В США предлагают обязать технологические компании учитывать согласие пользователей на передачу их персональных данных рекламным сетям.

/ фото Tom Roberts — Unsplash

Do-Not-Track (DNT) позволяет пользователю сети дать или отозвать как согласие на передачу третьим лицам данных о его действиях на странице так и на их применение в онлайн-рекламе.

По умолчанию DNT принимает значение null, что свидетельствует об отсутствии предпочтений.

Прототип механизма Do-Not-Track разработали в 2009 году эксперт по ИБ Кристофер Согоян (Christopher Soghoian) и сотрудник компании Mozilla Сид Стамм (Sid Stamm). Они предложили DNT Федеральной торговой комиссии США (FTC), которая как раз пыталась запустить реестр площадок, передающих сведения о посетителях рекламным сервисам. Но DNT посчитали более удобным механизмом, и Комиссия одобрила его ввод в декабре 2010 года. В 2011-м DNT уже был в Chrome, Firefox, Safari, Opera, Internet Explorer. В том же году Do-Not-Track решили стандартизировать на уровне W3C (World Wide Web Consortium), но эта работа так и не была завершена.?

Ни один закон напрямую не требует соблюдения принципа Do-Not-Track владельцами сайтов. Ближе всего к тому, чтобы сделать его обязательным, подошёл GDPR — регламент даёт гражданам ЕС возможность запретить обработку своих персональных данных в онлайн-сервисах. Однако сам DNT в GDPR не упоминается, и санкций за несоблюдение его требований пока не было.

Из-за недостатка законодательной поддержки многие площадки просто игнорируют Do-Not-Track. Учитывая такое положение дел, в январе 2019 года рабочая группа W3C прекратила разработку стандарта. А в феврале DNT убрали из Safari, что вызвало неоднозначную реакцию.

Так или иначе в опросе 2017 года четверть (из более чем 50 тысяч) респондентов сказали, что используют Do-Not-Track. 61% участников опроса также беспокоит, что они не могут контролировать передачу своих данных между рекламными сетями и рекламодателями. Этот вопрос не может не волновать людей, поэтому у DNT все ещё есть сторонники, которые не оставляют попыток «легализовать» этот механизм и сделать его обязательным.

Что предлагают

Принять новый закон предложили представители DuckDuckGo, которые выступают за регуляторное ограничение возможностей для сбора данных интернет-пользователей. Инициатива получила название The Do-Not-Track Act of 2019. Пока это — только черновая версия законопроекта.

Документ предлагает обязать владельцев сайтов учитывать отказ пользователя от установки сторонних cookies и передачи рекламным сетям сведений о посещении сайта. Акт сможет помочь не только людям, желающим защитить свои персональные данные, но и самим рекламодателям. Последние иногда сталкиваются с мошенничеством владельцев сайтов, размещающих баннеры.

Недобросовестные вебмастеры могут устанавливать партнёрские cookies для множества интернет-магазинов, которые сотрудничают с конкретной рекламной сетью. В течение срока хранения этих cookie-файлов пользователь может сделать покупку на одном из ресурсов-партнёров. Тогда владелец сайта получит вознаграждение, хотя покупателя в интернет-магазин привёл не он. В таком случае рекламодатель впустую потратит деньги.

Важно отметить, что требования законопроекта необходимо будет (в случае принятия) соблюдать только при включенном Do-Not-Track. В иных ситуациях использование персональных данных (ПД) в онлайн-рекламе не будет специальным образом ограничено.

Помимо всего прочего законопроект предлагает ограничить обмен пользовательскими ПД между сервисами одной и той же компании. Например, информация из WhatsApp не должна использоваться для рекламных объявлений в Instagram или Facebook.

В документе описаны и исключительные случаи, в которых установка cookies и сбор данных не будет ограничен. Акт разрешит передавать ПД для исправления ошибок в работе сервисов, анализа ИБ сайтов, финансовых операций и журналистских исследований, которые попадают под действие Первой поправки к Конституции США (страница 5 документа).


/ фото Kyle Glenn — Unsplash

Законопроект предлагает ввод штрафов для компаний, которые продолжат игнорировать Do-Not-Track. Минимальная сумма — $50 тыс., а максимальная — $10 млн или 2% годовой выручки компании. Действие закона будет потенциально распространяться на все компании, работающие на территории США, но его будущее пока под вопросом.

Мнения об инициативе

Авторы инициативы и некоторые журналисты считают, что американские сенаторы поддержат акт. Ряд политиков в США уже выступает за расширение прав граждан в области защиты персональных данных. Например, регулирование сбора ПД поддерживает сенатор и одна из вероятных кандидатов в президенты — Элизабет Уоррен (Elizabeth Warren). Считается, что The Do-Not-Track of 2019 может стать первым шагом на пути к более масштабному законопроекту по примеру европейского GDPR.

В пользу акта говорит и то, что DNT представляет собой готовое техническое решение. Оно доступно во многих браузерах и не требует разработки новых инструментов.

Есть и мнения против законопроекта. Акт не поддержала одна из авторов первоначального стандарта W3C для Do-Not-Track Пэм Диксон (Pam Dixon). По её словам, обязательного соблюдения DNT недостаточно для безопасности ПД. Диксон предлагает разработать вместо акта полноценный стандарт по сбору данных о посещении сайтов, который устроит и сторонников защиты ПД, и индустрию онлайн-рекламы, и политиков.

Другие инициативы

В американском Сенате рассматриваются ещё два предложения по регулированию сбора ПД.

Автором первой инициативы стал сенатор от Орегона Рон Уайден (Ron Wyden). Он считает, что FTC должна разработать для ИТ-компаний стандарты по кибербезопасности. Также Уайден выступает за создание единого национального реестра граждан, которые отказались делиться своими персональными данными в онлайн-сервисах. За нарушение требований предполагаются серьезные наказания — штрафы для компаний в размере 4% от годовой выручки или тюремный срок в 10–20 лет для руководителей организации, ответственных за защиту данных.

Вторую инициативу предложил сенатор от Вирджинии Марк Уорнер (Mark Warner). Он опубликовал документ, в котором предложил 20 перспективных способов регулирования сегмента ИТ. Например, разработать американский аналог GDPR, который определит порядок работы с ПД жителей страны.

Законы по защите данных продвигают не только на федеральном уровне, но и в отдельных штатах. С 2020 года в Калифорнии вступит в силу California Consumer Privacy Act (CCPA). Он обяжет компании выдавать по требованию клиентов собранные о них сведения и список третьих лиц, которые имеют доступ к этим данным.

Вывод

Принятие нового закона по защите данных поддерживают представители обеих партий США. Более того, некоторые республиканцы полагают, что инициативу поддержат и граждане страны.

Даже если законопроект об обязательном соблюдении DNT не примут, вопрос защиты персональных данных продолжат обсуждать в американском Сенате. Вероятнее всего, основой для новых законодательных инициатив и ориентиром для политиков станет GDPR.

---

О чем мы пишем в нашем Telegram-канале:

• ?Узнать за 60 секунд: что такое сервисно-определяемый файрвол
• ?Создать open source дата-центр — три фонда, которые делают это
• ?Почему vGPU не уступают по производительности железным решениям
• IaaS для комфортного масштабирования бизнеса — кейс Avito.ru
• Почему компании используют виртуальные машины, а не контейнеры