Исследование: отказ от сбора данных не запрещает сайтам собирать информацию о пользователе

Общий регламент ЕС по защите данных ( GDPR ) требует, чтобы веб-сайты и связанные с ними третьи лица запрашивали согласие перед сбором и обработкой персональных данных пользователей. Чтобы помочь операторам сайтов выполнить это требование, некоторые компании, такие как Didomi, Quantcast, OneTrust и Usercentrics, предлагают так называемую платформу управления согласием (Consent Management Platform, CMP).

Платформа CMP позволяет сайтам запрашивать у пользователя разрешение на обработку его cookie -файлов. Поставщики CMP позволяют компаниям соблюдать законы о конфиденциальности GDPR в США, Евросоюзе, Великобритании, Сингапуре и других странах.

Тем не менее группа ученых проверила эффективность средств контроля отказа от обработки пользовательских данных, основанных на CMP, и обнаружили, что эта технология не обеспечивает соответствие требованиям GDPR и CCPA.

По словам экспертов, во многих случаях пользовательские данные собираются, обрабатываются и передаются даже тогда, когда пользователи отказываются от их сбора. Учёные также отметили, что несколько известных рекламодателей могут потенциально нарушать GDPR и CCPA.

Исследователи разработали способ аудита соблюдения отказа с помощью OpenWPM , системы измерения веб-конфиденциальности с открытым исходным кодом. Процесс включал посещение 50 лучших сайтов в 16 различных категориях интересов (компьютеры, новости, спорт и т. д.), чтобы смоделировать интересы пользователей.

Аудит проводился среди сайтов, которые поддерживают как назначение ставок в заголовке с помощью «prebid.js», так и отказ от использования CMP (от Didomi, Quantcast, OneTrust и Usercentrics), настроенных в соответствии с GDPR и CCPA.

Ставки в заголовке через «prebid.js» (используются для автоматизации рекламы) происходят на стороне клиента, поэтому исследователи смогли перехватить и проанализировать соответствующие транзакции на стороне клиента.

Учёные посещали сайты, используя рекламные профили пользователей и один пустой профиль. Они собирали ставки и сетевые запросы от рекламодателей для настроек отказа от обработки данных, а затем анализировали результаты. Теоретически отказ должен снизить ставки рекламодателей до уровня, сравнимого с пустым профилем с точки зрения использования данных, обмена данными на стороне клиента и на стороне сервера. На самом деле оказалось, что ставки не понижались и данные по-прежнему обрабатывались.

Выводы вызывают сомнения в эффективности нормативных актов как единственного средства защиты конфиденциальности. В частности, даже после того, как пользователи отказываются от сбора, их данные по-прежнему могут использоваться и передаваться рекламодателям. Для полной защиты конфиденциальности пользователям по-прежнему необходимо полагаться на блокировщики рекламы и браузеры, ориентированные на конфиденциальность .