CCPA se ignorira na masovnoj razini: Što možete učiniti

Kalifornijski zakon o privatnosti ima problem s usklađenošću

Kalifornijski Zakon o zaštiti privatnosti potrošača trebao je građanima dati stvarnu kontrolu nad njihovim osobnim podacima. No sveobuhvatna nova revizija više od 7.000 popularnih web stranica govori drugačiju priču. Istraživači su otkrili ono što su opisali kao „usklađenost s CCPA-om na industrijskoj razini — ali u smislu njezina kršenja", pri čemu mnoge velike tehnološke tvrtke sustavno ignoriraju pravno priznati signal za zaštitu privatnosti ugrađen izravno u preglednike.

Signal o kojemu je riječ zove se Global Privacy Control (GPC). Kada se aktivira, šalje automatsku uputu svakoj web stranici koju posjetite, govoreći im da ne smiju pratiti ni prodavati vaše osobne podatke. Prema CCPA-u, poštivanje ovog signala nije neobavezno za tvrtke koje posluju u Kaliforniji. To je zakonska obaveza. Ipak, revizija je utvrdila da je u nekim slučajevima praćenje nastavljeno tijekom 86% posjeta čak i kada je GPC signal bio aktivan.

Taj podatak zaslužuje trenutak razmišljanja. Korisnik bi mogao učiniti sve ispravno — aktivirati zakonski zaštićenu postavku privatnosti — i još uvijek imati svoje ponašanje praćeno, a podatke potencijalno prodane u ogromnoj većini svojih pregledavanja.

Zašto same pravne zaštite nisu dovoljne

Zakoni o privatnosti poput CCPA-a predstavljaju stvaran napredak. Uspostavljaju prava, stvaraju mehanizme provedbe i prebacuju teret na tvrtke da opravdaju svoje prakse prikupljanja podataka. No ova revizija ilustrira jaz o kojemu zagovornici privatnosti dugo upozoravaju: zakon je učinkovit samo onoliko koliko je učinkovita njegova provedba.

Kada je neusklađenost ovako raširena i ovako sustavna, to sugerira da su tvrtke procijenile kako je rizik od regulatornih kazni niži od vrijednosti podataka koje prikupljaju. To je strukturalni problem, a ne individualni. Nikakvo pažljivo čitanje bannera s kolačićima ili klikanje „odbij sve" ne može popraviti sustav u kojemu infrastruktura za praćenje nastavlja raditi u pozadini bez obzira na sve.

Ovo je važno i izvan Kalifornije. Dok se CCPA primjenjuje samo na stanovnike Kalifornije, web stranice koje ga krše služe korisnicima svugdje. Iste tehnologije praćenja, reklamne mreže i posrednici u podacima djeluju globalno. Ako su velike tvrtke spremne ignorirati državni zakon s pravim zubima, situacija u jurisdikcijama sa slabijim zaštitama vjerojatno je još gora.

Što to znači za vas

Praktični zaključak iz ove revizije je neugodan, ali važan: ne možete se osloniti samo na pravne okvire za zaštitu svoje privatnosti pri pregledavanju interneta. Usklađenost korporacija je u najboljem slučaju nedosljedna, a prema ovom istraživanju zanemariva u najgorem — kada je riječ o poštivanju vaših izraženih preferencija.

To ne znači da su zakoni o privatnosti bezvrijedni. Regulatorni pritisak, novčane kazne i javna odgovornost s vremenom pomiču stvari u pravom smjeru. No u međuvremenu, vaše stvarno ponašanje pri pregledavanju vjerojatno se prati daleko opsežnije nego što bi ikakav banner za pristanak ili postavka odjave sugerirala.

Alati koji pružaju pouzdaniju zaštitu djeluju na tehničkoj, a ne na razini politike. Proširenje preglednika koje blokira alate za praćenje trećih strana ne traži od tvrtke da poštuje vaše preferencije. Jednostavno sprječava učitavanje koda za praćenje od samog početka. Slično tome, VPN šifrira vašu internetsku vezu i maskira vašu IP adresu, koja je jedan od primarnih identifikatora koji se koriste za izgradnju profila vašeg ponašanja na različitim web stranicama. Ni jedan od pristupa ne ovisi o dobroj volji korporacija ni o regulatornoj provedbi.

Kontrole privatnosti na razini preglednika također su postale sofisticiranije. Firefox i preglednici izgrađeni na principima koji privatnost stavljaju na prvo mjesto blokiraju mnoge skripte za praćenje prema zadanim postavkama. Sam GPC signal je postavka preglednika koju vrijedi omogućiti — ne zato što ga tvrtke pouzdano poštuju (ova revizija jasno pokazuje da ne poštuju), već jer stvara dokumentiran zapis vaših izraženih preferencija, što može biti važno u postupcima provedbe.

Praktični koraci za zaštitu vaše privatnosti sada

S obzirom na ono što ova revizija otkriva, evo konkretnih radnji koje pružaju stvarnu zaštitu, a ne obećanja ovisna o politikama:

• Omogućite Global Privacy Control u postavkama preglednika. Možda se neće uvijek poštovati, ali dodaje sloj pravnog temelja i sve više ga podržavaju preglednici usmjereni na privatnost.
• Koristite proširenje preglednika za blokiranje alata za praćenje kao što je uBlock Origin ili preglednik usmjeren na privatnost koji prema zadanim postavkama blokira skripte trećih strana. Ovi alati funkcioniraju bez obzira na to poštuje li web stranica vaše preferencije odjave.
• Razmotrite korištenje VPN-a za opće pregledavanje, posebno na mrežama koje ne kontrolirate. VPN ne blokira alate za praćenje izravno, ali sprječava vašeg davatelja internetskih usluga i promatrače na razini mreže da izgrade sliku vaše aktivnosti, te maskira IP adresu koja povezuje vaše sesije na različitim web stranicama.
• Povremeno pregledajte postavke privatnosti preglednika. Kolačići trećih strana, zaštita od otisaka prstiju i blokiranje alata za praćenje često su prema zadanim postavkama onemogućeni u mainstream preglednicima.
• Budite skeptični prema bannerima za pristanak na kolačiće. Istraživanja dosljedno pokazuju da mnoge web stranice nastavljaju s praćenjem bez obzira na odabranu opciju.

CCPA je bio smislen korak prema odgovornosti tvrtki za način na koji rukuju osobnim podacima. No ova revizija potvrđuje ono što su mnogi istraživači privatnosti tvrdili godinama: zakonska prava i tehnička stvarnost dvije su potpuno različite stvari. Razumijevanje tog jaza — i poduzimanje koraka za njegovo premošćivanje dostupnim alatima — najpouzdaniji je put do stvarne zaštite privatnosti u ovom trenutku.