07/03/23
Общий регламент ЕС по защите данных (GDPR) требует, чтобы веб-сайты и связанные с ними третьи лица запрашивали согласие перед сбором и обработкой персональных данных пользователей, напоминает Securitylab. Чтобы помочь операторам сайтов выполнить это требование, некоторые компании, такие как Didomi, Quantcast, OneTrust и Usercentrics, предлагают так называемую платформу управления согласием (Consent Management Platform, CMP).
Платформа CMP позволяет сайтам запрашивать у пользователя разрешение на обработку его cookie-файлов. Поставщики CMP позволяют компаниям соблюдать законы о конфиденциальности GDPR в США, Евросоюзе, Великобритании, Сингапуре и других странах.
Тем не менее группа ученых проверила эффективность средств контроля отказа от обработки пользовательских данных, основанных на CMP, и обнаружили, что эта технология не обеспечивает соответствие требованиям GDPR и CCPA.
По словам экспертов, во многих случаях пользовательские данные собираются, обрабатываются и передаются даже тогда, когда пользователи отказываются от их сбора. Учёные также отметили, что несколько известных рекламодателей могут потенциально нарушать GDPR и CCPA.
Исследователи разработали способ аудита соблюдения отказа с помощью OpenWPM, системы измерения веб-конфиденциальности с открытым исходным кодом. Процесс включал посещение 50 лучших сайтов в 16 различных категориях интересов (компьютеры, новости, спорт и т. д.), чтобы смоделировать интересы пользователей.
Аудит проводился среди сайтов, которые поддерживают как назначение ставок в заголовке с помощью «prebid.js», так и отказ от использования CMP (от Didomi, Quantcast, OneTrust и Usercentrics), настроенных в соответствии с GDPR и CCPA.
Ставки в заголовке через «prebid.js» (используются для автоматизации рекламы) происходят на стороне клиента, поэтому исследователи смогли перехватить и проанализировать соответствующие транзакции на стороне клиента.
Учёные посещали сайты, используя рекламные профили пользователей и один пустой профиль. Они собирали ставки и сетевые запросы от рекламодателей для настроек отказа от обработки данных, а затем анализировали результаты. Теоретически отказ должен снизить ставки рекламодателей до уровня, сравнимого с пустым профилем с точки зрения использования данных, обмена данными на стороне клиента и на стороне сервера. На самом деле оказалось, что ставки не понижались и данные по-прежнему обрабатывались.
Выводы вызывают сомнения в эффективности нормативных актов как единственного средства защиты конфиденциальности. В частности, даже после того, как пользователи отказываются от сбора, их данные по-прежнему могут использоваться и передаваться рекламодателям. Для полной защиты конфиденциальности пользователям по-прежнему необходимо полагаться на блокировщики рекламы и браузеры, ориентированные на конфиденциальность.
