A CCPA-t tömeges méretekben figyelmen kívül hagyják: Mit tehet ez ellen?

Kalifornia adatvédelmi törvényének van egy megfelelési problémája

A California Consumer Privacy Act (CCPA) célja az volt, hogy az állam lakói számára valódi kontrollt biztosítson személyes adataik felett. Azonban egy több mint 7000 népszerű webhelyet vizsgáló átfogó audit egészen más képet fest. A kutatók „ipari léptékű meg nem felelést" azonosítottak a CCPA kapcsán: számos nagy technológiai vállalat szisztematikusan figyelmen kívül hagy egy, a böngészőkbe közvetlenül beépített, jogilag elismert adatvédelmi jelzést.

Ez a jelzés a Global Privacy Control (GPC), vagyis a globális adatvédelmi vezérlő. Aktiválása esetén automatikusan utasítja az összes meglátogatott webhelyet, hogy ne kövessék nyomon és ne adják el személyes adatait. A CCPA értelmében a Kaliforniában üzleti tevékenységet folytató vállalatok számára e jelzés tiszteletben tartása nem választható lehetőség, hanem törvényi kötelezettség. Az audit mégis azt állapította meg, hogy egyes esetekben a nyomkövetés a látogatások 86%-ában folytatódott még akkor is, amikor a GPC-jelzés aktív volt.

Ez a szám megérdemel egy pillanyi elgondolkodást. Egy felhasználó mindent helyesen csinálhat – aktiválhatja a jogilag védett adatvédelmi beállítást –, és böngészési munkameneteinek túlnyomó többségében mégis nyomon követhetik viselkedését, adatait pedig potenciálisan értékesíthetik.

Miért nem elegendők önmagukban a jogi védelmek?

Az olyan adatvédelmi törvények, mint a CCPA, valódi előrelépést jelentenek. Jogokat állapítanak meg, végrehajtási mechanizmusokat hoznak létre, és a bizonyítási terhet a vállalatokra hárítják, amelyeknek igazolniuk kell adatkezelési gyakorlatukat. Ez az audit azonban rávilágít egy olyan hiányosságra, amelyre az adatvédelmi szakértők régóta figyelmeztetnek: egy törvény csak annyira hatékony, amennyire végrehajtják.

Ha a meg nem felelés ilyen széles körű és ilyen szisztematikus, az arra utal, hogy a vállalatok úgy kalkulálnak: a hatósági szankciók kockázata alacsonyabb, mint az általuk gyűjtött adatok értéke. Ez strukturális probléma, nem egyéni. Semennyi gondos cookie-tájékoztató olvasás vagy az „összes elutasítása" gombra kattintás sem old meg egy olyan rendszert, amelyben a nyomkövetési infrastruktúra a háttérben tovább fut, függetlenül minden mástól.

Ez Kalifornián túl is számít. Bár a CCPA kizárólag kaliforniai lakosokra vonatkozik, a törvényt sértő weboldalak mindenhol kiszolgálnak felhasználókat. Ugyanazok a nyomkövetési technológiák, hirdetési hálózatok és adatközvetítők globálisan működnek. Ha a nagy vállalatok hajlandók figyelmen kívül hagyni egy valódi szankciókkal rendelkező állami törvényt, a gyengébb védelmet biztosító joghatóságokban a helyzet valószínűleg még rosszabb.

Mit jelent ez az Ön számára?

Az auditból levonható gyakorlati tanulság kényelmetlenül hangzik, de fontos: webböngészés közben nem támaszkodhat kizárólag jogi keretrendszerekre adatai védelméhez. A vállalati megfelelés legjobb esetben következetlen, e kutatás szerint pedig a legrosszabb esetben elhanyagolható, amikor az Ön által kifejezett preferenciák tiszteletben tartásáról van szó.

Ez nem jelenti azt, hogy az adatvédelmi törvények haszontalanok. A szabályozói nyomás, a bírságok és a nyilvános elszámoltathatóság idővel valóban hatnak. Azonban addig is az Ön tényleges böngészési viselkedését valószínűleg jóval kiterjedtebben követik nyomon, mint amit bármely hozzájárulási banner vagy leiratkozási beállítás sugallna.

A megbízhatóbb védelmet nyújtó eszközök technikai, nem pedig szabályozási szinten működnek. Egy harmadik féltől származó nyomkövetőket blokkoló böngészőbővítmény nem kéri a vállalatot, hogy tartsa tiszteletben az Ön preferenciáit – egyszerűen megakadályozza a nyomkövető kód betöltését. Hasonlóképpen, egy VPN titkosítja az internetkapcsolatát és elfedi az IP-címét, amely az egyik legfontosabb azonosító, amelyet a különböző webhelyeken tanúsított viselkedéséről szóló profilok összeállításához használnak. Egyik megközelítés sem függ a vállalatok jóindulatától vagy a hatósági végrehajtástól.

A böngészőszintű adatvédelmi vezérlők is egyre kifinomultabbá váltak. A Firefox és az adatvédelemre összpontosító elvek alapján épített böngészők alapértelmezetten blokkolják a nyomkövetési szkripteket. Maga a GPC-jelzés is érdemes böngészőbeállítás, amelyet érdemes engedélyezni – nem azért, mert a vállalatok megbízhatóan betartják (ez az audit egyértelművé teszi, hogy nem teszik), hanem mert dokumentált nyilvántartást hoz létre az Ön által kifejezett preferenciákról, ami a végrehajtási eljárásokban számíthat.

Gyakorlati lépések adatainak védelméhez

Tekintettel arra, amit ez az audit feltár, az alábbiakban konkrét lépések következnek, amelyek valódi védelmet nyújtanak a csupán szabályozásfüggő ígéretek helyett:

• Engedélyezze a Global Privacy Controlt böngészőjének beállításaiban. Lehet, hogy nem mindig tartják be, de jogilag megalapozottabb helyzetet teremt, és az adatvédelemre összpontosító böngészők egyre nagyobb mértékben támogatják.
• Használjon nyomkövetőt blokkoló böngészőbővítményt, például az uBlock Origint, vagy olyan adatvédelemre összpontosító böngészőt, amely alapértelmezetten blokkolja a harmadik féltől származó szkripteket. Ezek függetlenül működnek attól, hogy egy weboldal tiszteletben tartja-e a leiratkozási preferenciáit.
• Fontolja meg VPN használatát általános böngészéshez, különösen olyan hálózatokon, amelyek felett nincs ellenőrzése. A VPN nem blokkolja közvetlenül a nyomkövetőket, de megakadályozza, hogy az internetszolgáltatója és a hálózati szintű megfigyelők képet alkossanak tevékenységéről, és elfedi azt az IP-címet, amely az egyes webhelyeken keresztül összeköti a munkameneteit.
• Rendszeresen ellenőrizze böngészőjének adatvédelmi beállításait. A harmadik féltől származó cookie-k, az ujjlenyomat-védelmi megoldások és a nyomkövetés blokkolása a legtöbb általános böngészőben alapértelmezetten le vannak tiltva.
• Legyen szkeptikus a cookie-hozzájárulási bannerekkel szemben. A kutatások következetesen azt mutatják, hogy sok webhely a kiválasztott opciótól függetlenül folytatja a nyomkövetést.

A CCPA érdemleges lépés volt afelé, hogy a vállalatokat felelőssé tegyék a személyes adatok kezelésének módjáért. Ez az audit azonban megerősíti, amit számos adatvédelmi kutató évek óta állít: a jogi jogok és a technikai valóság két egészen különböző dolog. Az e különbség megértése, és a rendelkezésre álló eszközökkel való áthidalása jelenleg a valódi adatvédelmi védelemhez vezető legmegbízhatóbb út.