Протягом перших трьох секунд після відкриття веб-сторінки в середньому понад 80 сторонніх осіб отримали доступ до вашої інформації. (Шаттерсткі)

Інколи веб-сайти приховують, наскільки широко вони розповсюджують нашу особисту інформацію, і можуть докласти чимало зусиль, щоб натягнути нам очі. Цей обман має на меті запобігти повному розкриттю споживачам, таким чином перешкоджаючи інформованому вибору та впливаючи на права конфіденційності.

Уряди реагують на занепокоєння споживачів щодо конфіденційності за допомогою законодавства. Серед них – Європейський Союз Положення про захист персональних даних Загальні (GDPR) і Каліфорнії Закон про конфіденційність споживачів (CCPA). Вплив цього законодавства помітний, оскільки веб-сайти запитують дозвіл на відстеження активності користувачів в Інтернеті.

Однак багато користувачів не знають про вплив цих виборів або про те, як обсяг спільного доступу оманливо приховано.

Веб-сайти та конфіденційність

Оскільки канадські політики борються з оновлення правил конфіденційності в Інтернеті, наше дослідження розглядає коли і чому компанії активно приховують — і наскільки широко вони передають — наші особисті дані. Ми виявили, що обфускація або маскування обміну інформацією є стратегією, яка зазвичай використовується веб-сайтами для введення користувачів в оману та підвищення вартості моніторингу.

Наша дослідницька група протягом кількох років вивчає питання конфіденційності веб-сайтів, зокрема щодо обміну даними споживачів із третіми сторонами як способу монетизації веб-трафіку.

Наше дослідження встановило, що веб-сайти з чутливим до конфіденційності вмістом, наприклад медичні та банківські веб-сайти, природно обмежені ринком з точки зору їх спільний доступ третіми сторонами. Ці веб-сайти також більш чутливі до конфіденційності, тому ймовірність цього є меншою приховати масштаби обміну інформацією.

Ми також дослідили порушення конфіденційності, які виникли у відповідь на збільшення використання онлайн-сервісів людьми пандемія COVID-19. Ми провели дослідження, яке дозволило нам прогнозувати надійність веб-сайту спостерігаючи за тим, як вони найнятих третіх осіб. Ми обговорили, як може посилитися законодавство про конфіденційність спільний доступ третіми сторонами.

Збір і обмін даними

Ми перевірили збір даних третіми сторонами веб-сайтами, підкресливши широкі механізми відстеження, які використовуються платформами та рекламодавцями для збору інформації про споживачів. Це повсюдне стеження викликає значне занепокоєння щодо порушення конфіденційності та перетворення особистих даних на товар.

Протягом перших трьох секунд після відкриття веб-сторінки в середньому понад 80 сторонніх осіб отримали доступ до вашої інформації. Деякі з цих третіх сторін надають послуги для покращення функціональності та продуктивності веб-сайту.

Інші треті сторони займаються рекламою та цільовою рекламою, яка включає в себе збирання та продаж вашої найбільш особистої інформації. Деякі треті сторони надзвичайно агресивно порушують конфіденційність.

Наше дослідження виявляє обставини, коли веб-сайти активно приховують, наскільки широко поширюються наші дані. Зі збільшенням чутливості вмісту — наприклад, веб-сайти, що мають справу з конфіденційною особистою медичною інформацією — веб-сайти зменшують рівень обману порівняно з веб-сайтами з менш конфіденційним вмістом.

Ми також виявили, що популярніші веб-сайти частіше приховують свою практику обміну даними, ніж веб-сайти з меншою аудиторією.

Веб-сайти змінюють те, наскільки широко вони розповсюджують інформацію про користувачів, і приховують, скільки вони розповсюджують, оскільки іноді це може допомогти збільшити прибуток, користуючись перевагами необізнаних споживачів. Це означає, що відвідувачі не можуть приймати повністю обґрунтовані рішення щодо конфіденційності своїх даних.

Як і в неоднозначна політика конфіденційності веб-сайту, запит на згоду на збір і обмін інформацією не обов’язково усуває інформаційну асиметрію між веб-сайтами та користувачами. Загальна стратегія полягає в тому, щоб завалити користувачів надто великим списком третіх сторін, який не обов’язково відображає їх конкретну взаємодію.

Запит на згоду на збір інформації — це жест, який може приховати дії веб-сайту. (Шаттерсткі)

Всеосяжне спостереження

Веб-сайти використовують різноманітні методи, щоб утримати користувачів від розуміння справжнього рівня обміну інформацією та її наслідків для конфіденційності. Одним з обманів є використання темні візерунки, що визначається як «вибір дизайну інтерфейсу користувача, який приносить користь онлайн-сервісу, змушуючи, спрямовуючи або обманюючи користувачів ненавмисні та потенційно шкідливі рішення.” Ці темні шаблони обманюють користувачів віддаючи свою конфіденційність.

Інша техніка обману пов’язана з недостатньою прозорістю, пов’язаною з розповсюдженням третіми сторонами. З ким веб-сайти обмінюються інформацією, залежить від безлічі змінних — споживач ніколи не знає, як і чому його інформація передається. Треті сторони можуть відрізнятися залежно від того, де знаходиться користувач: на 100,000 XNUMX найбільших веб-сайтів у середньому більше користувачів, які натискають з Каліфорнії порівняно з Нью-Йорком, Наприклад.

Приховане налаштування відбувається, коли веб-сайт активно намагається приховати образливий доступ третьої сторони. Наприклад, споживачі можуть використовувати a Не відслідковувати (DNT) запит: проте через веб-сайти користувачам може бути важко зрозуміти відповідь веб-сайту на запит, і дуже важко зрозуміти, що відбувається після того, як запит зроблено.

Іноді веб-сайти насправді більше відстежують користувачів у відповідь на запит DNT. Під час неопублікованого експерименту, який ми провели, 40 відсотків із 100 найбільших веб-сайтів новин у світі надали ваші дані більшій кількості третіх сторін, якщо ви зробили запит DNT. Навіть якщо веб-сайт залучає менше третіх сторін, зміни у відповідь на запит DNT все одно можуть бути образливими, оскільки тепер вони можуть ділитися даними з більш настирливими третіми сторонами.

Відповіді споживачів

Споживачі можуть використовувати різні засоби захисту, в тому числі віртуальні приватні мережі (VPN), поведінкові обфускація і лежить їх особисту інформацію.

Простого розголошення присутності третіх сторін і запиту згоди користувача недостатньо, оскільки споживач, з практичної точки зору, не знає про масштаби спільного використання та відстеження третіми сторонами. Через цю інформаційну асиметрію неможливо знати, коли та в якому обсязі особиста інформація була передана.

Команда GDPR ЄС та Каліфорнійський CCPA містять правила згоди та відмови, наприклад ті зараз розглядається в Канаді. Але ясно одне: цих правил недостатньо, щоб заборонити веб-сайтам маніпулювати даними користувачів і отримувати прибуток від них.

Реймонд А. Паттерсон, професор, завідувач відділу управління бізнес-технологіями, Школа бізнесу Хаскейн, Університет Калгарі; Ашкан Ешгі, співробітник Houlden, Бізнес-школа в Уорвіку, Університет Ворвік; Хуман Хідаджі, доцент кафедри управління бізнес-технологіями, Університет Калгарі та Рам Гопал, професор кафедри менеджменту інформаційних систем, Бізнес-школа в Уорвіку, Університет Ворвік

Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.