Как запретить брокерам данных продажу своей личной информации

Обсуждения конфиденциальности и безопасности данных часто сосредоточены на том, как крупные технологические гиганты, такие как Google, Facebook и другие, поступают с данными своих пользователей. Гораздо меньше обсуждаются компании, бизнес-модель которых сосредоточена на сборе личных данных с целью последующей продажи и получения прибыли. Такие компании называются брокерами данных. Но кто они, как они собирают информацию, что они с ней делают и как можно отказаться от сбора данных?

Кто такие брокеры данных?

Брокеры данных – это компании, продающие персональную информацию. Они собирают данные из различных источников, составляют подробную картину о пользователе, а затем продают эту информацию. Продажа такой информации – это крупный бизнес: отрасль оценивается в 200 миллиардов долларов в год, а по всему миру насчитывается до 4000 брокерских компаний. Наиболее известными брокерами данных являются Experian, Equifax, Acxiom и Epsilon.

Деятельность брокеров данных критикуют за непрозрачность: брокеры данных не заинтересованы во взаимодействии с людьми, данные которых они собирают, анализируют и продают с целью получения прибыли.

Значение термина «брокер данных»

Термин «информационный брокер» является синонимом термина «брокер данных». Брокеры данных не связаны прямыми отношениями с людьми, о которых они собирают данные. Большинство пользователей вообще не знает, что происходит сбор данных. Пользователи, часто не задумываясь, выбирают вариант «Я согласен» для политик конфиденциальности и условий использования. Однако не всегда очевидно, какой уровень контроля данных предоставляет брокеру такое согласие и каков совокупный эффект от согласия, предоставленного на большом количестве веб-сайтов.

Как брокеры данных собирают информацию?

Сайты брокеров данных получают информацию несколькими способами, как онлайн, так и офлайн, постепенно выстраивая детализированные профили потребителей.

• История просмотра веб-страниц. При каждом использовании поисковой системы, приложений для социальных сетей и других приложений, заполнении онлайн-викторин, участии в конкурсах и посещении различных веб-сайтов остается электронный след. Брокеры данных используют эту информацию, чтобы составить представление о пользователях. Инструменты отслеживания действий, установленные на большинстве сайтов, собирают информацию о действиях пользователей в интернете. Для получения этой информации брокеры данных используют веб-скрапинг – небольшую программу или скрипт для извлечения данных с веб-сайтов.
• Открытые источники. Такие источники включают свидетельства о рождении, свидетельства о браке и о разводе, данные о регистрации избирателей, судебные записи, записи о банкротстве, записи о регистрации автомобилей и данные переписи населения.
• Коммерческие источники. История покупок: что и когда было куплено, в каком количестве, использовался ли купон или карта постоянного клиента.
• Согласие пользователя. Когда пользователь подписывается, например, на программу лояльности магазина, он дает свое согласие на передачу данных, часто даже не задумываясь (если только не читает мелкий шрифт).

Какую информацию собирают брокеры данных?

Используя различные источники, брокеры данных собирают массу информации о пользователях, например:

1. Имя
2. Адрес (как текущий, так и предыдущие адреса)
3. Дата рождения
4. Пол
5. Семейное положение
6. Данные о наличии детей, их количество и возраст
7. Номер полиса социального страхования
8. Уровень образования
9. Средства
10. Род занятий
11. Номер телефона
12. Адрес электронной почты
13. Покупательские привычки: что, когда и за сколько
14. Личные интересы и увлечения

Возможно, брокеры данных также могут узнать уровень доходов, информацию о состоянии здоровья, политические взгляды и сведения о судимости.

Они собирают и агрегируют эту информацию для создания пользовательских сегментов, например, «молодые матери», «любители фитнеса» и прочие, которые затем продают другим компаниям в коммерческих целях. Некоторые категории могут показаться безобидными, в то время как другие касаются личной жизни и затрагивают этические вопросы, в частности, медицинские (например, категория «больные ВИЧ»).

Несмотря на объем собираемой информации, брокеры данных не всегда интерпретируют ее правильно. Например, если пользователь покупает детскую одежду для друга или родственника, брокер данных может рассматривать его как родителя, даже если он таковым не является, а покупку лекарств для пожилого родственника интерпретировать как отражение состояния здоровья и так далее.

Как используются данные?

Брокеры данных продают данные пользователей другим компаниям для использования в различных коммерческих целях. К ним относятся:

• Маркетинг и реклама. Компании покупают данные, чтобы адаптировать для клиентов свои маркетинговые сообщения, специальные предложения и онлайн-рекламу. Во время избирательных кампаний политические партии могут использовать такие данные, чтобы целенаправленно рассылать политические сообщения.
• Снижение рисков. Некоторые компании используют данные, приобретаемые у брокеров, для борьбы с мошенничеством. Например, они могут проверить, совпадает ли информация, указанная в заявке на получение кредита, с информацией, которую предоставляют брокеры данных, или использовать эту информацию для расчета вероятности невозврата кредита клиентом.
• Страхование здоровья. Информация о состоянии здоровья, например, какие лекарства и какие симптомы пользователь ищет в интернете, может использоваться медицинскими страховыми компаниями для расчета ставок на основе профиля данных.
• Сайты поиска людей. Сайты поиска людей, такие как Spokeo, PeekYou, PeopleSmart, Pipl и другие, позволяют искать человека по имени и, обычно за определенную плату, получать о нем такую информацию как адрес, номер телефона, адрес электронной почты, дату рождения и прочие данные. Информация на этих сайтах поступает от брокеров данных и даже может использоваться для доксинга, социальной инженерии и кражи личных данных.

Законна ли деятельность брокеров данных?

Как всегда, законы различаются в зависимости от юрисдикции, и правовая картина не всегда однозначна. Вообще говоря, если брокеры данных используют общедоступные записи для получения информации, то их деятельность является законной, хотя и существуют нюансы.

В Европейском союзе действует Общий регламент по защите данных (GDPR), который представляет собой закон о конфиденциальности и безопасности данных и распространяется на все организации, ведущие сбор данных о пользователях на территории Европейского Союза. В нем говорится, что пользователи должны дать согласие на сбор данных в явном виде. Согласно GDPR, у пользователей также есть право требовать от организаций удаления данных о них. В других странах действуют аналогичные законы. Например, бразильский аналог – LGPD (Lei Geral de Proteção de Dados, Общий закон о защите данных).

В США картина более фрагментирована, поскольку не существует общего федерального эквивалента GDPR. Законы различаются в зависимости от штата: в одних штатах за брокерами данных следят более пристально, в других – менее. Например, Закон штата Калифорния о защите конфиденциальности потребителей позволяет пользователям получать копию информации, собранной о них брокерами данных, требовать удаление информации и отказываться от продажи своих данных.

На большинстве веб-сайтов согласие на сбор пользовательских данных напечатано мелким шрифтом в неприметном месте. Таким образом, не всегда очевидно, в какой степени детализации пользователи предоставляют свои данные.

Примеры утечки данных со стороны брокеров данных

Помимо этических и юридических вопросов, связанных с брокерами данных, основную проблему представляют масштабные утечки данных. Брокеры данных собирают конфиденциальную информацию, утечка которой может иметь серьезные последствия для пострадавших.

Ниже приведены наиболее известные инциденты безопасности, связанные с утечкой данных:

• В 2017 году компания Equifax объявила об утечке персональных данных 147 миллионов человек. Позже компания объявила о соглашении с Федеральной торговой комиссией и 50 штатами, в рамках которого в помощь пострадавшим была предусмотрена выплата в размере 425 миллионов долларов.
• В 2015 году был получен доступ к 15 миллионам записей, принадлежащих компании T-Mobile, но хранящихся на серверах компании Experian.
• В 2011 году была взломана компания Epsilon, в результате чего были раскрыты списки рассылки – имена и адреса электронной почты миллионов людей, которые затем стали жертвами спама и целевого фишинга.
• В 2003 году была взломана компания Acxiom – были украдены и проданы спамерам более 1,6 миллиарда записей (включая имена, адреса и адреса электронной почты).

Как защититься от брокеров данных

Совсем не попасть в списки брокеров данных очень непросто. Тем не менее, вы можете отказаться от сбора данных, связавшись непосредственно с сайтами-брокерами данных и попросив их удалить ваши данные. Однако это длительный процесс. Кроме того, есть компании, которым можно заплатить за удаление данных о вас. Лучше всего постараться не попадать в списки брокеров данных. Для этого рекомендуется предпринять шаги по обеспечению конфиденциальности своих данных в интернете.

Как удалить данные с сайтов сбора данных

Центр координации прав на неприкосновенность частной жизни приводит полный список брокеров данных. Он включает ссылки на их политики конфиденциальности и подробную информацию о том, как удалить свои данные у каждого брокера. Удаление личных данных у брокера вряд ли будет разовым процессом. Вероятно, его придется регулярно повторять. Для резидентов Евросоюза в этом руководстве описано, как отправлять запросы на удаление согласно GDPR, а также дополнительная информация о том, как удалить свои данные с сайтов сбора данных.

Компания Brand Yourself ищет данные в базах основных брокеров данных и предоставляет отчет о том, где они были обнаружены. Это дает отправную точку: у каких брокеров данных нужно удалить данные.

Чтобы запросить удаление данных, обычно необходимо связаться с брокерами по электронной почте. Для этого рекомендуется создать новую временную учетную запись электронной почты. Это необходимо для обеспечения безопасности основной учетной записи электронной почты и защиты ее от спама.

Если вас беспокоит, как компания обрабатывает личные данные, можно подать жалобу в соответствующее государственное учреждение в вашей стране. Это учреждение зависит от страны: например, в США это Федеральная торговая комиссия, а в Великобритании – Управление Комиссара по информации.

Компании, обеспечивающие платную защиту от брокеров данных

PrivacyDuck и DeleteMe – это примеры компаний, которые помогут сохранить конфиденциальность данных. Однако они берут плату за свои услуги.

Действия для защиты конфиденциальности в интернете

1. Ознакомьтесь с правовой базой, регулирующей конфиденциальность данных в вашей стране или штате, и узнайте свои права.
2. Избегайте публикации личной информации в социальных сетях. Например, дата рождения часто используется в качестве идентификатора или секретного вопроса, поэтому не указывайте ее в общем доступе.
3. Сделайте ваши учетные записи в социальных сетях закрытыми, доступными только друзьям и родственникам.
4. Избегайте участия в онлайн-викторинах и онлайн-розыгрышах: они часто собирают данные.
5. Не загружайте опасные приложения из ненадежных источников и удаляйте ненужные неиспользуемые приложения.
6. Сведите к минимуму количество онлайн-аккаунтов, оставьте только те, которые вы действительно используете.
7. Избегайте открытия неизвестных писем.
8. Чтобы снизить отслеживание, используйте веб-браузер с инструментами блокировки трекеров и рекламы.

Для повышения конфиденциальности при работе в интернете можно также использовать VPN (виртуальную частную сеть). При подключении к интернету по VPN ваш IP-адрес остается скрытым, а данные – зашифрованными. Kaspersky VPN Secure Connection не позволяет злоумышленникам считывать ваши данные и обеспечивает конфиденциальность в сети.

Статьи по теме:

• Что такое автоматические звонки и как их прекратить?
• Конфиденциальность прежде всего: как сохранить конфиденциальность в сети
• Самые безопасные приложения для обмена сообщениями
• Как хакеры нарушают конфиденциальность в сети