и более сотни рекламных сетей.

Сбор данных о пользователях приложений нарушает европейское законодательство, в первую очередь GDPR, однако широко практикуется крупнейшими интернет-компаниями. Они делятся со сторонними компаниями рекламными идентификаторами (Advertising ID), IP-адресами, GPS-координатами, сведениями об установленных приложениях, интересах человека и даже его сексуальных предпочтениях. «Ситуация совершенно вышла из-под контроля», – заявляют в норвежском Совете по правам потребителей (NCC), который провел собственное расследование и уже подал жалобы в отношении шести компаний.

В отчете NCC фигурируют 10 Android-приложений, в том числе популярные сервисы знакомств Tinder, Grindr, OkCupid и happn, игра My Talking Tom 2, менструальный календарь Clue, сервис для создания виртуального макияжа Perfect365. Техническим анализом трафика занималась компания Mnemonic, которая специализируется на кибербезопасности. Оценив объем полученных данных, популярность приложений и масштабы бизнеса «сборщиков», исследователи сделали вывод о распространенности подобных практик в adtech-индустрии.

Тесты выявили ряд серьезных нарушений, связанных с приватностью.

Упомянутые десять приложений передавали пользовательские данные минимум 135 сторонним партнерам, которые занимаются рекламой и/или профилированием аудитории.

Рекламный идентификатор Android передавался минимум 70 сторонним партнерам. Зачастую Advertising ID идет вместе с GPS координатами и IP адресом, что позволяет отслеживать пользователя на различных устройствах и в приложениях, тем самым формируя исчерпывающий профиль.

Все приложения отдавали данные нескольким партнерам и (за исключением одного) не ограничивались только идентификатором. Третьи лица получали информацию о поле, возрасте и действиях пользователя. Такие сведения могут использоваться для отслеживания пользователей, показа им таргетированной рекламы, профилирования (в том числе похожей, look-alike) аудитории и определения таких чувствительных характеристик, как сексуальная ориентация и религиозные взгляды.

Например, приложение для ЛГБТ-знакомств Grindr делилось детальной информацией – IP-адресами, Advertising ID, координатами GPS, полом, возрастом – с большим числом сторонних компаний. В большинстве случаев посредником выступала платформа MoPub, принадлежащая Twitter. Среди компаний, которым она передавала данные, были AppNexus и OpenX. В свою очередь, некоторые из этих компаний застолбили за собой право делиться собранными данными с довольно широким кругом партнеров.

OkCupid уличили в передаче сведений о сексуальной ориентации, употреблении наркотических веществ, политических взглядах и многом другом аналитической фирме Braze. У Perfect365 обнаружили более 70 third-party-партнеров, в их числе – Unacast, OneAudience и Tutela. Принадлежащая Google платформа DoubleClick получала данные от восьми приложений из списка, Facebook – от девяти. В большинстве случаев такие действия противоречат GDPR, заявляют эксперты NCC. Напомним, нарушение закона грозит компании штрафом в размере до €20 млн либо до 4% от годового оборота.

После публикации отчета Twitter отключил Grindr от рекламной сети MoPub и начал собственное расследование.

В Совете по правам потребителей напоминают, что персональные данные используются не только в благих целях, для показа релевантной рекламы и улучшения пользовательского опыта. Обратные стороны профилирования – дискриминация, манипуляция, непрозрачные схемы сбора и передачи данных, подрыв доверия к цифровой экономике.

Зачастую паблишеры и рекламодатели не обеспечивают должный контроль над тем, как сторонние продавцы используют собранные данные. В свою очередь, у пользователя практически нет инструментов влияния – он может попасть в категорию «неблагонадежных» потребителей на основании ряда признаков (и оказаться в «отказниках» у банков), но исправить ситуацию или выразить протест у него не получится.

NCC предлагает принять следующие меры:

  • Признать, что неконтролируемое распространение персональных данных широко практикуется в adtech-индустрии и должно быть ограничено.

  • Регуляторам – пристально следить за интернет-гигантами, которые имеют дело с персональными данными, и не допускать монополизма.

  • Рекламодателям и паблишерам – взять на себя ответственность за нарушения законодательства и максимально ограничить объем собираемых данных.

  • Использовать альтернативный способ – контекстный таргетинг, который позволяет выбирать для показа объявлений релевантные сайты, ориентируясь на содержание веб-страниц, ключевые слова и другие критерии.

Читайте также

все новости