CCPA ignoreres i stor skala: Hvad du kan gøre

Californiens privatlivslov har et overholdelseспroblem

Californiens forbruger-privatlivslov (CCPA) skulle give borgerne reel kontrol over deres personlige data. Men en omfattende ny revision af mere end 7.000 populære websteder fortæller en anden historie. Forskere fandt det, de beskrev som "industriel skala af manglende overholdelse" af CCPA, hvor mange store tech-virksomheder systematisk ignorerer et juridisk anerkendt privatlivssignal, der er bygget direkte ind i browsere.

Det pågældende signal kaldes Global Privacy Control (GPC). Når det aktiveres, sender det en automatisk instruktion til hvert websted, du besøger, og fortæller dem, at de ikke må spore eller sælge dine personlige oplysninger. I henhold til CCPA er det ikke valgfrit for virksomheder, der driver forretning i Californien, at efterleve dette signal. Det er et juridisk krav. Og alligevel fandt revisionen, at sporing i nogle tilfælde fortsatte under 86 % af besøgene, selv når GPC-signalet var aktivt.

Det tal fortjener et øjebliks eftertanke. En bruger kunne gøre alt rigtigt, aktivere en juridisk beskyttet privatlivsindstilling, og alligevel få sin adfærd sporet og sine data potentielt solgt i langt størstedelen af sine browsingsessioner.

Hvorfor juridisk beskyttelse alene ikke er nok

Privatlivslove som CCPA repræsenterer ægte fremskridt. De fastslår rettigheder, skaber håndhævelsesmekanismer og lægger byrden over på virksomhederne til at retfærdiggøre deres datapraksis. Men denne revision illustrerer et hul, som privatlivsforkæmpere længe har advaret om: en lov er kun så effektiv som dens håndhævelse.

Når manglende overholdelse er så udbredt og systematisk, tyder det på, at virksomheder har beregnet, at risikoen for regulatoriske sanktioner er lavere end værdien af de data, de indsamler. Det er et strukturelt problem, ikke et individuelt. Ingen mængde af omhyggeligt at læse cookie-bannere eller klikke på "afvis alle" løser et system, hvor sporingsinfrastrukturen fortsætter med at køre i baggrunden uanset hvad.

Dette har også betydning ud over Californien. Selvom CCPA kun gælder for californiske borgere, betjener de websteder, der overtræder den, brugere overalt. De samme sporingsteknologier, annoncenetværk og datamæglere opererer globalt. Hvis store virksomheder er villige til at ignorere en statslov med reelle konsekvenser, er situationen i jurisdiktioner med svagere beskyttelse sandsynligvis værre.

Hvad dette betyder for dig

Den praktiske konklusion fra denne revision er ubehagelig, men vigtig: du kan ikke stole på juridiske rammer alene til at beskytte dit privatliv, mens du browser på nettet. Virksomhedernes overholdelse er inkonsekvent i bedste fald og ifølge denne forskning ubetydelig i værste fald, når det kommer til at efterleve dine erklærede præferencer.

Det betyder ikke, at privatlivslove er værdiløse. Regulatorisk pres, bøder og offentlig ansvarlighed rykker ved tingene over tid. Men i mellemtiden bliver din faktiske browseradfærd sandsynligvis sporet langt mere omfattende, end noget samtykke-banner eller fravalgsindstilling ville antyde.

De værktøjer, der giver mere pålidelig beskyttelse, virker på et teknisk niveau snarere end et politisk niveau. En browserudvidelse, der blokerer tredjepartssporere, beder ikke en virksomhed om at efterleve dine præferencer. Den forhindrer simpelthen sporingskoden i at indlæses overhovedet. Tilsvarende krypterer et VPN din internetforbindelse og maskerer din IP-adresse, som er en af de primære identifikatorer, der bruges til at opbygge profiler af din adfærd på tværs af forskellige websteder. Ingen af tilgangene afhænger af virksomheders velvilje eller regulatorisk håndhævelse.

Privatlivskontroller på browserniveau er også blevet mere sofistikerede. Firefox og browsere bygget på privatlivsorienterede principper blokerer mange sporingsskripter som standard. GPC-signalet i sig selv er en browserindstilling, der er værd at aktivere — ikke fordi virksomheder pålideligt efterlever det (denne revision gør det klart, at de ikke gør), men fordi det skaber en dokumenteret registrering af dine erklærede præferencer, hvilket kan have betydning i håndhævelsessager.

Praktiske trin til at beskytte dit privatliv nu

I betragtning af hvad denne revision afslører, er her konkrete handlinger, der giver reel beskyttelse frem for politikafhængige løfter:

• Aktivér Global Privacy Control i dine browserindstillinger. Det efterleves måske ikke altid, men det tilføjer et lag af juridisk grundlag og understøttes i stigende grad af privatlivsorienterede browsere.
• Brug en sporerblokerende browserudvidelse såsom uBlock Origin eller en privatlivsorienteret browser, der blokerer tredjepartsskripter som standard. Disse virker uanset om et websted efterlever dine fravalg.
• Overvej et VPN til generel browsing, særligt på netværk, du ikke kontrollerer. Et VPN blokerer ikke sporere direkte, men det forhindrer din internetudbyder og netværksniveauobservatører i at opbygge et billede af din aktivitet, og det maskerer den IP-adresse, der forbinder dine sessioner på tværs af websteder.
• Gennemgå din browsers privatlivsindstillinger regelmæssigt. Tredjeparts-cookies, fingeraftryks-beskyttelse og sporerblokering er ofte deaktiveret som standard i mainstream-browsere.
• Vær skeptisk over for cookie-samtykke-bannere. Forskning viser konsekvent, at mange websteder fortsætter med at spore uanset den valgte mulighed.

CCPA var et meningsfuldt skridt mod at holde virksomheder ansvarlige for, hvordan de håndterer personlige data. Men denne revision bekræfter, hvad mange privatlivsforskere har argumenteret for i årevis: juridiske rettigheder og tekniske realiteter er to meget forskellige ting. At forstå dette hul — og tage skridt til at lukke det med de tilgængelige værktøjer — er den mest pålidelige vej til meningsfuld privatlivsbeskyttelse lige nu.