Удалить свои данные? Конечно. Только сперва найди ссылку, потом загрузи PDF, потом… А, уже не важно
NewsMakerПриватность — это теперь головоломка с исчезающими ссылками.
В Калифорнии, где действует один из самых прогрессивных в США законов о защите персональных данных — Закон о конфиденциальности потребителей (CCPA), более 30 компаний, занимающихся сбором и продажей личной информации, целенаправленно скрыли от поисковых систем страницы, на которых размещены инструкции по удалению пользовательских данных. Об этом стало известно после анализа почти 500 сайтов, зарегистрированных в официальном реестре брокеров данных. Расследование провели издания The Markup и CalMatters.
Механизм, который использовали компании, основан на стандартной для интернета директиве — коде
После обращения журналистов к компаниям, 7 согласились пересмотреть настройки сайта или уже удалили код, запрещающий индексацию, а ещё две сообщили, что устранили проблему самостоятельно, до контакта с прессой. В 8 из 9 случаев факт изменения удалось подтвердить. Ещё 3 устранили скрывающий код позже. При этом 2 компании заявили, что сознательно скрыли страницы во избежание спама и менять настройки не собираются, а остальные 24 никак не отреагировали на запросы.
Сами страницы, даже при наличии, часто были труднонаходимыми: крошечная ссылка в самом низу главной страницы, за множеством всплывающих окон и баннеров. Например, у одного из сервисов, который определяет геолокацию пользователей по IP-адресу , была размещена форма для отказа от продажи данных и их удаления. Но и она была скрыта от поисковых систем — пока компания не убрала запрет на индексацию после запроса журналистов, признав, что это было сделано по ошибке.
Другой пример — компания, которая предлагает сервисы по предотвращению мошенничества и предоставляет форму для удаления данных. Однако найти форму практически невозможно: ссылка спрятана в глубине текста политики конфиденциальности (объемом более 7000 символов) и не размещена на главной странице. Более того, сама форма закрыта от поисковиков.
Некоторые компании пошли ещё дальше — страницы с инструкциями исчезли вовсе. Так произошло с фирмой, специализирующейся на верификации личности с помощью ИИ . Страница с инструкцией была активна в феврале и марте, но к июлю уже отсутствовала.
Согласно положениям закона CCPA, брокеры данных обязаны обеспечить пользователю возможность запросить удаление его информации, получить доступ к собранным данным или запретить их продажу. При этом компании должны быть зарегистрированы в открытой базе. На сегодняшний день в калифорнийском реестре числится около 500 брокеров. Среди них — малоизвестные стартапы, маркетинговые платформы и агрегаторы контактной информации.
Глава Калифорнийского агентства по защите конфиденциальности Том Кемп подтвердил, что ведомство воспроизвело результаты расследования и изучает соответствие таких действий закону. Он сослался на положения об « тёмных паттернах » — интерфейсных решениях, которые затрудняют принятие осознанных решений, например, через избыточную юридическую лексику или отсутствие прямых ссылок. При наличии устойчивого поведения, которое мешает пользователю воспользоваться своими правами, компания может быть признана нарушающей закон.
Для упрощения процедуры в будущем в Калифорнии принят новый закон — Delete Act . Аки предусматривает создание платформы DROP (Delete Request and Opt-out Platform), с помощью которой жители штата смогут массово отправлять запросы о прекращении обработки персональных данных всем зарегистрированным брокерам одновременно. Запуск системы ожидается в следующем году.
В Калифорнии, где действует один из самых прогрессивных в США законов о защите персональных данных — Закон о конфиденциальности потребителей (CCPA), более 30 компаний, занимающихся сбором и продажей личной информации, целенаправленно скрыли от поисковых систем страницы, на которых размещены инструкции по удалению пользовательских данных. Об этом стало известно после анализа почти 500 сайтов, зарегистрированных в официальном реестре брокеров данных. Расследование провели издания The Markup и CalMatters.
Механизм, который использовали компании, основан на стандартной для интернета директиве — коде
noindex, встроенном в HTML-страницу. Поисковики вроде Google и Bing соблюдают эту инструкцию, исключая такие страницы из результатов поиска. В результате, хотя формально компании и соблюдали требования закона — предоставляя страницу с инструкцией по удалению данных — найти её становилось крайне затруднительно. После обращения журналистов к компаниям, 7 согласились пересмотреть настройки сайта или уже удалили код, запрещающий индексацию, а ещё две сообщили, что устранили проблему самостоятельно, до контакта с прессой. В 8 из 9 случаев факт изменения удалось подтвердить. Ещё 3 устранили скрывающий код позже. При этом 2 компании заявили, что сознательно скрыли страницы во избежание спама и менять настройки не собираются, а остальные 24 никак не отреагировали на запросы.
Сами страницы, даже при наличии, часто были труднонаходимыми: крошечная ссылка в самом низу главной страницы, за множеством всплывающих окон и баннеров. Например, у одного из сервисов, который определяет геолокацию пользователей по IP-адресу , была размещена форма для отказа от продажи данных и их удаления. Но и она была скрыта от поисковых систем — пока компания не убрала запрет на индексацию после запроса журналистов, признав, что это было сделано по ошибке.
Другой пример — компания, которая предлагает сервисы по предотвращению мошенничества и предоставляет форму для удаления данных. Однако найти форму практически невозможно: ссылка спрятана в глубине текста политики конфиденциальности (объемом более 7000 символов) и не размещена на главной странице. Более того, сама форма закрыта от поисковиков.
Некоторые компании пошли ещё дальше — страницы с инструкциями исчезли вовсе. Так произошло с фирмой, специализирующейся на верификации личности с помощью ИИ . Страница с инструкцией была активна в феврале и марте, но к июлю уже отсутствовала.
Согласно положениям закона CCPA, брокеры данных обязаны обеспечить пользователю возможность запросить удаление его информации, получить доступ к собранным данным или запретить их продажу. При этом компании должны быть зарегистрированы в открытой базе. На сегодняшний день в калифорнийском реестре числится около 500 брокеров. Среди них — малоизвестные стартапы, маркетинговые платформы и агрегаторы контактной информации.
Глава Калифорнийского агентства по защите конфиденциальности Том Кемп подтвердил, что ведомство воспроизвело результаты расследования и изучает соответствие таких действий закону. Он сослался на положения об « тёмных паттернах » — интерфейсных решениях, которые затрудняют принятие осознанных решений, например, через избыточную юридическую лексику или отсутствие прямых ссылок. При наличии устойчивого поведения, которое мешает пользователю воспользоваться своими правами, компания может быть признана нарушающей закон.
Для упрощения процедуры в будущем в Калифорнии принят новый закон — Delete Act . Аки предусматривает создание платформы DROP (Delete Request and Opt-out Platform), с помощью которой жители штата смогут массово отправлять запросы о прекращении обработки персональных данных всем зарегистрированным брокерам одновременно. Запуск системы ожидается в следующем году.