Обсуждения конфиденциальности и безопасности данных часто сосредоточены на том, как крупные технологические гиганты, такие как Google, Facebook и другие, поступают с данными своих пользователей. Гораздо меньше обсуждаются компании, бизнес-модель которых сосредоточена на сборе личных данных с целью последующей продажи и получения прибыли. Такие компании называются брокерами данных. Но кто они, как они собирают информацию, что они с ней делают и как можно отказаться от сбора данных?
Брокеры данных – это компании, продающие персональную информацию. Они собирают данные из различных источников, составляют подробную картину о пользователе, а затем продают эту информацию. Продажа такой информации – это крупный бизнес: отрасль оценивается в 200 миллиардов долларов в год, а по всему миру насчитывается до 4000 брокерских компаний. Наиболее известными брокерами данных являются Experian, Equifax, Acxiom и Epsilon.
Деятельность брокеров данных критикуют за непрозрачность: брокеры данных не заинтересованы во взаимодействии с людьми, данные которых они собирают, анализируют и продают с целью получения прибыли.
Термин «информационный брокер» является синонимом термина «брокер данных». Брокеры данных не связаны прямыми отношениями с людьми, о которых они собирают данные. Большинство пользователей вообще не знает, что происходит сбор данных. Пользователи, часто не задумываясь, выбирают вариант «Я согласен» для политик конфиденциальности и условий использования. Однако не всегда очевидно, какой уровень контроля данных предоставляет брокеру такое согласие и каков совокупный эффект от согласия, предоставленного на большом количестве веб-сайтов.
Сайты брокеров данных получают информацию несколькими способами, как онлайн, так и офлайн, постепенно выстраивая детализированные профили потребителей.
Используя различные источники, брокеры данных собирают массу информации о пользователях, например:
Возможно, брокеры данных также могут узнать уровень доходов, информацию о состоянии здоровья, политические взгляды и сведения о судимости.
Они собирают и агрегируют эту информацию для создания пользовательских сегментов, например, «молодые матери», «любители фитнеса» и прочие, которые затем продают другим компаниям в коммерческих целях. Некоторые категории могут показаться безобидными, в то время как другие касаются личной жизни и затрагивают этические вопросы, в частности, медицинские (например, категория «больные ВИЧ»).
Несмотря на объем собираемой информации, брокеры данных не всегда интерпретируют ее правильно. Например, если пользователь покупает детскую одежду для друга или родственника, брокер данных может рассматривать его как родителя, даже если он таковым не является, а покупку лекарств для пожилого родственника интерпретировать как отражение состояния здоровья и так далее.
Брокеры данных продают данные пользователей другим компаниям для использования в различных коммерческих целях. К ним относятся:
Как всегда, законы различаются в зависимости от юрисдикции, и правовая картина не всегда однозначна. Вообще говоря, если брокеры данных используют общедоступные записи для получения информации, то их деятельность является законной, хотя и существуют нюансы.
В Европейском союзе действует Общий регламент по защите данных (GDPR), который представляет собой закон о конфиденциальности и безопасности данных и распространяется на все организации, ведущие сбор данных о пользователях на территории Европейского Союза. В нем говорится, что пользователи должны дать согласие на сбор данных в явном виде. Согласно GDPR, у пользователей также есть право требовать от организаций удаления данных о них. В других странах действуют аналогичные законы. Например, бразильский аналог – LGPD (Lei Geral de Proteção de Dados, Общий закон о защите данных).
В США картина более фрагментирована, поскольку не существует общего федерального эквивалента GDPR. Законы различаются в зависимости от штата: в одних штатах за брокерами данных следят более пристально, в других – менее. Например, Закон штата Калифорния о защите конфиденциальности потребителей позволяет пользователям получать копию информации, собранной о них брокерами данных, требовать удаление информации и отказываться от продажи своих данных.
На большинстве веб-сайтов согласие на сбор пользовательских данных напечатано мелким шрифтом в неприметном месте. Таким образом, не всегда очевидно, в какой степени детализации пользователи предоставляют свои данные.
Помимо этических и юридических вопросов, связанных с брокерами данных, основную проблему представляют масштабные утечки данных. Брокеры данных собирают конфиденциальную информацию, утечка которой может иметь серьезные последствия для пострадавших.
Ниже приведены наиболее известные инциденты безопасности, связанные с утечкой данных:
Совсем не попасть в списки брокеров данных очень непросто. Тем не менее, вы можете отказаться от сбора данных, связавшись непосредственно с сайтами-брокерами данных и попросив их удалить ваши данные. Однако это длительный процесс. Кроме того, есть компании, которым можно заплатить за удаление данных о вас. Лучше всего постараться не попадать в списки брокеров данных. Для этого рекомендуется предпринять шаги по обеспечению конфиденциальности своих данных в интернете.
Центр координации прав на неприкосновенность частной жизни приводит полный список брокеров данных. Он включает ссылки на их политики конфиденциальности и подробную информацию о том, как удалить свои данные у каждого брокера. Удаление личных данных у брокера вряд ли будет разовым процессом. Вероятно, его придется регулярно повторять. Для резидентов Евросоюза в этом руководстве описано, как отправлять запросы на удаление согласно GDPR, а также дополнительная информация о том, как удалить свои данные с сайтов сбора данных.
Компания Brand Yourself ищет данные в базах основных брокеров данных и предоставляет отчет о том, где они были обнаружены. Это дает отправную точку: у каких брокеров данных нужно удалить данные.
Чтобы запросить удаление данных, обычно необходимо связаться с брокерами по электронной почте. Для этого рекомендуется создать новую временную учетную запись электронной почты. Это необходимо для обеспечения безопасности основной учетной записи электронной почты и защиты ее от спама.
Если вас беспокоит, как компания обрабатывает личные данные, можно подать жалобу в соответствующее государственное учреждение в вашей стране. Это учреждение зависит от страны: например, в США это Федеральная торговая комиссия, а в Великобритании – Управление Комиссара по информации.
PrivacyDuck и DeleteMe – это примеры компаний, которые помогут сохранить конфиденциальность данных. Однако они берут плату за свои услуги.
Для повышения конфиденциальности при работе в интернете можно также использовать VPN (виртуальную частную сеть). При подключении к интернету по VPN ваш IP-адрес остается скрытым, а данные – зашифрованными. Kaspersky VPN Secure Connection не позволяет злоумышленникам считывать ваши данные и обеспечивает конфиденциальность в сети.
Статьи по теме: