CCPA ignoreras i stor skala: Vad du kan göra

Kaliforniens integritetslag har ett efterlevnadsproblem

Kaliforniens konsumentintegritetslag (CCPA) skulle ge invånarna meningsfull kontroll över sina personuppgifter. Men en omfattande granskning av mer än 7 000 populära webbplatser berättar en annan historia. Forskarna beskrev vad de hittade som "industriell skala av bristande efterlevnad" av CCPA, där många stora teknikföretag systematiskt ignorerar en juridiskt erkänd integritetssignal som är inbyggd direkt i webbläsare.

Signalen i fråga kallas Global Privacy Control (GPC). När den aktiveras skickar den automatiskt en instruktion till varje webbplats du besöker och talar om för dem att de inte får spåra eller sälja dina personuppgifter. Enligt CCPA är det inte valfritt för företag som bedriver verksamhet i Kalifornien att respektera denna signal. Det är ett lagkrav. Ändå visade granskningen att spårning i vissa fall fortsatte under 86 % av besöken även när GPC-signalen var aktiv.

Det talet förtjänar en stunds eftertanke. En användare kan göra allt rätt, aktivera en juridiskt skyddad integritetsinställning, och ändå få sitt beteende spårat och sina uppgifter potentiellt sålda under den överväldigande majoriteten av sina surfningssessioner.

Varför juridiskt skydd ensamt inte räcker

Integritetslagar som CCPA representerar ett genuint framsteg. De fastställer rättigheter, skapar tillsynsmekanismer och lägger bördan på företagen att motivera sina datapraxis. Men den här granskningen illustrerar ett gap som integritetsförespråkare länge varnat för: en lag är bara så effektiv som dess efterlevnad.

När bristande efterlevnad är så utbredd och systematisk tyder det på att företag har räknat ut att risken för regulatoriska sanktioner är lägre än värdet av de uppgifter de samlar in. Det är ett strukturellt problem, inte ett individuellt. Ingen mängd noggrant läsande av cookie-banners eller klickande på "avvisa alla" löser ett system där spårningsinfrastrukturen fortsätter köra i bakgrunden oavsett.

Detta är viktigt även bortom Kalifornien. Även om CCPA bara gäller för Kaliforniens invånare, betjänar webbplatserna som bryter mot den användare överallt. Samma spårningsteknologier, annonsnätverk och datamäklare verkar globalt. Om stora företag är villiga att ignorera en delstatslag med verkliga konsekvenser är situationen i jurisdiktioner med svagare skydd troligen värre.

Vad detta betyder för dig

Den praktiska slutsatsen från denna granskning är obehaglig men viktig: du kan inte enbart förlita dig på juridiska ramverk för att skydda din integritet när du surfar på webben. Företagens efterlevnad är inkonsekvent i bästa fall och, enligt denna forskning, försumbar i värsta fall när det gäller att respektera dina angivna preferenser.

Det betyder inte att integritetslagar är värdelösa. Regulatoriskt tryck, böter och offentlig ansvarsskyldighet förändrar situationen över tid. Men under tiden spåras ditt faktiska surfbeteende troligen mycket mer omfattande än vad något samtyckesmeddelande eller avanmälningsinställning skulle antyda.

De verktyg som ger mer tillförlitligt skydd fungerar på teknisk nivå snarare än på policynivå. Ett webbläsartillägg som blockerar tredjepartsspårare ber inte ett företag att respektera dina preferenser. Det förhindrar helt enkelt att spårningskoden laddas från första början. På liknande sätt krypterar ett VPN din internetanslutning och maskerar din IP-adress, vilket är en av de primära identifierarna som används för att bygga profiler av ditt beteende på olika webbplatser. Inget av dessa tillvägagångssätt är beroende av företagens välvilja eller regulatorisk efterlevnad.

Integritetskontroller på webbläsarnivå har också blivit mer sofistikerade. Firefox och webbläsare byggda på integritetsfokuserade principer blockerar många spårningsskript som standard. GPC-signalen i sig är en webbläsarinställning värd att aktivera, inte för att företag tillförlitligt respekterar den (denna granskning gör tydligt att de inte gör det), utan för att den skapar ett dokumenterat bevis på dina angivna preferenser, vilket kan ha betydelse vid tillsynsåtgärder.

Praktiska åtgärder för att skydda din integritet nu

Med tanke på vad denna granskning avslöjar, här är konkreta åtgärder som ger verkligt skydd snarare än policyberoende löften:

• Aktivera Global Privacy Control i dina webbläsarinställningar. Det kanske inte alltid respekteras, men det lägger till ett lager av juridisk grund och stöds alltmer av integritetsfokuserade webbläsare.
• Använd ett spårningsblockerande webbläsartillägg som uBlock Origin eller en integritetsfokuserad webbläsare som blockerar tredjepartsskript som standard. Dessa fungerar oavsett om en webbplats respekterar dina avanmälningspreferenser.
• Överväg ett VPN för allmän surfning, särskilt på nätverk du inte kontrollerar. Ett VPN blockerar inte spårare direkt, men det förhindrar din internetleverantör och observatörer på nätverksnivå från att bygga upp en bild av din aktivitet, och det maskerar den IP-adress som knyter ihop dina sessioner på olika webbplatser.
• Granska dina webbläsares integritetsinställningar regelbundet. Tredjepartscookies, fingeravtrycksskydd och spårningsblockering är ofta inaktiverade som standard i vanliga webbläsare.
• Var skeptisk till cookie-samtyckesmeddelanden. Forskning visar konsekvent att många webbplatser fortsätter spåra oavsett vilket alternativ som väljs.

CCPA var ett meningsfullt steg mot att hålla företag ansvariga för hur de hanterar personuppgifter. Men denna granskning bekräftar vad många integritetsforskare har hävdat i åratal: juridiska rättigheter och tekniska verkligheter är två mycket olika saker. Att förstå det gapet, och ta åtgärder för att täppa till det med de verktyg som finns tillgängliga för dig, är den mest tillförlitliga vägen till meningsfullt integritetsskydd just nu.