Может быть, не все знают. В интернете работает Консорциум Всемирной паутины (World Wide Web Consortium или W3C). Именно он разрабатывает принципы и стандарты, которые потом внедряют производители браузеров, аппаратуры и ПО. Так достигается совместимость между продуктами разных компаний. Интернет становится удобным и универсальным. Не приходится волноваться, что браузер или смартфон не сможет открывать какой-то сайт.
Форум W3C — один из самых увлекательных уголков интернета. Это онлайн-сообщество, где собираются люди, которые управляют Всемирной паутиной. Создатели крупнейших сайтов, разработчики браузеров, рекламщики, защитники конфиденциальности пользователей, ученые и так далее. Именно здесь главные разработчики таких компаний как Google и Apple представляют предложения по новым техническим стандартам. Остальная часть сообщества их обсуждает, и, если все пойдет хорошо, консорциум в конечном счете принимает новые правила, и они постепенно расходятся по всему интернету.
Сайт некоммерческой организации
Члены W3C принимают решения на основе консенсуса на публичных форумах, в GitHub и встречах Zoom с тщательно задокументированными протоколами. Постепенно создается редкий архив разговоров между некоторыми из самых секретных компаний мира, поскольку они открыто работают над новыми правилами для интернета.
Но в последнее время этот дух всеобщего сотрудничества упал. W3C стал ключевым полем битвы в войне за конфиденциальность в Сети. Последний год, вдали от внимания обычного потребителя или законодателей, люди, которые на самом деле управляют интернетом, собрались в этом небольшом сообществе инженеров и спорят о том, что такое конфиденциальность, как управлять данными пользователей, и какие стандарты нам нужно принять для будущего.
Две стороны
С одной стороны собрались инженеры, создающие браузеры в Apple, Google, Mozilla и Microsoft. Обычно эти компании — конкуренты, которые понимают конфиденциальность в интернете совершенно по-разному. Но все они слышали призыв государственных регуляторов и своих клиентов. И поэтому обращаются к W3C с просьбой разработать новые стандарты защиты данных, которые уберут методы отслеживания пользователей (причем, желательно, именно те, на которые полагаются другие компании).
Против них стоят компании, которые используют межсайтовый трекинг для повышения эффективности рекламы и оптимизации сайтов. Они борются за выживание своей индустрии. Сюда входят и небольшие фирмы, такие как 51Degrees, и гиганты индустрии, такие как Facebook.
Эти голоса — возможно, единственное, что мешает полностью адаптировать под себя интернет таким компаниям как Google, Apple и Microsoft. У которых, как говорят сторонники второго лагеря, уже и так вполне достаточно власти.
В то же время представители IT-гигантов утверждают, что W3C в своем текущем формате мешает браузерам разрабатывать новые важные средства для всех пользователей сети и мешает прогрессу. Пит Снайдер, директор по конфиденциальности в компании Brave, которая делает браузер с защитой от трекинга, об этом говорит:
Они используют циничные термины вроде: «Мы здесь, чтобы защитить выбор пользователя». Или «Мы хотим защитить открытую сеть». Такую откровенную чушь.
Что пугает Снайдера еще больше — новые участники консорциума не просто пытаются убрать стандарты, которые могут нанести ущерб их бизнесу, они предлагают новые, которые могут принести им миллиарды от таргетинга, усложнив работу всех конкурентов. «К счастью, на таком форуме, как W3C, люди достаточно умны, чтобы понимать, что есть что», — говорит он. — «К сожалению, наши законодатели — другое дело. Повторяется ситуация, как когда FCC пыталась ограничить скорость интернета для определенных сайтов. Или позволить провайдерам блокировать ресурсы по своему усмотрению. Это можно сделать и изнутри, через консорциум. Если заставить его принять те правила, которые тебе нужны».
Как решается будущее
В W3C несколько сотен открытых групп, работающих над разными проблемами
Около десяти лет назад W3C создала рабочую группу, чтобы превратить идею конфиденциальности и безопасности пользовательских данных в формальный стандарт. Цель тогда была в том, чтобы создать функцию Do Not Track, которая позволила бы пользователям отказаться от межсайтового отслеживания с помощью простого переключателя в своих браузерах.
В рабочую группу входили в том числе представители технологических гигантов, включая Yahoo, IBM и Microsoft. Но поскольку стандарты W3C являются добровольными, никто не несет никаких реальных обязательств. Браузеры могут посылать сигнал, указывающий, что пользователь не хочет, чтобы его отслеживали, но веб-сайты и компании, размещающие рекламу, не обязаны ему подчиняться.
Поэтому идея не прижилась. Экосистема её не поддержала. В Firefox, Opera, Safari, Chrome, Internet Explorer и Microsoft Edge переключатель Do Not Track теперь есть, его можно включить, но большинство сайтов просто не поддерживают этот стандарт (а зачем, если их никто не обязывает, и им это не выгодно?).
Правда, теперь, в 2021-м, ситуация слегка другая. Появились браузеры, заботящиеся о конфиденциальности, такие как Brave и DuckDuckGo. В этом месяце был запущен новый, платный поисковик Neeva — от разработчиков Google. Пользователи могут, если что, уйти к ним. Многие ключевые игроки, включая The Washington Post, New York Times и WordPress, теперь принимают сигнал (показывающий, что пользователи не хотят, чтобы их отслеживали), и отключают трекинг.
Кто-то в W3C предлагает доработать этот стандарт. Кто-то — работает над его альтернативами. Например, онлайн-рекламодателям очень нравится SWAN. Microsoft работает над Parakeet, у них прошла презентация в феврале этого года.
Но больше всего шансов сейчас у стандарта FLoC (Federated Learning of Cohorts, отслеживание по когортам), за которой горой стоит Google. Они сейчас активнее всего развернули кампанию на W3C. Ну и документ там очень внушительный, можете посмотреть по ссылке. В Google говорят:
Мы предоставляем Chrome миллиардам пользователей, поэтому мы несем огромную ответственность. Причина, по которой мы участвуем во многих обсуждениях в W3C, состоит в том, чтобы действительно убедиться, что это продуктивный диалог, и что эволюция сети действительно происходит открыто.
Идея Google состоит в том, чтобы объединять пользователей в группы как минимум по 1000 человек в каждой, основываясь на их предпочтениях. И уже эти группы продавать рекламодателям. То есть, если компания запускает, например, растительное молоко, и хочет найти себе веганов, она может запустить рекламу только для этой когорты. Но она не увидит информацию об индивидуальных пользователях. Получается, личные данные не утекают: они остаются только в тех сервисах, которым вы их доверили.
В общем, FLoC лишит рекламодателей возможности отслеживать поведение отдельных людей в Сети с помощью файлов cookie, а вместо этого разделит пользователей Chrome на группы в зависимости от посещаемых ими веб-сайтов.
Предложение Google вызвало негативную реакцию со стороны защитников конфиденциальности и тысяч рекламных компаний, которые полагаются на межсайтовый трекинг. Первые говорят, что по собранию интересов можно будет легко реконструировать личность конкретных людей. И что разделение людей на группы в зависимости от их вкусов по-прежнему будет способствовать дискриминационной рекламе.
Рекламные сети, тем временем, обвинили Google в попытке убить их компании и заняться накоплением пользовательских данных только для себя. Производители «конфиденциальных» браузеров — Vivaldi, Brave, DuckDuckGo — в целом отвергли внедрение FLoC. Хотя Google, с ее огромной долей рынка, об этом мало переживает. Кстати, о своей позиции и огромной опасности FLoC Brave подробно написала в своем блоге на Хабре.
Одна из проблем для индустрии состоит в том, что наличие членских взносов в консорциум W3C и серьезное время, которое требуется для обсуждения каждой поправки в каждый стандарт, делают так, что гигантские компании с тысячами сотрудников имеют преимущество. Они могут упаковывать группы обсуждения своими членами и выдвигать бесконечные предложения, забирающие время у других участников. Более мелкие компании или частные лица, работающие над этими вопросами неполный рабочий день, просто тонут в запросах.
Один из защитников конфиденциальности данных, который дал интервью на условиях анонимности, рассказывает:
Преимущество Google и Apple заключается не столько в количестве членов W3C, сколько в огромном размере команд, которые есть у них в этих проектах. Если у вас есть 20% рабочего времени двух человек, этого может хватить для разработки одного или двух предложений в квартал. Google же может отправлять новые спецификации каждую неделю. А это значит, их голос — громче всех остальных.
Например, 40 из 366 членов стратегической группы Improving Web Advertising, занимающейся разработкой стандартов для улучшения рекламы в сети, работают на Google. Еще по 8 представляют Facebook, Microsoft и Amazon.
Война слов
Джон Виландер, Робин Берджон и Эрик Андерссон
Разным разработчикам сложно даже согласиться на определении приватности и конфиденциальности, не говоря о более сложных вопросах. Фактором здесь становятся не только бизнес-интересы, но и представления человека об этике и морали.
Особенно жаркая перепалка разгорелась этой весной в ветке дискуссии о методе, называемом bounce tracking. Это прием, который некоторые компании используют для обхода запретов на отслеживание пользователей.
Джон Виландер, инженер по безопасности и конфиденциальности в Apple, хотел узнать мнение группы о том, как браузеры могут положить конец такой практике. Разговор привлек внимание Майкла Лысака, разработчика в рекламной компании Carbon, который выразил озабоченность по поводу того, как Apple отслеживает своих собственных пользователей, и назвал её методы неэтичными. Завязалась словесная перепалка и взаимные обвинения (насколько они вообще возможны на форуме гиков).
Подключились другие. Робин Берджон, автор New York Times, привел в пример пару исследований поведения пользователей, и написал: «Совершенно очевидно, что люди ожидают, что их браузеры будут защищать их данные». Лысак ответил на это собственным исследованием, в котором утверждалось обратное. Эрик Андерссон из Microsoft попросил вернуться к изначальному разговору. Но до обсуждения стандарта bounce tracking на этой неделе дело так и не дошло.
Судьба Facebook
Один из главных игроков рынка интернет-рекламы, Facebook, находится в уникально незавидной позиции. Компания полагается на стороннее отслеживание для продажи рекламы. Это основа ее бизнеса. Но она не может, сохраняя лицо, публично спорить с предложениями какой-либо другой компании в W3C — после своей, кажется, бесконечной череды скандалов, связанных с данными пользователей. Вместо этого Facebook сейчас сосредоточена на заключении мирных договоров. Чтобы никто не мешал ей собирать данные, которые она так ценит.
Среди IT-гигантов Facebook — единственный, у которого нет собственного браузера или собственной операционной системы. Поэтому у него нет реальной силы. Компания вынуждена полагаться на желания Google и Apple (а также, в меньшей степени, Microsoft).
В апреле главный операционный директор Facebook Шерил Сэндберг, по сути, признала это, заявив в ежеквартальном отчете о доходах компании, что Facebook работает с сообществом W3C над преодолением «сложных препятствий», связанных с обновлениями конфиденциальности мобильных устройств Apple.
По этому поводу у компаний в начале этого года шла целая PR-война. Но Apple всё-таки осталась непоколебима. С апреля, с релиза iOS 14.5, когда приложение впервые запрашивает доступ к IDFA (рекламному идентификатору), оно вынуждено попросить у пользователя разрешение. Так что человек может принять осознанное решение, доверяет ли он этому приложению свои данные. Facebook пока что нашла лазейку («одобренные» события, соответствующие требованиям Apple), но еще пара таких апдейтов — и бизнес-модель компании перестанет работать.
Поэтому в этом году Facebook выдвинула своего кандидата в совет W3C, а на недавней встрече вызвалась возглавить возможную рабочую группу по разработке технологий повышения конфиденциальности. В последние шесть месяцев они стали гораздо активнее участвовать в жизни консорциума, чтобы остановить угрозу для своего бизнеса со стороны Apple и Google.
Прожить на год дольше
Точку зрения Facebook поддерживает Джеймс Росвелл, участник W3C и основатель британской компании 51Degrees, занимающейся аналитикой данных. По его словам, браузерные компании имеют слишком большую власть над онлайн-сообществом. И они используют её, чтобы подавлять мнение остальных.
Джеймс обвиняет Apple в «стирании конфиденциальности». По его словам, компания хорошо продвигалась вперед в защите конфиденциальности третьих лиц, но потом получила большие деньги от Google, чтобы та размещала свою «мягко говоря, не очень приватную» поисковую систему на iPhone и iPad.
Google не платит [Apple] 12 миллиардов долларов в год только за размещение своей иконки внутри их телефона. Они делают это из-за данных, которые генерируются для них в результате такой сделки.
В январе 2020 года Google анонсировала свой план по повышению конфиденциальности в браузере Chrome путем избавления от сторонних файлов cookie (функция «Privacy Sandbox»). Это сломало бы инструменты, которые рекламные сети используют для отслеживания пользователей в интернете. За это группа MOW, объединяющая тысячи маркетинговых компаний, в том числе и ту, которой управляет Джеймс Росвелл, подали против Google жалобу в британский суд. Alphabet обвинили в попытках раздавить своих более мелких конкурентов, в то время как сама Google могла бы продолжать отслеживать пользователей. Регуляторы потребовали у IT-гиганта ответов.
В итоге в прошлом месяце Google анонсировала, что она отложит свои планы по уничтожению сторонних файлов cookie еще на год. Чтобы «дать разработчикам время найти лучший путь». Она также сказала, что после этого прекратит использовать историю просмотров своих пользователей для таргетинга и отслеживания рекламы. И не будет создавать «альтернативные идентификаторы» для замены файлов cookie.
«Отличная новость! Google не убьет свободный интернет в этом году», — написали в ответ MOW в своем пресс-релизе.
Для Джеймса Росвелла и многих других решение Google стало предсказуемым финалом драмы, которую они наблюдали внутри W3C. Которая, в свою очередь, является микрокосмом более широкой дискуссии, происходящей в странах по всему миру. Что делать с данными в интернете? Как защитить личность пользователей, не ухудшая таргетинг (который многим этим пользователям нравится)? Что делать с компаниями, которые переходят черту? И где находится эта черта?
В этом конкретном случае регулирующие органы поверили аргументам рекламной индустрии о том, что конфиденциальность и свободная конкуренция в интернете — взаимоисключающие понятия. Это, думают старожилы W3C, ошибочное мнение.
Ашкан Солтани, бывший главный технолог Федеральной торговой комиссии и соавтор Калифорнийского закона о конфиденциальности потребителей, крайне недоволен ситуацией с Google:
Регуляторы могли бы потребовать, чтобы никто не имел доступа к этим данным, включая Google. Что было бы чистым плюсом и для конкуренции, и для конфиденциальности. Вместо этого они теперь используют свою силу, чтобы заставить Google отложить изменения, которые могли бы сделать самый широко используемый браузер немного более приватным.
Более подробно история у Protocol.
P. S. Хотите отличную должность и крутую зарплату? Заходите в телеграм-бот getmatch. Указываете желаемую должность и зарплату — получаете актуальные предложения от топовых компаний. Удобно и без спама.