Neturite „Facebook“ paskyros? Jus vis tiek seka! (1)
Socialinis tinklas „Facebook“ stebi kiekvieno šio tinklo svetainėje apsilankiusio žmogaus interneto naudojimo įpročius. Net tada, kai tas žmogus neturi savo paskyros socialiniame tinkle arba aiškiai pareiškė, kad nesutinka būti sekamas ES teritorijoje. Tokią išvadą pateikė išsamią analizę atlikusi Belgijos duomenų apsaugos agentūra.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Ataskaita, sudaryta Tarpdisciplininės teisės ir ICT centro (ICRI), Leveno universiteto (Belgija) Kompiuterių saugumo ir pramoninės kriptografijos fakulteto, Vrije universiteto Briuselyje Medijos, informacijos ir telekomunikacijų fakulteto specialistų, buvo užsakyta po to, kai pirminis tyrimas parodė, jog „Facebook“ privatumo politika galimai pažeidžia Europos teisę.
Dabar ataskaitos autoriai tikina, kad „Facebook“ stebi savo vartotojų kompiuterius be jų sutikimo, nepriklausomai nuo to, ar jie tuo metu prisijungę prie socialinio tinklo, ar ne. Dar daugiau – „Facebook“ net nereikia, kad internautas būtų registruotas „Facebook“ vartotojas. Stebėjimas vyksta ir tuo atveju, jei vartotojas aiškiai pareiškia, kad nepageidauja būti sekamas Europoje. Stebėjimo duomenis „Facebook“ naudoja labiau personalizuotoms reklamoms atrinkti.
Vartotojų stebėjimo problemos ašis – „Facebook“ socialiniai įskiepiai (tokie, kaip mygtukas „Like“, kuris naudojamas daugiau nei 13 mln. įvairių svetainių, taip pat sveikatos apsaugos, vyriausybinių.)
„Facebook“ elgesio stebėjimo slapuką (angl. cookie) į naudotojo kompiuterį įrašo jei jis apsilanko bet kokiame puslapyje, patenkančiame į facebook.com domeną, įskaitant gerbėjų puslapius ar kitas svetaines, kurių aplankymui socialinio tinklo paskyra nėra būtina.
Jeigu vartotojas apsilanko nepriklausomoje svetainėje, kurioje yra vienas iš „Facebook“ socialinių įskiepių, vartotojas atpažįstamas ir informacija apie apsilankymą persiunčiama į „Facebook“. Net ir tuo atveju, jei nespaudžiamas joks „Like“ mygtukas, svetainėje nesiregistruojama naudojant „Facebook“ paskyrą, nenaudojami jokie kiti socialinio tinklo įskiepiai.
ES žmogaus privatumo teisė byloja, kad norint į kompiuterį įrašyti slapuką ar vykdyti jo stebėjimą būtinas žmogaus sutikimas, išskyrus atvejus, kai tai reikalinga sąlyga, kad būtų prisijungti prie paslaugos (kriterijus „A“) arba tai yra būtina tiekiant paslaugą, kurios specifiškai paprašė naudotojas (kriterijus „B“).
Tas pats įstatymas reikalauja, kad svetainės pirmojo apsilankymo metu informuotų savo lankytojus, jog naudojami slapukai ir paprašytų lankytojo leidimo tai daryti.
Slapukas – tai mažutė rinkmena, įrašoma naudotojo kompiuteryje. Šioje rinkmenoje saugomi naudotojo pasirinkti nustatymai lankantis vienoje ar kitoje svetainėje, informacija apie ankstesnę naudojimo istorija ir kiti informacijos trupinukai, reikalingi svetainei. Informacija slapuko „savininkams“ persiunčiama kiekvieno apsilankymo jų svetainėje metu, todėl slapukai yra tinkami naudotojo kompiuteriui identifikuoti ir jo interneto naudojimo pomėgiams registruoti.
„Informaciją renkame tada, kai apsilankote ar naudojatės trečiųjų šalių svetainėmis arba programėlėmis, kurios naudoja mūsų paslaugas. Tai yra informacija apie jūsų aplankytas svetaines, jūsų naudotas paslaugas tose svetainėse, apie programėles, o taip pat bet kokia informacija, kurią programėlės ar svetainės kūrėjai mums pateikia apie jus“, – rašoma šiemet atnaujintame „Facebook“ privatumo politikos puslapyje.
Vartotojų stebėjimui teisinio pagrindo nėra
Europos duomenų reguliatoriaus darbo grupės „Article 29“ 2012 metais publikuotoje nuomonėje aiškinama, kad išskyrus atvejus, kai teikiamos paslaugos specifiškai reikalauja naudotojas, socialiniai įskiepiai turi praši naudotojo leidimo įrašyti slapuką. „Kadangi socialiniai įskiepiai pagal apibrėžimą taikomi į tam tikro socialinio tinklo naudotojus, jie visiškai nenaudingi to tinko nenaudojantiems asmenims, todėl jiems neatitinka „kriterijaus „B“.
Tą patį, darbo grupės teigimu, galima pasakyti ir apie „Facebook“ naudotojus, kurie naršymo metu būna atsijungę nuo socialinio tinklo. O prisijungusiems naudotojams gali būti įrašomas tik „sesijos slapukas“, kuris pašalinamas tada, kai naudotojas atsijungia nuo socialinio tinklo ar išjungia naršyklę.
Be to, „Article 29“ aiškina, kad slapukai, įdiegti „saugumo sumetimais“, į išimčių sąrašą gali patekti tik tuo atveju, jeigu jie yra būtini paslaugai, kurios konkrečiai paprašė naudotojas, o ne bendriniam paslaugos saugumui užtikrinti.
Šiais metais atnaujinta „Facebook“ slapukų politika skelbia, kad įmonė naudoja slapukus net tada, kai naudotojai neturi „Facebook“ paskyros ar būna atsijungę nuo socialinio tinklo. Taip, esą, „suteikiama galimybė pasiūlyti, atrinkti, įvertinti išmatuoti ir suprasti reklamas, kurios rodomos socialiniame tinkle „Facebook“.
Socialinis tinklas, siekdamas kuo tiksliau atrinkti specializuotas reiklamas, pagal nutylėjimą stebi savo vartotojus ir „Facebook“ nepriklausančiose svetainėse. Egzistuoja galimybė atsisakyti stebėjimo reklamos parinkimo tikslais, tačiau šis mechanizmas „nėra adekvatus mechanizmui gauti eilinio vartotojo informuotą sutikimą būti stebimais“, – rašo „Article 29“.
„Šiuo atžvilgiu Europos teisė nėra labai aiški. Tam, kad ji būtų teisiškai veiksni, būtinas reikalavimas, kad asmens sutikimas būti stebimu reklaminis atrinkimo tikslais būtų vykdomas tik po aiškaus naudotojo sutikimo (t. y., naudojant opt-in mechanizmą)“, – nurodė vienas iš ataskaitos autorių, ICRI mokslininkas Brendanas Van Alsenoy.
„Facebook“ negali savo veiksmų grįsti lankytojų neveiksmingumu (t. y., pagal nutylėjimą leidžiamo stebėjimo trečiųjų šalių svetainėse), kuris prilyginamas sutikimui. O kalbant apie nesiregistravusiu socialiniame tinkle, tai „Facebook“ apskritai neturi jokio teisinio pagrindo pateisinti savo esamą stebėjimo praktiką“, – aiškina B. Van Alsenoy.
Mokslininkai išanalizavo „opt-out“ mechanizmą, kurį taiko „Facebook“ ir daugelis kitų internete veiklą vykdančių bendrovių, pavyzdžiui, „Google“ ar „Microsoft“. Taikant tokį mechanizmą bet kuris vartotojas yra vertinamas kaip „sutinkantis“ (pvz., su jo veiksmų internete stebėjimu) ir jam reikia imtis aktyvių veiksmų, kad iš šio sąrašo būtų išbrauktas.
Naudotojai, norintis atsisakyti jų elgsenos stebėjimo internete, yra nukreipiami į Skaitmeninio reklamavimosi aljansą JAV teritorijoje, Kanados skaitmeninio reklamavimosi aljansą Kanadoje arba Europos skaitmeninio reklamavimosi aljansą ES teritorijoje. Visose šiose svetainėse galima „urmu“ atsisakyti sekimo, kurį vykdo 100 skirtingų bendrovių.
Bet situaciją analizavę mokslininkai išsiaiškino, kad to toli gražu nepakanka norint, kad „Facebook“ pamirštų apie galimybę jus stebėti. Po šio veiksmo „Facebook“ į niekada nestebėtų naudotojų kompiuterius įdiegia naujus savo slapukus.
„Jeigu žmonės, niekada nestebėti „Facebook“, pasirenka stebėjimo atsisakymo mechanizmą, siūlomą Europos Sąjungoje, „Facebook“ į kompiuterį įrašo unikalų ilgalaikį identifikuojantį slapuką, pagal kurį vartotojus galima sekti dvejus vėlesnius metus. Be to, išsiaiškinome, kad po „Facebook“ stebėjimo atsisakymo JAV ir Kanados svetainėse į kompiuterius ilgalaikis slapukas įrašomas nebūna“, – tvirtino kita ataskaitos autorė, Leveno universiteto atstovė Günes Acar.
Tai patvirtino ir nepriklausomas ekspertas, Prinstono universiteto (JAV) informatikos fakulteto mokslininkas Stevenas Englehardtas, prie ataskaitos ruošimo neprisidėjęs: „Pradėjau naują naršymo sesiją ir gavau papildomą „datr“ slapuką, kuris, panašu, gali unikaliai identifikuoti naudotojus, pasinaudojusius europietiškos slapukų atsisakymo svetainės angliška versija. Šio slapuko nebuvo vykdant pakartotinius bandymus su JAV ar Kanados svetainėmis“.
Stebėjimo atsisakymo faktą fiksuojantį slapuką „Facebook“ į kompiuterį įrašo atsisakant stebėjimo bet kokioje iš minėtų svetainių. Šie slapukai negali būti naudojami asmenų stebėjimui, nes juose nėra unikalaus identifikavimo galimybės. Kokia yra „datr“ slapuko, įrašomo europiečiams, paskirtis – nežinia.
Naudotojams, kurie labai rūpinasi savo duomenų privatumu, siūlomos papildomos priemonės, blokuojančios jų stebėjimą, sako G. Acar. „Pavyzdžiai būtų „Privacy Badger“, „Ghostery“ ir „Disconnect“. „Privacy Badger“ socialinių tinklų įskiepius pakeičia privatumą saugančiais atitikmenimis – tuos įskiepius naudoti vis dar galima, bet jie vartotojo neseka tol, kol ant jų nepaspaudžiama“.
„Mes teigiame, kad „Facebook“ teisinė pareiga – savo paslaugas ir programų komponentus kurti taip, kad jie būtų suderinami su privatumu. Tai reiškia, kad socialiniai įskiepiai turi būti kuriami taip, kad informacija apie asmens privačius naršymo įpročius už „Facebook“ ribų neturi būti atskleidžiama“, – sakė B. Van Alenoy.
„Facebook“ veiklos tyrimą vykdo Nydelrandų duomenų apsaugos inspekcija, kuri paprašė socialinio tinklo atstovų pristabdyti naujos privatumo politikos įgyvendinimą. Šią privatumo politiką analizuoja „Article 29“ darbo grupė.
„Neseniai atnaujinome savo naudojimo sąlygas ir paslaugų teikimo politiką, kad ji būtų aiškesnė ir su mažiau prieštaravimų, atitiktų naujas produktų galimybes ir pabrėžtų, kaip mes didiname žmonėms suteikiamas galimybes kontroliuoti jiems rodomas reklamas“, - reaguodamas į pradinę ataskaitos versiją pareiškė „Facebook“ atstovas.
Anot bendrovės atstovo, ataskaita nėra tiksli, o jos autoriai niekada nebuvo susisiekę su „Facebook“ ir neprašė paaiškinti jokių prielaidų, kuriomis ataskaita grindžiama. Be to, ataskaitos autoriai nekvietė socialinio tinklo atstovų pakomentuoti ataskaitą prieš ją publikuojant. „Po ankstesnės juodraštinės versijos publikavimo paaiškinome visus netikslumus tiesiai Belgijos duomenų apsaugos agentūrai, kuri, mūsų supratimu, šią ataskaitą užsakė, paprašėme susitikti ir paaiškinti, kodėl ataskaita neteisinga, bet jie atsisakė su mumis susitikti ar bendrauti. Tačiau mes vis dar pasirengę su jais bendradarbiauti ir tikimės, kad po šio bendravimo jie bus pasirengę atnaujinti savo ataskaitą“, – rašė socialinio tinklo atstovas.