CCPA ігнорується у масштабах: що ви можете зробити

Каліфорнійський закон про конфіденційність має проблему з дотриманням вимог

Каліфорнійський закон про захист конфіденційності споживачів (CCPA) мав надати мешканцям реальний контроль над їхніми персональними даними. Але масштабний аудит понад 7 000 популярних веб-сайтів розповідає іншу історію. Дослідники виявили те, що вони описали як «промислове недотримання вимог» CCPA: багато великих технологічних компаній систематично ігнорують юридично визнаний сигнал конфіденційності, вбудований безпосередньо в браузери.

Цей сигнал називається Global Privacy Control (GPC). Коли він активований, він надсилає автоматичну інструкцію кожному веб-сайту, який ви відвідуєте, із вимогою не відстежувати та не продавати вашу особисту інформацію. Відповідно до CCPA, дотримання цього сигналу не є добровільним для компаній, що ведуть бізнес у Каліфорнії. Це юридична вимога. І все ж аудит виявив, що в деяких випадках відстеження тривало під час 86% відвідувань навіть тоді, коли сигнал GPC був активний.

Ця цифра заслуговує на хвилину роздумів. Користувач міг зробити все правильно — активувати юридично захищене налаштування конфіденційності — і все одно мати свою поведінку відстеженою, а дані потенційно проданими в переважній більшості своїх сеансів перегляду.

Чому самих лише правових засобів захисту недостатньо

Закони про конфіденційність, такі як CCPA, є справжнім прогресом. Вони встановлюють права, створюють механізми правозастосування та перекладають тягар на компанії, що зобов'язують їх обґрунтовувати свої практики роботи з даними. Але цей аудит ілюструє прогалину, про яку правозахисники у сфері конфіденційності давно попереджали: закон ефективний настільки, наскільки ефективне його виконання.

Коли недотримання вимог є настільки поширеним і систематичним, це свідчить про те, що компанії розрахували: ризик регуляторних штрафів є меншим, ніж цінність даних, які вони збирають. Це структурна проблема, а не індивідуальна. Жодна кількість уважного читання банерів cookie або натискання «відхилити все» не виправить систему, де інфраструктура відстеження продовжує працювати у фоновому режимі незалежно від цього.

Це важливо і поза межами Каліфорнії. Хоча CCPA поширюється лише на мешканців Каліфорнії, веб-сайти, що його порушують, обслуговують користувачів з усього світу. Ті самі технології відстеження, рекламні мережі та брокери даних діють глобально. Якщо великі компанії готові ігнорувати закон штату з реальними повноваженнями, ситуація в юрисдикціях зі слабшим захистом, імовірно, є ще гіршою.

Що це означає для вас

Практичний висновок із цього аудиту є некомфортним, але важливим: ви не можете покладатися лише на правові механізми для захисту своєї конфіденційності під час перегляду вебу. Дотримання корпоративних вимог є непослідовним у кращому випадку й, відповідно до цього дослідження, мізерним у гіршому, коли йдеться про дотримання ваших заявлених уподобань.

Це не означає, що закони про конфіденційність є марними. Регуляторний тиск, штрафи та публічна підзвітність з часом дійсно зрушують ситуацію. Але тим часом ваша реальна поведінка під час перегляду, ймовірно, відстежується значно інтенсивніше, ніж будь-який банер згоди або налаштування відмови могли б передбачити.

Інструменти, що забезпечують надійніший захист, працюють на технічному рівні, а не на рівні політики. Розширення для браузера, що блокує сторонні трекери, не просить компанію дотримуватися ваших уподобань. Воно просто запобігає завантаженню коду відстеження з самого початку. Так само VPN шифрує ваше інтернет-з'єднання та маскує вашу IP-адресу, яка є одним із основних ідентифікаторів, що використовуються для побудови профілів вашої поведінки на різних веб-сайтах. Жоден із цих підходів не залежить від корпоративної доброчесності або регуляторного виконання.

Засоби конфіденційності на рівні браузера також стали більш досконалими. Firefox та браузери, побудовані на принципах пріоритету конфіденційності, за замовчуванням блокують багато скриптів відстеження. Сам сигнал GPC є налаштуванням браузера, яке варто увімкнути — не тому, що компанії надійно його дотримуються (цей аудит чітко дає зрозуміти, що ні), а тому, що він створює задокументований запис ваших заявлених уподобань, що може мати значення в діях із правозастосування.

Практичні кроки для захисту вашої конфіденційності зараз

З огляду на те, що розкриває цей аудит, ось конкретні дії, що забезпечують реальний захист, а не обіцянки, залежні від політики:

• Увімкніть Global Privacy Control у налаштуваннях браузера. Він може не завжди дотримуватися, але додає рівень правової обґрунтованості та дедалі більше підтримується браузерами, орієнтованими на конфіденційність.
• Використовуйте розширення для браузера, що блокує трекери, наприклад uBlock Origin, або браузер, орієнтований на конфіденційність, що за замовчуванням блокує сторонні скрипти. Вони працюють незалежно від того, чи дотримується сайт ваших налаштувань відмови.
• Розгляньте використання VPN для загального перегляду, особливо в мережах, які ви не контролюєте. VPN не блокує трекери безпосередньо, але запобігає тому, щоб ваш провайдер та спостерігачі на рівні мережі формували картину вашої активності, а також маскує IP-адресу, що пов'язує ваші сеанси на різних сайтах.
• Periodично перевіряйте налаштування конфіденційності вашого браузера. Сторонні файли cookie, захист від цифрових відбитків та блокування трекерів часто вимкнені за замовчуванням у популярних браузерах.
• Ставтеся скептично до банерів згоди на файли cookie. Дослідження послідовно показують, що багато сайтів продовжують відстеження незалежно від обраного варіанту.

CCPA став значним кроком до притягнення компаній до відповідальності за те, як вони обробляють персональні дані. Але цей аудит підтверджує те, що багато дослідників конфіденційності стверджують протягом років: юридичні права та технічна реальність — це дві абсолютно різні речі. Розуміння цієї прогалини та вжиття заходів для її усунення за допомогою доступних вам інструментів є найнадійнішим шляхом до реального захисту конфіденційності прямо зараз.