Сайты некоммерческих организаций изобилуют рекламными трекерами

Сайты некоммерческих организаций изобилуют рекламными трекерами

Источник · Перевод автора

В прошлом году почти 200 миллионов человек посетили веб-сайт некоммерческой организации Planned Parenthood, к которой многие люди обращаются по очень личным вопросам, таким как половое воспитание, доступ к контрацептивам и доступ к абортам. Эти посетители, возможно, не знали, что как только они открыли selectedparenthood.org, около двух десятков рекламных трекеров, встроенных в сайт, предупредили множество компаний, чьей деятельностью является не репродуктивная свобода, а сбор, продажа и использование данных просмотра.

The Markup запустила веб-сайт Planned Parenthood с помощью нашего инструмента Blacklight и обнаружила 28 рекламных трекеров и 40 сторонних файлов cookie, отслеживающих посетителей, в дополнение к так называемым «регистраторам сеансов», которые могли фиксировать движения мыши и нажатия клавиш людей, посещающих домашнюю страницу в поиске. таких вещей, как информация о противозачаточных средствах и абортах. Сайт также содержал трекеры, которые сообщают Facebook и Google, если пользователи посещали сайт.

Сканирование Markup показало, что сайт Planned Parenthood взаимодействует с такими компаниями, как Oracle, Verizon, LiveRamp, TowerData и Quantcast, некоторые из которых занимаются сбором и продажей доступа к огромному количеству цифровых данных о привычках людей.

Кэти Скибински, вице-президент по цифровым продуктам Planned Parenthood, сказала, что данные, собранные на ее веб-сайте, «используются Planned Parenthood и нашими аффилированными лицами только для внутренних целей», и компания не «продает» данные третьим лицам.

«В то время как мы стремимся использовать данные, чтобы узнать, как мы можем быть наиболее эффективными, в Planned Parenthood обучение на основе данных всегда продуманно проводится с уважением к конфиденциальности пациентов и пользователей», – сказалa Скибински. «Это означает использование аналитических платформ для сбора агрегированных данных для сбора информации и выявления тенденций, которые помогут нам улучшить наши цифровые программы».

Скибински не оспаривалa, что организация делится данными с третьими сторонами, включая брокеров данных.

Сканирование Blacklight побережья Мексиканского залива Planned Parenthood – локализованный веб-сайт специально для жителей региона Персидского залива, включая Техас, где аборты, по сути, объявлены вне закона, – дало аналогичные результаты.

Планируемое отцовство – не единственное, что касается некоммерческих организаций, некоторые из которых работают в таких чувствительных областях, как психическое здоровье и наркомания, собирая и обмениваясь данными о посетителях веб-сайтов.

Используя наш инструмент Blacklight, The Markup просканировал более 23 000 веб-сайтов некоммерческих организаций, в том числе принадлежащих поставщикам абортов и некоммерческим центрам лечения наркозависимости. Разметка использовала мастер-файл некоммерческой организации IRS для определения некоммерческих организаций, которые подали налоговую декларацию с 2019 года и которые агентство классифицирует как сосредоточенные в таких областях, как психическое здоровье и кризисное вмешательство, гражданские права и медицинские исследования. Затем мы проверили веб-сайты каждой некоммерческой организации, которые находятся в открытом доступе в GuideStar. Мы обнаружили, что около 86 процентов из них имеют сторонние файлы cookie или сетевые запросы отслеживания. Для сравнения, когда The Markup провела опрос 80 000 лучших веб-сайтов в 2020 году, мы обнаружили, что 87 процентов используют какой-либо тип стороннего отслеживания.

Около 11 процентов из 23 856 некоммерческих веб-сайтов, которые мы просканировали, имели встроенный пиксель Facebook, а 18 процентов использовали функцию «Ремаркетинг аудиторий» Google Analytics.

Разметка обнаружила, что 439 некоммерческих веб-сайтов загружают скрипты, называемые регистраторами сеансов, которые могут отслеживать клики и нажатия клавиш посетителями. Восемьдесят девять из них были для веб-сайтов, которые принадлежали некоммерческим организациям, которые IRS классифицирует как в первую очередь сосредоточенные на вопросах психического здоровья и кризисного вмешательства.

«Как пользователь этого веб-сайта, делясь с ними своей информацией, вы, вероятно, не предполагаете, что эта конфиденциальная информация передается третьим лицам, и определенно не предполагаете, что ваши нажатия клавиш записываются», – сказал Гунес Акар, исследователь конфиденциальности, соавтор опубликовал исследование 2017 года о регистраторах сеансов, сказал. «Чем более чувствительным является веб-сайт, тем больше я волнуюсь».

Трейси Плевел, вице-президент по развитию и связям с общественностью в Gateway Rehab, одной из некоммерческих организаций, использующих на своем сайте регистраторы сеансов, сказала, что эта некоммерческая организация использует трекеры и регистраторы сеансов, потому что ей необходимо оставаться конкурентоспособным со своими более крупными некоммерческими партнерами.

«Как некоммерческая организация, мы выступаем против коммерческих поставщиков с большими рекламными бюджетами, а также с брокерами по лечению зависимости, которые схватывают тех, кто обращается за помощью, с помощью аналогичной тактики онлайн-рекламы и связывают их с поставщиком, который предлагает самую большую компенсацию за« продажи», – сказал Плевель. «Кроме того, мы знаем, что пользовательский опыт оказывает большое влияние на завершение лечения. Когда кто-то готов приступить к лечению, мы должны сделать так, чтобы это было как можно проще для него, прежде чем он будет разочарован или запуган этим процессом».

У других некоммерческих организаций также было значительное количество трекеров, встроенных на свои сайты. Разметка обнаружила 26 рекламных трекеров и 50 сторонних файлов cookie в The Clinic at Sharma-Crawford Attorneys at Law, юридической клинике Канзас-Сити, которая представляет интересы малообеспеченных людей, которым грозит депортация.

Рекха Шарма-Кроуфорд, президент правления The Clinic, написала в письме по электронной почте: «Мы очень серьезно относимся к вопросам конфиденциальности и безопасности и продолжим работать с нашим интернет-провайдером для решения выявленных вами проблем».

«Спасите детей», гуманитарная организация, основанная более 100 лет назад, имеет 26 рекламных трекеров и 49 сторонних файлов cookie. March of Dimes, некоммерческая организация, основанная президентом Франклином Д. Рузвельтом и занимающаяся вопросами охраны здоровья матери и ребенка, имела на своем сайте более 29 рекламных трекеров и 58 сторонних файлов cookie. В Калифорнийском центре лечения и исследования рака City of Hope было 25 рекламных трекеров и 47 сторонних файлов cookie.

Пол Бутчер, заместитель вице-президента по глобальной цифровой стратегии в Save the Children, заявил в электронном письме, что организация «очень серьезно относится к защите данных». Бутчер также написал, что Save the Children собирает некоторые данные с помощью рекламных трекеров «для улучшения пользовательского опыта», и что организация находится в процессе обновления своей политики хранения данных и недавно наняла нового руководителя отдела данных.

March of Dimes и City of Hope не ответили на запросы о комментариях.

Законы о конфиденциальности на уровне штата не учитывают некоммерческие организации

Хотя данные о здоровье регулируются HIPAA, а FERPA регулирует образовательные записи, нет федеральных законов, регулирующих то, как веб-сайты отслеживают своих посетителей. Недавно в нескольких штатах – Калифорнии, Вирджинии и Колорадо – были приняты законы о конфиденциальности потребителей, которые требуют от компаний раскрывать свои методы отслеживания и позволяют посетителям отказаться от сбора данных.

Но некоммерческие организации в двух из этих штатов, Калифорнии и Вирджинии, не обязаны соблюдать правила.

Сенатор Рон Уайден (D-OR), который предложил свое собственное федеральное законодательство о конфиденциальности, сказал, что некоммерческие организации накапливают большой объем потенциально конфиденциальных данных.

«Некоммерческие организации хранят невероятно личную информацию о вещах, которыми мы увлечены, от политических причин и социальных взглядов до благотворительных целей, которые нас волнуют», – сказал Уайден в заявлении по электронной почте. «Если в результате утечки данных выясняется, что кто-то делает пожертвование группе поддержки домашнего насилия или организации по защите прав ЛГБТ или название их мечети, любая эта информация может быть невероятно конфиденциальной».

Однако лидеры некоммерческих организаций утверждают, что им не хватает инфраструктуры и финансирования для соблюдения требований закона о конфиденциальности, и они должны собирать и делиться информацией о спонсорах, чтобы выжить.

«Одним из наиболее существенных и эффективных способов использования данных некоммерческими организациями был сбор средств, – сказал Шеннон Маккракен, генеральный директор The Nonprofit Alliance, группы защиты интересов, состоящей из некоммерческих организаций и предприятий. «Без возможности рентабельной работы с потенциальными новыми донорами и текущими донорами некоммерческие организации не смогут продолжать быть столь же эффективными, как сегодня».

Но целенаправленно или нет, говорят эксперты по конфиденциальности, некоммерческие организации предоставляют личную информацию брокерам данных и технологическим гигантам, таким как Facebook и Google.

«Некоммерческая организация может поделиться вашим номером телефона и именем с LiveRamp. Завтра коммерческая организация сможет повторно использовать те же данные для нацеливания на вас», – сказал Ашкан Солтани, эксперт по конфиденциальности и бывший главный технолог Федеральной торговой комиссии. «Потоки данных, которые поступают в сторонние агрегаторы и брокеры данных, также часто исходят от некоммерческих организаций».

Солтани, который 4 октября был назначен исполнительным директором Калифорнийского агентства по защите конфиденциальности, участвовал в разработке Закона о конфиденциальности потребителей Калифорнии, который изначально был введен с исключениями для некоммерческих организаций.

«Многие крупные некоммерческие организации работают с брокерами данных, чтобы помочь организовать и проанализировать свои данные», – сказал Ян Масаока, генеральный директор Калифорнийской ассоциации некоммерческих организаций.

«Люди, у которых есть большие списки доноров, широко пользуются ими, почти все они пользуются одной из служб», – сказал Масаока. «Они не хранят его дома, почти все хранят его с помощью одной из этих служб».

Она отметила, что Blackbaud – это компания, к которой часто обращаются некоммерческие организации. Маркетинговые материалы зарегистрированного брокера данных продвигают кооперативную базу данных, которая объединяет данные о донорах из более чем 550 некоммерческих организаций с общедоступной информацией о миллионах домашних хозяйств.

Blackbaud не ответил на запрос о комментарии.

По словам Маккракена, из-за нехватки средств некоммерческие организации также полагаются на сторонние платформы – которые также являются брокерами данных – для управления безопасностью и конфиденциальностью своих данных. Но и такие компании не защищены от кибератак: согласно данным Комиссии по ценным бумагам и биржам, в 2020 году Blackbaud раскрыла атаку с использованием программ-вымогателей, в ходе которой хакеры украли пароли, номера социального страхования и банковскую информацию. По данным Ресурсного центра по краже личных данных, пострадали сотни благотворительных организаций, школ и больниц, а также более 13 миллионов человек.

«Они полагаются на такого рода проблемную экосистему для достижения своей работы, и в результате они делятся списками номеров, адресами электронной почты или поведением в Интернете со сторонними рекламными компаниями и подвергают своих членов риску», – сказал Солтани.

Исключение

В отличие от своих предшественников в Калифорнии и Вирджинии, закон о конфиденциальности Колорадо не предусматривает исключения для некоммерческих организаций.

И в Калифорнии, и в Вирджинии основные сторонники законопроектов предоставили некоммерческим организациям исключение в качестве политического маневра. Аластер Мактаггарт, застройщик и основатель организации «Калифорнийцы за конфиденциальность потребителей», который был движущей силой Закона Калифорнии о конфиденциальности потребителей, сказал, что его предложение уже встречает сопротивление со стороны технологических гигантов и не хочет политического противостояния с некоммерческими организациями.

«Вы должны сделать первый шаг, поэтому мы решили, что это будет тот, от которого легче всего оттолкнуться», – сказал Мактаггарт. «В конце концов, я надеюсь, что крупные некоммерческие организации также будут включены».

Дэвид Марсден, сенатор штата, который представил Закон о защите данных потребителей Вирджинии, поддержал это мнение, отметив, что закон не идеален, но все же является хорошим началом.

«Поднимает ли это всех, кто должен, или освобождает всех, кто нуждается в освобождении? Наверное, нет, но это довольно близко», – сказал Марсден. «Благодаря этому законопроекту мы смогли добиться его принятия, чтобы люди не вставали и не возражали против того, что мы пытались сделать».

Сенатор штата Колорадо Роберт Родригес, который был соавтором законопроекта о конфиденциальности штата, сказал, что он не включил исключение для некоммерческих организаций, поскольку считает, что любая организация, у которой есть данные о более чем 100 000 человек, должна соблюдать меры защиты конфиденциальности. Он также не понимал, почему в других штатах есть исключения.

«Тот, у кого более 100 000 записей, – хороший размер», – сказал он в электронном письме. «У них должна быть какая-то защита или требования, которым нужно следовать».