Facebook получает вашу финансовую информацию от налоговых веб-сайтов
4 мая 2023 г.Эта статья опубликована совместно с The Verge.
Читайте на сайте нашего соавтора
Как стало известно The Markup, основные службы налоговой отчетности, такие как H&R Block, TaxAct и TaxSlayer, незаметно передают конфиденциальную финансовую информацию в Facebook, когда американцы подают свои налоги онлайн.
данные, отправляемые с помощью широко используемого кода, называемого метапикселем, включают не только такую информацию, как имена и адреса электронной почты. но часто даже более подробную информацию, включая данные о доходах пользователей, статусе подачи заявок, суммах возмещения и суммах стипендий иждивенцев в колледже.
Информация, отправляемая в Facebook, может использоваться компанией для обеспечения эффективности своих рекламных алгоритмов и собирается независимо от того, есть ли у лица, использующего службу подачи налоговых деклараций, учетная запись на Facebook или других платформах, управляемых ее владельцем, Meta.
Посмотрите наши данные здесь.
Каждый год Налоговая служба обрабатывает около 150 миллионов индивидуальных деклараций, поданных в электронном виде, и По данным The Markup, некоторые из наиболее широко используемых служб электронной подачи документов используют пиксель.
Например, когда пользователи регистрируются для подачи налоговых деклараций в популярный сервис TaxAct, их просят предоставить личную информацию для расчета своих доходов, в том числе информацию о том, сколько денег они зарабатывают и об их инвестициях.
Затем пиксель на веб-сайте TaxAct отправлял некоторые из этих данных в Facebook, включая статус подачи заявок пользователями, их скорректированный валовой доход и сумму возмещения, согласно обзору The Markup. Доход был округлен до ближайшей тысячи, а возмещение до ближайшей сотни.
Пиксель также отправлял имена иждивенцев в запутанном, но обычно обратимый формат.
TaxAct был не единственной службой подачи налоговых деклараций, использующей Meta Pixel.
Гигант по подготовке налоговых деклараций H&R Block, который также предлагает возможность подачи онлайн-заявок, которая -july-17-2020/">привлекает миллионы клиентов в год, встроила на свой сайт пиксель, который собирал информацию об использовании сберегательных счетов заявителей, а также о субсидиях и расходах на обучение в колледже иждивенцев.
Влияние
Фев. 2 2023 г. Ссылаясь на это расследование, трое демократов в Конгрессе требовал, чтобы Служба внутренних доходов провела расследование в отношении компаний, занимающихся подготовкой налогов, за предоставление Facebook конфиденциальных данных о налогоплательщиках.
Декабрь. 14 ноября 2022 г. После расследования Сен. Элизабет Уоррен и ее коллеги опросили налоговые компании, Meta и Google о том, как конфиденциальная финансовая информация пользователей передается технологическим компаниям.
TaxSlayer, еще одна широко используемая служба регистрации, отправляла личную информацию в Facebook как часть системы «расширенного сопоставления» социальной сети, которая собирает информацию о посетителях веб-сайта, пытаясь связать их с учетными записями Facebook.
Информация, собранная с помощью пикселя на сайте TaxSlayer, включала номера телефонов, имя пользователя, заполнившего форму, и имена любых иждивенцев, добавленных в декларацию.
Как и в случае с TaxAct, конкретная демографическая информация о пользователе была скрыта, но все еще могла использоваться Facebook для привязки пользователя к существующему профилю. TaxSlayer заявил о заполнении 10 миллионов федеральных и государственных налоговых деклараций в прошлом году.
Разметка также обнаружила код пикселя на сайте налоговой подготовки, управляемом компанией Ramsey Solutions, занимающейся финансовыми консультациями и программным обеспечением, которая использует версию службы TaxSlayer.
Этот пиксель собирал еще больше личных данных со сводной страницы налоговой декларации, включая информацию о доходах и суммах возмещения.
Эта информация не отправлялась сразу после посещения страницы, а только тогда, когда посетители нажимали раскрывающиеся заголовки, чтобы просмотреть более подробную информацию о своем отчете.
Даже Intuit, компания, управляющая доминирующим в Америке программным обеспечением для онлайн-регистрации, использовала пиксель. Однако TurboTax от Intuit отправлял в Meta не финансовую информацию, а имена пользователей и последний раз, когда устройство входило в систему.
В некоторых случаях пиксель также собирал такую информацию, как идентификационный номер заказа и адрес электронной почты пользователя после входа в систему.
«Мы очень серьезно относимся к конфиденциальности данных наших клиентов», — сказала Николь Коберн, представитель TaxAct, в электронном письме. «TaxAct всегда стремится соблюдать все правила IRS».
Анджела Дэвид, представитель H&R Block, сказала, что компания «регулярно оценивает нашу практику в рамках нашей постоянной приверженности конфиденциальности и анализирует информацию».
Меган МакКоннелл, представитель Ramsey Solutions, сообщила в электронном письме, что компания «внедрила Meta Pixel, чтобы обеспечить более персонализированный опыт работы с клиентами».
«Мы НЕ знали и никогда не получали уведомления о том, что Facebook собирает личную налоговую информацию с Pixel», — говорится в заявлении. «Как только мы это узнали, мы сразу же проинформировали TaxSlayer о необходимости деактивировать Pixel от Ramsey SmartTax».
После того как The Markup связалась с TaxSlayer, пресс-секретарь Молли Ричардсон сообщила по электронной почте, что компания удалила пиксель, чтобы оценить его использование.
«Конфиденциальность наших клиентов имеет первостепенное значение, и мы очень серьезно относимся к информации о наших клиентах», — сказала она, добавив, что Ramsey Solutions «также решила удалить пиксель».
Рик Хейнеман, представитель Intuit, сказал, что пиксель компании «не отслеживает, не собирает и не передает информацию, которую пользователи вводят в TurboTax при подаче налогов», хотя Intuit «может делиться некоторой информацией, не относящейся к налоговой декларации, такой как имя пользователя, с партнерами по маркетингу, чтобы повысить качество обслуживания клиентов», например, не показывать рекламу Intuit на Facebook людям, у которых уже есть аккаунты.
Компания заявила, что соблюдает правила, но изменила пиксель, чтобы он больше не отправлял имена пользователей.
Мэнди Мэтлок, преподаватель юридического факультета Гарвардского университета, специализирующийся на налоговом праве, говорит, что выводы The Markup показали, что налогоплательщики «предоставляют часть наиболее конфиденциальной информации, которой они владеют, и ее используют в своих целях».
«Это ужасно», — сказала она. «Это действительно так».
В понедельник, после того как The Markup связался с TaxAct для комментариев, сайт компании больше не отправлял в Meta финансовые данные, такие как доход и сумма возмещения, но продолжал отправлять имена иждивенцев. Сайт также продолжал отправлять финансовую информацию в Google Analytics.
Также с понедельника TaxSlayer и Ramsey Solutions удалили пиксель со своих сайтов для подачи налоговых деклараций, а TurboTax прекратил отправку имен пользователей через пиксель при входе в систему. Сайт H&R Block продолжал отправлять информацию о сберегательных счетах на здоровье и грантах на обучение в колледже.
По состоянию на среду, после того как эта история была опубликована, TaxAct удалил пиксель из своего веб-приложения для подачи налоговых деклараций, но по-прежнему отправлял финансовую информацию в Google Analytics, а H&R Block сообщил The Markup, что удалил пиксель со своего веб-сайта для подачи налоговых деклараций «для запретить сбор любой налоговой информации о клиентах». Разметка подтвердила, что она была удалена.
Как Meta Pixel отслеживает пользователей
Мета делает код пикселя бесплатным для всех желающих, позволяя компаниям встраивать код на свои сайты по своему усмотрению.
Использование кода помогает как Facebook, так и бизнесу. Когда клиент заходит на веб-сайт компании, пиксель может регистрировать, какие товары он просматривал, например футболку.
Затем компания может настроить таргетинг своей рекламы на Facebook на людей, которые смотрели на эту футболку, что позволит компании найти аудиторию, которая уже может быть заинтересована в ее продуктах.
Мета выигрывает и в финансовом плане. Компания заявляет, что может использовать данные, которые она собирает с помощью таких инструментов, как пиксели, для работы своих алгоритмов, предоставляя информацию о привычках пользователей в Интернете.
Эта стратегия оказалась успешной для Facebook. В 2018 году компания сообщила Конгрессу, что более двух миллионов пикселей по всему Интернету – массовая операция по сбору данных, которую большинство интернет-пользователей никогда не увидят.
«Эта практика распространена повсеместно», — сказал Джон Каллас, директор по технологиям, представляющим общественный интерес, в Electronic Frontier Foundation, который сказал, что был «шокирован, но не удивлен» выводами The Markup.
Часть собранных конфиденциальных данных, проанализированных The Markup, по-видимому, связана с поведением метапикселя по умолчанию, в то время как некоторые, по-видимому, возникают в результате настроек, сделанных налоговыми службами, кем-то, действующим от их имени, или другим программным обеспечением, установленным на сайте.
Например, Meta Pixel собирал информацию о сберегательных счетах и расходах на обучение в колледже с сайта H&R Block, потому что эта информация появляется в заголовках веб-страниц, а стандартная конфигурация Meta Pixel автоматически собирает название страницы, которую просматривает пользователь, вместе с веб-сайтом. адрес страницы и другие данные.
Он смог получить информацию о доходах от Ramsey Solutions, потому что эта информация появлялась в сводке, которая расширялась при нажатии. Сводка была обнаружена пикселем как кнопка, и в конфигурации по умолчанию пиксель собирает текст внутри нажатой кнопки.
Пиксели, встроенные в TaxSlayer и TaxAct, использовали функцию под названием «автоматическое расширенное сопоставление».
Эта функция сканирует формы в поисках полей, которые, по ее мнению, содержат идентифицирующую личность информацию, например телефон. номер, имя, фамилия или адрес электронной почты, а затем отправляет обнаруженную информацию в Meta.
На сайте TaxSlayer эта функция собирала номера телефонов, имена заявителей и их иждивенцев. В TaxAct он собирал имена иждивенцев.
Данные, собранные функцией сопоставления, отправляются в запутанной форме, известной как хэш, который мета-состояния используются для «помочь защитить конфиденциальность пользователей."
Но компания обычно может определить предварительно запутанную версию данных — на самом деле Meta явно использует хэшированная информация для связи других данных пикселей с профилями Facebook и Instagram.
Эта функция пикселя была отключена по умолчанию, когда The Markup настроила тестовый пиксель, прикрепленный к бизнес-аккаунту, но ее можно было включить, щелкнув переключатель во время настройки.
Когда TaxAct отправлял суммы в долларах, такие как скорректированный валовой доход, в Meta, они передавались как параметры< /a> в «настраиваемое событие», которые отправляются только если пиксель настроен оператором веб-сайта или другим приложением, которое оператор веб-сайта добавляет на свой сайт за пределами значений по умолчанию.
TaxAct не ответил на вопросы о том, настроил ли пиксель таким образом и почему.
После заполнения налоговой декларации на сайте taxact.com информация, включая скорректированный валовой доход физического лица, сумму федерального возмещения и количество иждивенцев, отправлялась в Meta через Meta Pixel. Данные на скриншотах не являются реальными данными пользователя. Источник: taxact.com и The Markup
Существуют ограничения на типы данных, которые, по словам Meta, будут собираться через пиксель. Компания заявляет, что не хочет, чтобы ей отправляли конфиденциальную информацию, включая финансовые данные, и что она использует автоматическую фильтрацию для блокировки потенциально конфиденциальных данных.
Справочный центр запрещает отправку информации, включая номера банковских счетов или кредитных карт, или «информацию о финансовый счет или статус физического лица».
Тем не менее, один конкретный тип запрещенных данных, доход, был именно тем, что два налоговых сайта отправляли в Facebook, как обнаружил The Markup.
Данные, отправленные в Facebook компанией TaxAct, показывают, что ранее она также отправляла параметр с пометкой «student_loan_interest», который теперь фильтруется пикселем перед отправкой.
С января по июль этого года The Markup отслеживала использование пикселя веб-сайтами в рамках Pixel Hunt, партнерства. с Mozilla Rally. Для проекта участвующие пользователи установили расширение для браузера, которое предоставило The Markup копию всех данных, переданных в Meta через пиксель.
Разметка первоначально обнаружила, что конфиденциальная информация была передана налоговым органам через данные, которыми поделились участники Pixel Hunt.
Затем компания Markup подписалась на учетные записи в веб-приложениях компаний и использовала раздел «Сеть» в Chrome DevTools, инструмент, встроенный в браузер Google Chrome, для репликации и подтверждения данных.
Ранее в этом году с помощью участников Pixel Hunt компания The Markup обнаружила конфиденциальные данные, отправленные в Facebook на сайте федеральный веб-сайт Департамента образования по подаче заявок на помощь студентам, веб-сайты о критической беременности и веб-сайты известных больниц.
Мета собирает так много данных, что даже сама компания иногда может не знать, где они заканчиваются.
Ранее в этом году Vice сообщил об утечке документа Facebook, написанного инженерами Facebook, которые заявили, что компания «не имеет адекватного уровня контроля и объяснения того, как наши системы используют данные», из-за чего трудно обещать, что она не будет использовать определенные данные для определенных целей.
В то время представитель компании сообщил Vice, что Facebook использует «обширные процессы и средства контроля для управления данными и соблюдения правил конфиденциальности».
В ответ на вопросы The Markup об использовании пикселя налоговыми веб-сайтами Дейл Хоган, представитель Meta, указал на правила компании в отношении конфиденциальной финансовой информации.
«Рекламодатели не должны отправлять конфиденциальную информацию о людях через наши инструменты для бизнеса», — написал Хоган в заявлении по электронной почте.
«Это противоречит нашей политике, и мы обучаем рекламодателей правильной настройке бизнес-инструментов, чтобы предотвратить это. Наша система предназначена для фильтрации потенциально конфиденциальных данных, которые она может обнаружить».
Представитель Google Джеки Берте сообщила в электронном письме, что компания «применяет строгую политику в отношении рекламы людям, основанной на конфиденциальной информации», и что данные Google Analytics «запутаны, то есть не привязаны к конкретному лицу, и наша политика запрещает клиентам отправлять нам данные, которые могут быть использованы для идентификации пользователя».
Налоговое управление строго регулирует налоговые данные
Нина Олсон, исполнительный директор некоммерческого Центра за права налогоплательщиков, с 2001 по 2019 году была национальным защитником налогоплательщиков в Налоговой службе. Эта должность в агентстве предназначалась для представления интересов налогоплательщиков.
По ее словам, в рамках своей роли в IRS она участвовала в разработке правил которые регулируют раскрытие налоговой информации. Олсон сказал, что правила IRS, регулирующие использование данных частными налоговыми службами, преднамеренно являются «очень строгими».
В соответствии с правилами, которые она помогла разработать, специалисты по составлению налоговых деклараций, в том числе компании, подающие электронную отчетность, могут использовать информацию, которую они получают от налогоплательщиков, только в ограниченных целях; для чего-либо, помимо немедленного облегчения подачи, составитель должен получить подписанное согласие от пользователя, которое объясняет получателя и раскрываемую точную информацию.
Правительство доходит до того, что предписывает даже размер шрифта запросов на раскрытие информации. , указав, что он должен быть "того же размера или больше, чем обычный или стандартный основной текст, используемый веб-сайтом или программным пакетом".
Штрафы за раскрытие данных без согласия потенциально суровы: возможны штрафы и даже тюремное заключение, хотя Олсон сказала, что ей ничего не известно о каких-либо уголовных делах, которые были возбуждены.
The Markup просмотрел веб-сайты по составлению налоговых деклараций на предмет раскрытия информации, в которой конкретно упоминались Meta или Facebook, но не нашел их. Вместо этого некоторые компании заключили относительно широкие соглашения о раскрытии информации.
<цитата>Есть ли у них список, в котором говорится, что они собираются раскрывать суммы возмещения, ваших детей и все, что вы делаете, в Facebook?
Нина Олсон, Центр защиты прав налогоплательщиков
Например, компания TaxAct запросила у пользователей разрешение на отправку их налоговой информации дочерней компании TaxSmart Research LLC, чтобы она могла «разрабатывать, предлагать и предоставлять продукты и услуги» для пользователей.
В нем также говорится, что «TaxSmart Research LLC может использовать поставщиков услуг и деловых партнеров для выполнения этих задач». H&R Block, тем временем, включил почти такой же запрос на раскрытие информации, чтобы «H&R Block Personalized Services, LLC» могла предоставлять свои собственные продукты.
Эти сайты предоставляли пользователю возможность отказаться от предоставления налоговой информации, хотя, согласно тестам The Markup, данные передавались в Facebook независимо от того, какой вариант выбрали пользователи.
По словам Олсона, любое раскрытие информации от налогового органа должно указывать точную цель и получателя, чтобы соответствовать требованиям.
«Есть ли у них список, в котором говорится, что они собираются раскрывать суммы возмещения, ваших детей и все, что вы делаете, в Facebook?» она сказала. В противном случае, по ее словам, они могут нарушать правила.
Налоговое управление США отказалось комментировать или отвечать на вопросы о том, нарушает ли какой-либо из сайтов, публикующих налоговую информацию, налоговое законодательство.
Нет выхода для налогоплательщиков
У американских налогоплательщиков есть несколько вариантов, кроме как обратиться к частным компаниям за подачей декларации.
В отличие от других стран, в США действует сильно приватизированная система подачи налоговых деклараций, которая часто требует использования сторонних специалистов по составлению налоговых деклараций.
В то время как в других странах расчетами занимается правительство , а налогоплательщики просто одобрить цифры после успешный лоббистский толчок со стороны частных компаний, налоговые органы в США фактически выступают в качестве посредников между налогоплательщиками и правительством.
Подготовка налоговых деклараций стала большим бизнесом: исследования рынка подсчитали, что в Соединенных Штатах эта отрасль оценивается более чем в 11 миллиардов долларов США.
Существует бесплатная возможность подготовки и подачи документов, но она предназначена только для людей, зарабатывающих не более 73 000 долларов США, и ее использование может быть затруднено. Компании предлагают свое налоговое программное обеспечение бесплатно по соглашению с IRS, но были подвергнуты критике за то, что этот вариант не был легко доступен.
Налоговое управление даже фактически направляет налогоплательщиков, пытающихся бесплатно подать документы, в некоторые компании, которые The Markup обнаружила с помощью пикселя.
несколько услуг по подготовке налоговых деклараций являются частью соглашения, известного как Free File Alliance, включая TaxAct и TaxSlayer. . TurboTax и H&R Block были частью программы в прошлом.
Мэтлок из Гарварда сказал, что выводы The Markup показали почти неизбежные последствия обращения к коммерческим компаниям для выполнения требований правительства.
По ее словам, это процесс, который не дает пользователям иного выбора, кроме как передать свои данные Facebook, если они хотят соблюдать закон.
«Это расстраивает, потому что налогоплательщики были брошены в объятия этих частных коммерческих компаний просто для того, чтобы выполнить свои обязательства по подаче налоговой декларации», — сказала она. «У нас действительно нет выбора в этом вопросе».
Обновить
Ноябрь. 23 декабря 2022 г. В эту статью добавлено сообщение о том, что отдельные службы подачи заявок перестали передавать налоговые данные клиентов через Meta Pixel.
Исправление
Ноябрь. 28 сентября 2022 г.: В более ранней версии этой истории говорилось, что TurboTax не собирал информацию за пределами страницы входа. В некоторых случаях были собраны адреса электронной почты и идентификационные номера заказов.
Автор Саймон Фондри-Тейтлер, Энджи Уоллер и Колин Лечер
Также опубликовано здесь
Фото Алекса Хейни на Unsplash
Оригинал