Данные вышли из-под контроля: рекламную индустрию обвинили в слежке за пользователями приложений

Сбор данных о пользователях приложений нарушает европейское законодательство, в первую очередь GDPR, однако широко практикуется крупнейшими интернет-компаниями.

Они делятся со сторонними компаниями рекламными идентификаторами (Advertising ID), IP адресами, GPS координатами, сведениями об установленных приложениях, интересах человека и даже его сексуальных предпочтениях. «Ситуация совершенно вышла из-под контроля», — заявляют в норвежском Совете по правам потребителей (NCC), который провел собственное расследование и уже подал жалобы в отношении шести компаний.

В отчете NCC фигурируют 10 Android-приложений, в том числе популярные сервисы знакомств Tinder, Grindr, OkCupid и happn, игра My Talking Tom 2, менструальный календарь Clue, сервис для создания виртуального макияжа Perfect365. Техническим анализом трафика занималась компания Mnemonic, которая специализируется на кибербезопасности. Оценив объем полученных данных, популярность приложений и масштабы бизнеса «сборщиков», исследователи сделали вывод о распространенности подобных практик в adtech индустрии.

Тесты выявили ряд серьезных нарушений, связанных с приватностью.

Упомянутые десять приложений передавали пользовательские данные минимум 135 сторонним партнерам, которые занимаются рекламой и/или профилированием аудитории.

Рекламный идентификатор Android передавался минимум 70 сторонним партнерам.

Зачастую Advertising ID идет вместе с GPS координатами и IP адресом, что позволяет отслеживать пользователя на различных устройствах и в приложениях, тем самым формируя исчерпывающий профиль.

Все приложения отдавали данные нескольким партнерам и (за исключением одного) не ограничивались только идентификатором. Третьи лица получали информацию о поле, возрасте и действиях пользователя. Такие сведения могут использоваться для отслеживания пользователей, показа им таргетированной рекламы, профилирования (в том числе похожей, look-alike) аудитории и определения таких чувствительных характеристик, как сексуальная ориентация и религиозные взгляды.

Например, приложение для ЛГБТ-знакомств Grindr делилось детальной информацией — IP-адресами, Advertising ID, координатами GPS, полом, возрастом — с большим числом сторонних компаний. В большинстве случаев посредником выступала платформа MoPub, принадлежащая Twitter. Среди компаний, которым она передавала данные, были AppNexus и OpenX. В свою очередь, некоторые из этих компаний застолбили за собой право делиться собранными данными с довольно широким кругом партнеров.

OkCupid уличили в передаче сведений о сексуальной ориентации, употреблении наркотических веществ, политических взглядах и многом другом аналитической фирме Braze. У Perfect365 обнаружили более 70 third party партнеров, в их числе — Unacast, OneAudience и Tutela. Принадлежащая Google платформа DoubleClick получала данные от восьми приложений из списка, Facebook — от девяти. В большинстве случаев такие действия противоречат GDPR, заявляют эксперты NCC. Напомним, нарушение закона грозит компании штрафом в размере до €20 млн либо до 4% от годовой прибыли.

После публикации отчета Twitter отключил Grindr от рекламной сети MoPub и начал собственное расследование.

В Совете по правам потребителей напоминают, что персональные данные используются не только в благих целях, для показа релевантной рекламы и улучшения пользовательского опыта. Обратные стороны профилирования — дискриминация, манипуляция, непрозрачные схемы сбора и передачи данных, подрыв доверия к цифровой экономике.

Зачастую паблишеры и рекламодатели не обеспечивают должный контроль над тем, как сторонние продавцы используют собранные данные. В свою очередь, у пользователя практически нет инструментов влияния — он может попасть в категорию «неблагонадежных» потребителей на основании ряда признаков (и оказаться в «отказниках» у банков), но исправить ситуацию или выразить протест у него не получится.

NCC предлагает принять следующие меры:

• Признать, что неконтролируемое распространение персональных данных широко практикуется в adtech индустрии и должно быть ограничено.
  
  
• Регуляторам — пристально следить за интернет-гигантами, которые имеют дело с персональными данными, и не допускать монополизма.
  
  
• Рекламодателям и паблишерам — взять на себя ответственность за нарушения законодательства и максимально ограничить объем собираемых данных.