Почему Do-Not-Track может стать обязательным

    В США предлагают обязать технологические компании учитывать согласие пользователей на передачу их персональных данных рекламным сетям.



    / фото Tom Roberts — Unsplash

    Do-Not-Track (DNT) позволяет пользователю сети дать или отозвать как согласие на передачу третьим лицам данных о его действиях на странице так и на их применение в онлайн-рекламе.

    По умолчанию DNT принимает значение null, что свидетельствует об отсутствии предпочтений.

    Прототип механизма Do-Not-Track разработали в 2009 году эксперт по ИБ Кристофер Согоян (Christopher Soghoian) и сотрудник компании Mozilla Сид Стамм (Sid Stamm). Они предложили DNT Федеральной торговой комиссии США (FTC), которая как раз пыталась запустить реестр площадок, передающих сведения о посетителях рекламным сервисам. Но DNT посчитали более удобным механизмом, и Комиссия одобрила его ввод в декабре 2010 года. В 2011-м DNT уже был в Chrome, Firefox, Safari, Opera, Internet Explorer. В том же году Do-Not-Track решили стандартизировать на уровне W3C (World Wide Web Consortium), но эта работа так и не была завершена.


    Ни один закон напрямую не требует соблюдения принципа Do-Not-Track владельцами сайтов. Ближе всего к тому, чтобы сделать его обязательным, подошёл GDPR — регламент даёт гражданам ЕС возможность запретить обработку своих персональных данных в онлайн-сервисах. Однако сам DNT в GDPR не упоминается, и санкций за несоблюдение его требований пока не было.

    Из-за недостатка законодательной поддержки многие площадки просто игнорируют Do-Not-Track. Учитывая такое положение дел, в январе 2019 года рабочая группа W3C прекратила разработку стандарта. А в феврале DNT убрали из Safari, что вызвало неоднозначную реакцию.

    Так или иначе в опросе 2017 года четверть (из более чем 50 тысяч) респондентов сказали, что используют Do-Not-Track. 61% участников опроса также беспокоит, что они не могут контролировать передачу своих данных между рекламными сетями и рекламодателями. Этот вопрос не может не волновать людей, поэтому у DNT все ещё есть сторонники, которые не оставляют попыток «легализовать» этот механизм и сделать его обязательным.

    Что предлагают


    Принять новый закон предложили представители DuckDuckGo, которые выступают за регуляторное ограничение возможностей для сбора данных интернет-пользователей. Инициатива получила название The Do-Not-Track Act of 2019. Пока это — только черновая версия законопроекта.

    Документ предлагает обязать владельцев сайтов учитывать отказ пользователя от установки сторонних cookies и передачи рекламным сетям сведений о посещении сайта. Акт сможет помочь не только людям, желающим защитить свои персональные данные, но и самим рекламодателям. Последние иногда сталкиваются с мошенничеством владельцев сайтов, размещающих баннеры.

    Недобросовестные вебмастеры могут устанавливать партнёрские cookies для множества интернет-магазинов, которые сотрудничают с конкретной рекламной сетью. В течение срока хранения этих cookie-файлов пользователь может сделать покупку на одном из ресурсов-партнёров. Тогда владелец сайта получит вознаграждение, хотя покупателя в интернет-магазин привёл не он. В таком случае рекламодатель впустую потратит деньги.

    Важно отметить, что требования законопроекта необходимо будет (в случае принятия) соблюдать только при включенном Do-Not-Track. В иных ситуациях использование персональных данных (ПД) в онлайн-рекламе не будет специальным образом ограничено.

    Помимо всего прочего законопроект предлагает ограничить обмен пользовательскими ПД между сервисами одной и той же компании. Например, информация из WhatsApp не должна использоваться для рекламных объявлений в Instagram или Facebook.

    В документе описаны и исключительные случаи, в которых установка cookies и сбор данных не будет ограничен. Акт разрешит передавать ПД для исправления ошибок в работе сервисов, анализа ИБ сайтов, финансовых операций и журналистских исследований, которые попадают под действие Первой поправки к Конституции США (страница 5 документа).


    / фото Kyle Glenn — Unsplash

    Законопроект предлагает ввод штрафов для компаний, которые продолжат игнорировать Do-Not-Track. Минимальная сумма — $50 тыс., а максимальная — $10 млн или 2% годовой выручки компании. Действие закона будет потенциально распространяться на все компании, работающие на территории США, но его будущее пока под вопросом.

    Мнения об инициативе


    Авторы инициативы и некоторые журналисты считают, что американские сенаторы поддержат акт. Ряд политиков в США уже выступает за расширение прав граждан в области защиты персональных данных. Например, регулирование сбора ПД поддерживает сенатор и одна из вероятных кандидатов в президенты — Элизабет Уоррен (Elizabeth Warren). Считается, что The Do-Not-Track of 2019 может стать первым шагом на пути к более масштабному законопроекту по примеру европейского GDPR.

    В пользу акта говорит и то, что DNT представляет собой готовое техническое решение. Оно доступно во многих браузерах и не требует разработки новых инструментов.

    Есть и мнения против законопроекта. Акт не поддержала одна из авторов первоначального стандарта W3C для Do-Not-Track Пэм Диксон (Pam Dixon). По её словам, обязательного соблюдения DNT недостаточно для безопасности ПД. Диксон предлагает разработать вместо акта полноценный стандарт по сбору данных о посещении сайтов, который устроит и сторонников защиты ПД, и индустрию онлайн-рекламы, и политиков.

    Другие инициативы


    В американском Сенате рассматриваются ещё два предложения по регулированию сбора ПД.

    Автором первой инициативы стал сенатор от Орегона Рон Уайден (Ron Wyden). Он считает, что FTC должна разработать для ИТ-компаний стандарты по кибербезопасности. Также Уайден выступает за создание единого национального реестра граждан, которые отказались делиться своими персональными данными в онлайн-сервисах. За нарушение требований предполагаются серьезные наказания — штрафы для компаний в размере 4% от годовой выручки или тюремный срок в 10–20 лет для руководителей организации, ответственных за защиту данных.

    Вторую инициативу предложил сенатор от Вирджинии Марк Уорнер (Mark Warner). Он опубликовал документ, в котором предложил 20 перспективных способов регулирования сегмента ИТ. Например, разработать американский аналог GDPR, который определит порядок работы с ПД жителей страны.

    Законы по защите данных продвигают не только на федеральном уровне, но и в отдельных штатах. С 2020 года в Калифорнии вступит в силу California Consumer Privacy Act (CCPA). Он обяжет компании выдавать по требованию клиентов собранные о них сведения и список третьих лиц, которые имеют доступ к этим данным.

    Вывод


    Принятие нового закона по защите данных поддерживают представители обеих партий США. Более того, некоторые республиканцы полагают, что инициативу поддержат и граждане страны.

    Даже если законопроект об обязательном соблюдении DNT не примут, вопрос защиты персональных данных продолжат обсуждать в американском Сенате. Вероятнее всего, основой для новых законодательных инициатив и ориентиром для политиков станет GDPR.



    О чем мы пишем в нашем Telegram-канале:

    ИТ-ГРАД
    149.02
    vmware iaas provider
    Share post

    Comments 8

      0
      Уже сталкивался с таким на одном сайте. Мне предлагалось на выбор: либо отключить Do-Not-Track, либо покинуть сайт.
        0

        Как-то совсем уж грубо. Это где такое?

          0
          К сожалению, сайт не помню. Я бы не сказал, что это грубо, по крайней мере, мне честно сказали, что информация обо мне собирается в рекламных целях, и предложили сделать выбор, другие просто не спрашивают. В любом случае, идея не в этом: мне нужно было оформить Шенгенскую визу, и в визовом центре мне предложили заполнить согласие на обработку персональных данных или «вот бог — вот порог». Все эти законы, что с куками, что с треками бесполезны, так как у конечного пользователя просто нет выбора.
            0

            Ну, оно может и корректно с точки зрения честности, но читать плашку "дай собирать маркетинговые данные о себе или иди в жопу с сайта" — это всё же грубовато, даже если слова помягче. Хоть какую-никакую релевантную рекламу можно показать ведь и на основе поверхностных данных (IP и прочее)?

              0
              за «какую-нибудь» платят значительно меньше, чем за узко таргетированную.
                0

                Но всё равно что-нибудь да платят. А если попросить выйти с сайта — вообще ничего не заплатят :)

        0
        Do-Not-Track не защитит пользователя. Вне зависимости от законов нужно понимать, что если ты не предпринял специальных технических мер, страницы, на которые ты заходишь, что-то или кто-то может отслеживать. Чтобы зайти анонимно, лучше поюзать Tor — там вне зависимости от законов технически блокируется возможность отследить.

        Дополнительно непонятно что делать с недобросовестностью браузеров. По умолчанию значение Do-Not-Track должно быть null. Но Internet Explorer ставил его 1. Edge не знаю. Я вот, к примеру, не против, чтобы после ввода запроса мне появилась реклама об этом, так почему браузер ставит 1 тогда? Не против не всегда, иногда я не хочу, чтобы меня отслеживали, но тогда я использую Tor — только в этом случае я могу быть уверен в безопасности (это не 100% защита, но сложные или редкие утечки приватности мне нестрашны, не настолько сильно критично, чтобы переживать даже с Tor'ом).

        Кстати, мне вот не нравится наблюдение в обычных магазинах. Давайте узаконим возможность запрета на наблюдение. Это конечно хорошо для потребителей, но при принятии закона надо смотреть все аспекты — не всегда «хорошо для потребителя» значит «хорошо для всех» или «адекватный закон». К примеру, таргетирование рекламы позволяет жить многим сайтам (за счёт повышения заработка). И то, что заголовок по умолчанию заголовок установлен в null выгодно даже тем, кто осознанно его включает — любимый сайт могут проспонсировать другие пользователи.

        PS. В законе можно прописать слежение за адекватностью браузеров, но может возникнуть проблема в появлении популярного браузера, который маскируется под другие. Хотя скорее всего такого не будет.
          0

          Никто не говорил, что Do-Not-Track — панацея. Просто одно дело, когда его учитывают только единицы, другое же — если это стало законом и многие мало-малость известные корпорации обязаны с этим считаться. А за каждым хомяком (ух, 9 лет это слово не употреблял) никто бегать не будет.


          По поводу наблюдения в магазине — всё же это слежка за лицом на чужой территории, где можно товар просто так вот взять и стащить с полки; в свою очередь трекинг изучает поведение не в целях обезопаситься, а для маркетинга. Очень разные применения слежки.

        Only users with full accounts can post comments. Log in, please.