Генеральный прокурор Техаса подаёт в суд на Netflix из-за тайного сбора пользовательских данных

Что именно Техас вменяет Netflix

Генеральный прокурор Техаса Кен Пакстон подал иск против Netflix, обвинив стримингового гиганта в тайном сборе и продаже пользовательских данных без ведома и согласия подписчиков, включая детей. Иск о сборе пользовательских данных Netflix утверждает, что компания записывала и монетизировала миллиарды единиц пользовательской информации — практику, которую штат характеризует как «слежку» за жителями Техаса.

В основе жалобы лежат законы Техаса о защите прав потребителей, обязывающие компании открыто сообщать о том, как они собирают персональные данные, и получать осознанное согласие перед продажей или передачей этих данных третьим сторонам. Если обвинения подтвердятся, Netflix грозят значительные финансовые санкции и обязательный пересмотр всей практики обработки данных. Netflix публично не признала каких-либо нарушений, и дело теперь будет рассматриваться в суде.

Этот иск является одним из наиболее агрессивных действий по обеспечению конфиденциальности на уровне штата, предпринятых против крупной стриминговой платформы за последние годы. Он свидетельствует о том, что генеральные прокуроры штатов всё охотнее преследуют известные технологические компании за практику обращения с данными, которая прежде молчаливо принималась как неизбежная плата за бесплатный или платный по подписке сервис.

Какие данные Netflix предположительно собирала и продавала

Согласно обвинениям, Netflix вышла далеко за рамки сбора базовой информации об аккаунтах. В жалобе указывается на отслеживание подробных привычек просмотра, поведенческих паттернов и потенциально чувствительной активности пользователей — данных, которые дают детальную картину повседневной жизни, предпочтений и привычек подписчика.

Такой уровень детализации имеет очевидную коммерческую ценность. Рекламодатели, брокеры данных и аналитические компании платят значительные суммы за поведенческие профили, составленные на основе активности в стриминге. То, что человек смотрит, когда смотрит, как долго задерживается на определённом контенте и что бросает на полпути, может неожиданно много рассказать о его образе жизни, интересах в области здоровья и даже политических взглядах.

Включение детей в перечень пострадавших существенно повышает ставки. Федеральный закон уже устанавливает жёсткие ограничения на сбор данных пользователей младше 13 лет в соответствии с Законом о защите конфиденциальности детей в интернете (COPPA), и многие штаты ввели дополнительные меры защиты поверх этих требований. Если Netflix собирала и продавала данные, связанные с несовершеннолетними, без надлежащих гарантий, это будет представлять собой серьёзное нарушение как федерального, так и государственного законодательства.

Как стриминговые платформы монетизируют данные зрителей без их ведома

Netflix действует не в вакууме. Стриминговая отрасль в целом выстроила всё более сложные конвейеры данных, превращающие пассивный просмотр в монетизируемый актив. Когда платформы запустили уровни с рекламой, они формализовали то, что долгое время было негласной практикой: использование поведенческих данных для таргетинга и оценки эффективности рекламы.

Однако экономика данных вокруг стриминга выходит далеко за рамки рекламы на платформе. Данные подписчиков, нередко лишённые очевидных идентификаторов, но всё ещё богатые поведенческими сигналами, могут передаваться или продаваться сторонним партнёрам — контент-студиям, компаниям по рыночным исследованиям и брокерам данных, которые затем объединяют их с другими наборами данных для повторной идентификации личностей. Пользователи редко видят всё это чётко прописанным в условиях использования, а механизмы согласия, спрятанные в длинных политиках конфиденциальности, не равнозначны осознанному и полноценному согласию.

Такая модель корпоративного ненадлежащего обращения с данными не уникальна для сферы развлечений. Последствия превращения массового сбора данных в источник ответственности могут быть серьёзными и далеко идущими — как это было показано, когда 25 миллионов американцев оказались под угрозой утечки чувствительных государственных записей в результате взлома Conduent: наглядное напоминание о том, что после сбора и передачи данных контролировать их дальнейшее перемещение становится практически невозможно.

Регуляторы также сталкиваются со смежными противоречиями в других сферах сбора данных в интернете. Дискуссии вокруг законов о верификации возраста по всему миру наглядно показывают, насколько сложно совместить защиту пользователей с рисками для конфиденциальности, которые вносят сами системы, призванные эту защиту обеспечить.

Почему корпоративных обещаний в области конфиденциальности недостаточно — и что вы можете сделать

Иск Техаса против Netflix напоминает: политики конфиденциальности и корпоративные обязательства не являются гарантией. Компании могут и действительно изменяют свою практику обращения с данными — нередко посредством тихих обновлений условий использования, которые пользователи никогда не читают. Меры по обеспечению соблюдения законодательства применяются только постфактум, а это означает, что ваши данные могут уже быть собраны, проданы и включены в десятки сторонних профилей ещё до начала каких-либо судебных разбирательств.

10 миллионов записей, раскрытых в результате утечки данных о здоровье Conduent, подчёркивают именно этот момент: как только данные покидают руки компании — будь то в результате продажи, утечки или партнёрства — подписчики практически лишены возможности вернуть их обратно.

Так что же можно предпринять на практике? Вот конкретные шаги:

• Проверьте настройки конфиденциальности аккаунта на каждой используемой вами стриминговой платформе. Большинство из них теперь предоставляют возможность ограничить отслеживание рекламы или отказаться от передачи данных, хотя по умолчанию эти настройки, как правило, отключены.
• Используйте отдельный адрес электронной почты для развлекательных подписок, чтобы ограничить межплатформенное связывание данных.
• Узнайте, есть ли в вашем штате право на отказ от передачи данных. Калифорния, Техас, Вирджиния и ряд других штатов предоставляют жителям право требовать от компаний прекратить продажу их персональных данных.
• Воспринимайте запросы на удаление данных как реальный инструмент. В соответствии с законодательством ряда штатов вы можете потребовать, чтобы компания удалила хранящиеся у неё ваши данные.
• С осторожностью относитесь к уровням с рекламой. Более дешёвые планы подписки с рекламой нередко субсидируются именно за счёт того, что позволяют вести более активный сбор данных.

За исходом иска Техаса против Netflix стоит внимательно следить. Значимое решение суда или мировое соглашение могут создать прецедент для того, как стриминговые платформы будут обращаться с данными подписчиков по всей стране. А пока наиболее надёжная защита конфиденциальности — это не обещание компании, а ваш собственный осознанный выбор: какими данными делиться и с кем.