Почему так много некоммерческих веб-сайтов имеют рекламные трекеры?

В прошлом году почти [200 миллионов человек] final.pdf) посетил веб-сайт Planned Parenthood, некоммерческой организации, к которой многие люди обращаются по очень личным вопросам, таким как половое воспитание, доступ к противозачаточным средствам и доступ к абортам.

Чего эти посетители, возможно, не знали, так это того, что как только они открыли planparenthood.org, около двух десятков рекламных трекеров, встроенных в сайт, предупредили множество компаний, чей бизнес заключается не в репродуктивной свободе, а в сборе, продаже и использовании данных просмотра.

См. наши данные здесь: GitHub

Компания Markup запустила [веб-сайт Planned Parenthood с помощью нашего инструмента Blacklight] (https://themarkup.org/blacklight?url=www.plannedparenthood.org) и обнаружила 28 рекламных трекеров и 40 сторонних файлов cookie, отслеживающих посетителей, в дополнение к так- называемые «записывающие сеансы», которые могут фиксировать движения мыши и нажатия клавиш людьми, посещающими домашнюю страницу в поисках информации, например, о противозачаточных средствах и абортах. Сайт также содержал трекеры, которые сообщают Facebook и Google, посещали ли сайт пользователи.

Сканирование Markup обнаружило, что сайт Planned Parenthood взаимодействует с такими компаниями, как Oracle, Verizon, LiveRamp, TowerData и Quantcast, некоторые из которых занимаются сбором и продажей доступа к массе цифровых данных о привычках людей.

Кэти Скибински, вице-президент по цифровым продуктам Planned Parenthood, заявила, что данные, собранные на ее веб-сайте, «используются только для внутренних целей Planned Parenthood и нашими аффилированными лицами», и компания не «продает» данные третьим лицам.

«Хотя мы стремимся использовать данные, чтобы узнать, как мы можем быть наиболее эффективными, в Planned Parenthood обучение на основе данных всегда осуществляется продуманно с уважением к конфиденциальности пациентов и пользователей», — сказал Скибински. «Это означает использование аналитических платформ для сбора совокупных данных, чтобы получить представление и выявить тенденции, которые помогут нам улучшить наши цифровые программы».

Скибински не оспаривал, что организация делится данными с третьими лицами, в том числе с брокерами данных.

[Сканирование Blacklight сайта Planned Parenthood Gulf Coast —] (https://themarkup.org/blacklight?url=www.ppgulfcoast.org) локализованного веб-сайта, предназначенного специально для жителей региона Персидского залива, включая Техас, [где аборты в основном вне закона] (https://www.nytimes.com/2021/09/10/us/politics/texas-abortion-law-facts.html) — дали аналогичные результаты.

Planned Parenthood не единственная компания, когда речь идет о некоммерческих организациях, некоторые из которых работают в таких деликатных областях, как психическое здоровье и зависимость, собирая и обмениваясь данными о посетителях веб-сайтов.

С помощью нашего инструмента Blacklight The Markup просканировал более 23 000 веб-сайтов некоммерческих организаций, в том числе принадлежащих поставщикам абортов и некоммерческим центрам лечения наркомании.

В разметке использовался [основной файл некоммерческой организации IRS] (https://www.irs.gov/charities-non-profits/exempt-organizations-business-master-file-extract-eo-bmf) для идентификации некоммерческих организаций, которые подали налоговой декларации с 2019 года и что агентство [классифицирует] (https://github.com/the-markup/Investigation-nonprofit-privacy) как основное внимание в таких областях, как психическое здоровье и кризисное вмешательство, гражданские права и медицинские исследования.

Затем мы проверили веб-сайты каждой некоммерческой организации, как общедоступные в [GuideStar] (https://www.guidestar.org/). Мы обнаружили, что около 86 процентов из них имеют сторонние файлы cookie или отслеживающие сетевые запросы. Для сравнения, когда The Markup провела [опрос 80 000 лучших веб-сайтов] (https://themarkup.org/blacklight/2020/09/22/blacklight-tracking-advertisers-digital-privacy-sensitive-websites) в 2020 году, мы обнаружили, что 87% использовали стороннее отслеживание в той или иной форме.

Около 11% из 23 856 некоммерческих веб-сайтов, которые мы отсканировали, имели встроенный пиксель Facebook, а 18% использовали функцию Google Analytics «Аудитории ремаркетинга».

Анализ обнаружил, что 439 некоммерческих веб-сайтов загружали скрипты, называемые регистраторами сеансов, которые могут отслеживать клики и нажатия клавиш посетителями. Восемьдесят девять из них предназначались для веб-сайтов, принадлежащих некоммерческим организациям, которые IRS классифицирует как в первую очередь ориентированные на вопросы психического здоровья и кризисного вмешательства.

«Как пользователь этого веб-сайта, делясь с ними своей информацией, вы, вероятно, не предполагаете, что эта конфиденциальная информация передается третьим лицам, и определенно не предполагаете, что ваши нажатия клавиш записываются», — Гюнеш Акар, исследователь конфиденциальности, который совместно опубликовал [исследование средств записи сеансов, проведенное в 2017 году] (https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfilter-of-personal-data-by-session-replay-scripts/), сказал. «Чем более конфиденциальным является веб-сайт, тем больше я беспокоюсь».

Трейси Плэйв, вице-президент по развитию и связям с общественностью в Gateway Rehab, одной из некоммерческих организаций, использующих устройства записи сеансов на своем сайте, сказала, что некоммерческая организация использует трекеры и регистраторы сеансов, потому что ей необходимо оставаться конкурентоспособной со своими более крупными коммерческими коллегами.

Чем чувствительнее сайт, тем больше я беспокоюсь.

Гюнеш Акар, исследователь конфиденциальности

«Как некоммерческая организация, мы сталкиваемся с коммерческими поставщиками с большими рекламными бюджетами, а также с брокерами по лечению наркомании, которые захватывают тех, кто обращается за помощью, с помощью аналогичной тактики онлайн-рекламы и связывают их с поставщиком, который предлагает наибольшую компенсацию за «продажи». — сказал Плевель.

«Кроме того, мы знаем, что пользовательский опыт оказывает большое влияние на выполнение лечения. Когда кто-то готов приступить к лечению, мы должны сделать так, чтобы ему было [это] как можно проще, прежде чем он будет разочарован или запуган процессом».

Другие некоммерческие организации также встроили на свои сайты значительное количество трекеров. The Markup обнаружил 26 рекламных трекеров и 50 сторонних файлов cookie в The Clinic at Sharma-Crawford Attorneys at Law, юридической клинике Канзас-Сити, которая представляет -доходные люди, которым грозит депортация.

Реха Шарма-Кроуфорд, президент совета The Clinic, написала в заявлении по электронной почте: «Мы очень серьезно относимся к проблемам конфиденциальности и безопасности и будем продолжать работать с нашим веб-провайдером для решения выявленных вами проблем».

Спасти детей, гуманитарную организацию, основанную более 100 лет назад, было 26 рекламных трекеров и 49 сторонних файлов cookie. March of Dimes, некоммерческая организация, основанная президентом Франклином Д. Рузвельтом и занимающаяся вопросами охраны материнства и детства, имела на своем сайте более 29 рекламных трекеров и 58 сторонних файлов cookie.

В City of Hope, калифорнийском центре лечения и исследования рака, было 25 рекламных трекеров и 47 сторонних файлов cookie.

Результаты сканирования Blacklight домашних страниц Save the Children, March of Dimes и City of Hope, выполненного 19 октября 2021 года.

Пол Батчер, заместитель вице-президента по глобальной цифровой стратегии Save the Children, заявил в электронном письме, что организация «очень серьезно относится к защите данных».

Батчер также написал, что Save the Children собирает некоторые данные через рекламные трекеры «для улучшения взаимодействия с пользователем» и что организация находится в процессе пересмотра своей политики хранения данных и недавно наняла нового руководителя по данным.

March of Dimes и City of Hope не ответили на запросы о комментариях.

Законы о неприкосновенности частной жизни на уровне штата Мисс Некоммерческие организации

В то время как данные о здоровье регулируются HIPAA, а FERPA регулирует образовательные записи, нет федеральных законов, регулирующих, как веб-сайты отслеживают своих посетителей. Недавно несколько штатов — Калифорния, Вирджиния и Колорадо — приняли законы о конфиденциальности потребителей, которые требуют от компаний раскрывать свои методы отслеживания и позволяют посетителям отказаться от сбора данных.

Но некоммерческие организации в двух из этих штатов, Калифорнии и Вирджинии, не обязаны соблюдать правила.

Сенатор Рон Уайден (D-OR), который предложил свой [собственный федеральный закон о конфиденциальности] (https://www.wyden.senate.gov/news/press-releases/wyden-introduces-comprehensive-bill-to-secure -americans-personal-information-and-hold-corporations-accountable) сказал, что некоммерческие организации накапливают большое количество потенциально конфиденциальных данных.

«Некоммерческие организации хранят невероятно личную информацию о вещах, которыми мы увлечены, от политических причин и социальных взглядов до благотворительных целей, которые нам небезразличны», — сказал Уайден в заявлении по электронной почте.

«Если утечка данных обнаружит, что кто-то делает пожертвования группе поддержки насилия в семье или организации по защите прав ЛГБТК, или название их мечети, любая эта информация может быть очень конфиденциальной».

Однако лидеры некоммерческих организаций утверждают, что им не хватает инфраструктуры и финансирования для соблюдения требований закона о конфиденциальности, и они должны собирать и обмениваться информацией о донорах, чтобы выжить.

«Одним из наиболее существенных и эффективных способов использования данных некоммерческими организациями был наш сбор средств», — сказал Шеннон Маккракен, генеральный директор The Nonprofit Alliance, группы защиты интересов, состоящей из некоммерческих организаций и предприятий.

«Без возможности экономичного привлечения потенциальных новых доноров и нынешних доноров некоммерческие организации не смогут продолжать оказывать такое же влияние, как сегодня».

Но намеренно или нет, говорят эксперты по конфиденциальности, некоммерческие организации передают личную информацию брокерам данных и технологическим гигантам, таким как Facebook и Google.

«Некоммерческая организация может поделиться вашим номером телефона и именем с LiveRamp. Завтра коммерческая организация сможет повторно использовать те же данные для нацеливания на вас», — сказал Ашкан Солтани, эксперт по конфиденциальности и бывший главный технолог Федеральной торговой комиссии. «Потоки данных, которые поступают к этим сторонним агрегаторам и брокерам данных, часто также исходят от некоммерческих организаций».

Солтани, который был назначен исполнительным директором Калифорнийского агентства по защите конфиденциальности 4 октября, помог разработать Калифорнийский закон о конфиденциальности потребителей, который первоначально был введен с исключениями для некоммерческих организаций.

Некоммерческая организация может поделиться вашим номером телефона и именем…. Завтра коммерческая организация сможет повторно использовать те же данные для нацеливания на вас.

Ашкан Солтани, Калифорнийское агентство по защите конфиденциальности

По словам Яна Масаока, генерального директора Калифорнийской ассоциации некоммерческих организаций, многие крупные некоммерческие организации работают с брокерами данных, чтобы помочь организовать и проанализировать свои данные.

«Люди, у которых есть большие списки доноров, широко их используют, почти все они используют одну из услуг», — сказал Масаока. «Они не хранят его дома, почти все хранят его в одной из этих служб».

Она отметила, что Blackbaud — это компания, к которой часто обращаются некоммерческие организации. Маркетинговый материал зарегистрированного брокера данных продвигает совместную базу данных, который объединяет данные доноров из более чем 550 некоммерческих организаций с общедоступной информацией о миллионах домохозяйств.

Blackbaud не ответил на запрос о комментариях.

По словам Маккракена, из-за нехватки средств некоммерческие организации также полагаются на сторонние платформы, которые также являются брокерами данных, для управления безопасностью и конфиденциальностью своих данных.

Но и такие компании не застрахованы от кибератак: Blackbaud [раскрыла атаку программы-вымогателя в 2020 году] (https://www.blackbaud.com/newsroom/article/2020/07/16/learn-more-about-the -ransomware-attack-we-recently-stopped), в ходе которой хакеры украли пароли, номера социального страхования и банковскую информацию, согласно [документу Комиссии по ценным бумагам и биржам] (https://www.sec.gov/ix?doc= /Архивы/edgar/data/1280058/000128005820000044/blkb-20200929.htm).

Пострадали сотни [благотворительных организаций, школ и больниц] (https://www.idtheftcenter.org/blackbaud-data-breach-leaves-lasting-impact-on-us-and-international-nonprofits/), а также по данным Ресурсного центра по краже личных данных, более 13 миллионов человек.

«Они полагаются на такую ​​проблемную экосистему для выполнения своей работы, и в результате они делятся списками номеров, адресами электронной почты или поведением в Интернете со сторонними рекламными компаниями и подвергают своих участников риску», — сказал Солтани.

Исключение

В отличие от своих предшественников в Калифорнии и Вирджинии, в законопроекте о конфиденциальности штата Колорадо нет исключений для некоммерческих организаций.

Как в Калифорнии, так и в Вирджинии основные сторонники законопроектов предоставили некоммерческим организациям исключение в качестве политического маневра. Аластер Мактаггарт, застройщик и основатель организации Californians for Consumer Privacy, которая была движущей силой Калифорнийского закона о защите прав потребителей, сказал, что его предложение уже столкнулось с противодействием со стороны технологических гигантов, и он также не хочет политического противостояния с некоммерческими организациями.

«Вы должны сделать первый шаг, поэтому мы решили, что от него будет легче всего отказаться», — сказал Мактаггарт. «В конце концов, я надеюсь, что крупные некоммерческие организации также будут включены».

Дэвид Марсден, сенатор штата, представивший Закон о защите данных потребителей Вирджинии, поддержал это мнение, подчеркнув, что закон не идеален, но все же является хорошим началом.

«Подбирает ли это всех, кого должно, или освобождает всех, кто нуждается в освобождении? Вероятно, нет, но это довольно близко», — сказал Марсден. «С этим законопроектом мы смогли провести его без того, чтобы люди вставали и возражали против того, что мы пытались сделать».

Сенатор штата Колорадо Роберт Родригес, который был соавтором законопроекта штата о конфиденциальности, сказал, что не включил исключение для некоммерческих организаций, поскольку считает, что любая организация, имеющая данные о более чем 100 000 человек, должна соблюдать меры защиты конфиденциальности. Он также не понимал, почему в других штатах есть исключения.

«Кто-то, у кого есть более 100 000 записей, — это хороший размер», — сказал он в электронном письме. «У них должны быть какие-то средства защиты или требования, которым нужно следовать».

Исправление

Эта история была обновлена, чтобы исправить название Пола Батчера в Save the Children. Он является заместителем вице-президента по глобальной цифровой стратегии.

Авторы: [Альфред Нг] (https://themarkup.org/people/alfred-ng/) и [Мэдди Варнер] (https://themarkup.org/people/maddy-varner/)

Эта статья была первоначально опубликована на сайте The Markup и переиздана под лицензией Creative Commons Лицензия Attribution-NonCommercial-NoDerivatives.