CCPA je ve velkém měřítku ignorována: Co s tím můžete dělat

Kalifornský zákon o ochraně soukromí má problém s dodržováním pravidel

Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) měl obyvatelům poskytnout smysluplnou kontrolu nad jejich osobními údaji. Rozsáhlý audit více než 7 000 populárních webových stránek však vypráví jiný příběh. Výzkumníci odhalili to, co popsali jako „průmyslové nedodržování předpisů" v rámci CCPA – mnoho velkých technologických společností systematicky ignoruje právně uznaný signál ochrany soukromí zabudovaný přímo do prohlížečů.

Příslušný signál se nazývá Global Privacy Control (GPC). Po aktivaci odesílá automatický pokyn každé navštívené webové stránce s instrukcí, aby vás nesledovala ani neprodávala vaše osobní údaje. Podle CCPA není respektování tohoto signálu pro společnosti podnikající v Kalifornii volitelné. Je to zákonný požadavek. A přesto audit zjistil, že v některých případech sledování pokračovalo během 86 % návštěv, i když byl signál GPC aktivní.

Toto číslo si zaslouží chvíli zamyšlení. Uživatel může udělat vše správně – aktivovat právně chráněné nastavení ochrany soukromí – a přesto bude jeho chování sledováno a jeho data potenciálně prodávána v drtivé většině jeho relací prohlížení.

Proč samotná právní ochrana nestačí

Zákony o ochraně soukromí, jako je CCPA, představují skutečný pokrok. Stanovují práva, vytvářejí mechanismy vymáhání a přenášejí břemeno na společnosti, aby odůvodnily své postupy nakládání s daty. Tento audit však ilustruje mezeru, před níž zastánci ochrany soukromí dlouho varují: zákon je účinný jen do té míry, do jaké je vymáhán.

Když je nedodržování předpisů tak rozšířené a systematické, naznačuje to, že společnosti dospěly k závěru, že riziko regulačních sankcí je nižší než hodnota dat, která shromažďují. Jde o strukturální problém, nikoli individuální. Žádné množství pečlivého čtení cookie bannerů ani klikání na „odmítnout vše" neopraví systém, v němž infrastruktura sledování běží na pozadí bez ohledu na cokoliv.

To má dopad i za hranicemi Kalifornie. Ačkoli se CCPA vztahuje pouze na obyvatele Kalifornie, webové stránky, které ji porušují, slouží uživatelům všude. Stejné technologie sledování, reklamní sítě a datové makléře fungují globálně. Pokud jsou velké společnosti ochotny ignorovat státní zákon se skutečnými zuby, situace v jurisdikcích se slabší ochranou je pravděpodobně ještě horší.

Co to znamená pro vás

Praktický závěr z tohoto auditu je nepříjemný, ale důležitý: při procházení internetu se nemůžete spoléhat výhradně na právní rámce jako ochranu svého soukromí. Dodržování pravidel ze strany firem je v nejlepším případě nekonzistentní a podle tohoto výzkumu v nejhorším případě zanedbatelné, pokud jde o respektování vašich vyjádřených preferencí.

To neznamená, že zákony o ochraně soukromí jsou bezcenné. Regulační tlak, pokuty a veřejná odpovědnost skutečně postupem času posouvají věci správným směrem. Ale mezitím je vaše skutečné chování při prohlížení webu pravděpodobně sledováno mnohem rozsáhleji, než by naznačoval jakýkoli banner se souhlasem nebo nastavení odhlášení.

Nástroje, které poskytují spolehlivější ochranu, fungují na technické úrovni, nikoli na úrovni politiky. Rozšíření prohlížeče, které blokuje sledovací prvky třetích stran, nežádá společnost, aby respektovala vaše preference. Prostě zabrání načtení sledovacího kódu. Podobně VPN šifruje vaše internetové připojení a maskuje vaši IP adresu, což je jeden z primárních identifikátorů používaných k vytváření profilů vašeho chování na různých webových stránkách. Žádný z těchto přístupů nezávisí na dobré vůli firem ani na regulačním vymáhání.

Ovládací prvky ochrany soukromí na úrovni prohlížeče se také staly sofistikovanějšími. Firefox a prohlížeče postavené na principech zaměřených na soukromí blokují mnoho sledovacích skriptů ve výchozím nastavení. Samotný signál GPC je nastavení prohlížeče, které stojí za to aktivovat – ne proto, že by ho společnosti spolehlivě respektovaly (tento audit jasně ukazuje, že tomu tak není), ale protože vytváří zdokumentovaný záznam vašich vyjádřených preferencí, který může mít váhu při vymáhacích opatřeních.

Praktické kroky k ochraně vašeho soukromí hned teď

Vzhledem k tomu, co tento audit odhaluje, uvádíme konkrétní opatření, která poskytují skutečnou ochranu spíše než sliby závislé na politikách:

• Aktivujte Global Privacy Control v nastavení svého prohlížeče. Nemusí být vždy respektován, ale přidává vrstvu právního postavení a stále více ho podporují prohlížeče zaměřené na soukromí.
• Použijte rozšíření prohlížeče blokující sledovače, například uBlock Origin, nebo prohlížeč zaměřený na soukromí, který ve výchozím nastavení blokuje skripty třetích stran. Tyto nástroje fungují bez ohledu na to, zda daný web respektuje vaše preference odhlášení.
• Zvažte používání VPN pro obecné prohlížení, zejména v sítích, které nekontrolujete. VPN přímo neblokuje sledovače, ale zabraňuje vašemu poskytovateli internetových služeb a pozorovatelům na úrovni sítě sestavit obraz vaší aktivity a maskuje IP adresu, která váže vaše relace dohromady napříč různými weby.
• Pravidelně kontrolujte nastavení ochrany soukromí svého prohlížeče. Soubory cookie třetích stran, ochrana proti fingerprintingu a blokování sledovačů jsou v hlavních prohlížečích často ve výchozím nastavení vypnuty.
• Buďte skeptičtí k bannerům se souhlasem se soubory cookie. Výzkumy konzistentně ukazují, že mnoho stránek pokračuje ve sledování bez ohledu na zvolenou možnost.

CCPA byl smysluplným krokem k tomu, aby společnosti nesly odpovědnost za způsob nakládání s osobními údaji. Tento audit však potvrzuje to, co mnoho výzkumníků v oblasti soukromí tvrdí již léta: právní práva a technická realita jsou dvě velmi odlišné věci. Pochopení této mezery a podniknutí kroků k jejímu překlenutí pomocí dostupných nástrojů je v současnosti nejspolehlivější cestou k smysluplné ochraně soukromí.