Переживаете, что хакерам известно о вас слишком много? Встречайте: брокеры данных. Чем бы вы ни пользовались — приложениями для знакомств, картами лояльности или услугами платных стоматологий — брокеры знают о ваших действиях и предпочтениях. Рассказываем, насколько это критично и есть ли на них управа.
Кто такие брокеры данных
Брокеры данных — компании, которые собирают ваши персональные данные и продают их третьим сторонам. К таким данным относятся пол, возраст, семейное положение, место проживания, интересы, онлайн-покупки и тд. Брокеры агрегируют эту информацию, составляют ваш портрет и относят его к различным пользовательским сегментам: владельцам кошек, фанатам Оксимирона и тд. На этом основании вам будет показываться реклама корма и билетов на концерт неподалеку от вас. Категории бывают намного менее нейтральными, например, «жертвы изнасилования» или «страдающие алкоголизмом».
Рынок продажи данных процветает. Стоимость персональных данных варьируется в зависимости от возраста, уровня дохода и этнической принадлежности. Дороже всего оценивались данные о здоровье — 250 долларов за запись, по сравнению с 31 центом за кредитную историю. (Не считая нелегальной продажи взломанных аккаунтов платежных систем типа Stripe и PayPal). Из медкарты можно извлечь много ценной информации, как персональных данных, так и историю болезней — кладезь для рекламодателей. Брокеры данных сотрудничают с рекламодателями, финансовыми и политическими организациями, институтами здравоохранения, сервисами по поиску людей и тд. Так, 97,8% прибыли Meta составляют доходы от рекламы, это почти 132 млрд долларов за 2023 год. Эффективность рекламы в значительной степени зависит от ее персонализированности.
Брокеры данных работают в непрозрачных и запутанных условиях, тесно переплетенных со множеством других акторов, что затрудняет законодательное регулирование. Формально, они не продают ваши данные. Они дают к ним доступ на ограниченный срок в определенных целях. Обычно среди этих целей — таргетированная реклама, проверка клиентов кредитными организациями и страховыми компаниями, обнаружение мошенничества и тд. Equifax, одно из крупнейших кредитных бюро США, также является брокером данных.
В большинстве юрисдикций не запрещено собирать информацию через открытые источники. Но законов именно о брокерах данных почти нет. В США, например, запрещена продажа персонализированных данных граждан странам-противникам (Китаю, Ирану, России, Северной Корее), в Калифорнии пользователи могут потребовать от брокера удаления личной информации. В целом же законодательство регламентирует общие принципы защиты данных. GDPR, DSA и DMA в Евросоюзе в большей степени фокусируются на защите цифровых прав пользователей, конфиденциальности и правилах обработки данных. В России федеральный закон N 152-ФЗ «О персональных данных» направлен на контроль операторов персональных данных государством.
Этот же 152-ФЗ регулирует деятельность операторов персональных данных. Их отличие от брокеров в том, что операторы не имеют права продавать данные (это может квалифицироваться как нарушение неприкосновенности частной жизни). Также, операторы не обязаны всегда обезличивать данные. Поскольку продажа данных не отрегулирована и даже самого термина «брокер данных» в законе нет, маркетинговые и другие агентства сами собирают и анализируют нужную им информацию. Такие IT-корпорации, как «Яндекс» и VK, собирающие множество данных о пользователях, продают не сами данные, а размещение рекламы. Но данные россиян получают зарубежные брокеры, даже если компания соблюдает закон о легализации.
В чем риски
Доступ к практически всем возможным данным дает брокерам власть, выходящую за рамки онлайн-поведения пользователей. Дело не только в утечках, что само по себе неприятно, и с учетом того, что утечь могут чувствительные данные, повысит риск мошенничеств. В апреле 2024 года в даркнете появилась база на 2,9 млрд записей персональных данных граждан Канады, Великобритании и США, которая продавалась за 3,5 млн долларов. По одному человеку могло быть несколько строк — электронная почта, номер социального страхования, адрес проживания и др. Источником утечки стал небольшой дата-брокер National Public Data.
Оказание дата-брокерских услуг политическим акторам или акторам, способным влиять на социальный контекст — тонкий лед с точки зрения этичности. Особенно когда работа с такими заказчиками выходит за рамки аналитических исследований. Кейс с Cambridge Analytica — лучшая иллюстрация этого: компания собирала данные пользователей Facebook без их ведома и использовала алгоритмы политического таргетинга. Эти алгоритмы определяли, какие пользователи имеют более конспирологическое мышление и готовы к жарким дискуссиям, а Cambridge Analytica затем провоцировала их через рекламу, статьи в фейковых группах и тд.
То, как брокеры анализируют и категоризируют собранные данные, может вызывать дискомфорт у пользователей, начиная от нерелевантной рекламы до дискриминации. Например, вы искали лекарство для больного дедушки, а потом эта реклама постоянно всплывает на сайтах, напоминая о тягостной ситуации. Если вас определят как женщину 24 лет, то могут начать бомбардировать рекламой товаров для беременных, а если пожилым мужчиной — препаратами от сердечно-сосудистых заболеваний и объявлениями о низкооплачиваемой работе. Но намного более серьезные проблемы могут возникнуть при продаже данных людей, испытывающих финансовые трудности, конторам по микрозайму.
Где брокеры собирают данные
Ограничений по сбору данных у брокеров почти нет (кроме мошеннических способов), и они добывают их из таких источников, как:
— Веб-трекеры: это часть кода сайта, который загружается при заходе посетителя на сайт и собирает о нем информацию. Один из видов трекеров — файлы cookie. В эти файлы записывается информация о ваших действиях на сайте, об устройстве, с которого вы его посещаете и тд. Сторонние файлы куки передают информацию о ваших предпочтениях третьим лицам, то есть сайтам, которые вы даже не посещали.
— Отпечаток браузера: уникальные свойства, присущие конкретному пользователю. Это настройки браузера, версия операционной системы, установленные плагины, часовой пояс, разрешение экрана — отпечаток браузера уникален, почти как отпечатки пальцев. На сайте инструмента от Electronic Frontier Foundation можно узнать, как трекеры видят ваш браузер.
— Открытые источники: соцсети, сайты по поиску работы, доски объявлений. Данные оттуда скрейпятся (собираются автоматически), так что информация о вас регулярно обновляется.
— Публичные реестры: базы избирателей, судебная статистика, базы ЗАГС и штрафов и др. Это напрямую не связано с онлайн-активностью людей и их предпочтениями, но важно для составления пользовательского портрета. Чем больше собрано информации о потенциальных покупателях и об их проблемах, тем более релевантные продукты и услуги им можно предложить.
— Сервисы и мобильные приложения. Через эти источники брокеры получают много разнообразной и приватной информации, такой как местоположение вашего дома и любимого кафе, с кем вы видитесь, как часто бываете в барах — помимо данных, которые производятся в самом приложении (например, ваши заказы в сервисе доставки еды и лайки). В политике конфиденциальности сервисов прописано, какие личные данные они собирают и как их используют, и кроме этого, приложения запрашивают доступ к вашей геопозиции, контактам, отслеживанию ваших действий в других приложениях и тд.
Обычно приложения передают брокерам данные через комплект программ для разработки (SDK, Software Development Kits), который брокеры могут предоставлять разработчикам бесплатно или даже доплачивать им, или через поведенческо-таргетированную рекламу.
— Покупка у других агрегаторов данных, например, у компаний розничной торговли. Брокеров очень интересует, какими товарами и услугами вы привыкли пользоваться.
— Данные использования кредитных карт. Mastercard позволяет компаниям получить такую информацию, как частота, объем, география, время проведения транзакций и тд, а также категории покупателей, сгруппированных по характеристикам шопинга: те, кто часто заказывают доставку еды, те, кто много тратят на быструю моду и тд. Покупательские привычки — бесценная информация: владея ей, к вам намного проще найти подход.
Как этому противостоять
Можно отправить запрос дата-брокерам через форму на сайте. Здесь собран длинный список брокеров с уточнением, есть ли опция потребовать удаления своих данных. Крупные брокеры обычно дают такую возможность: Epsilon позволяет узнать, какие персональные данные связаны с вами и потребовать их удаления, Oracle дает удалить данные, полученные из рекламных cookies, TransUnion может перестать продавать ваши личные данные, и тд.
The New York Times собрал подробный гайд Doxxing Yourself on the Internet о том, какая информация о вас есть в Интернете, и как ее удалить. На это, правда, уйдет много времени. Можно воспользоваться инструментом, который автоматически рассылает шаблонные письма брокерам вместо вас.
Есть компании, которые будут регулярно удалять ваши персональные данные за вас: Incogni, privacybee, DeleteMe. Это стоит от 90 долларов в год, цены доходят и до 200 долларов. Проверить, насколько анти-брокерские сервисы или сами брокеры добросовестно выполнили запрос, будет сложно. Впрочем, пользователи, которые прибегали к услугам таких сервисов, не нашли себя в той апрельской утечке National Public Data.
Даже если брокер честно удалит ваши персональные данные, ему ничто не помешает собрать их снова через несколько месяцев. Поэтому следить за своей приватностью онлайн — хорошая практика. В этом помогут такие привычки и инструменты, как:
— Отключение персонализированной рекламы. Реклама на основе просмотров видео, поисковых запросов, часового пояса и тд. все равно будет показываться, но рекламодатели не получат ваши личные данные. Узнать, как вас видит Google, можно в Центре управления рекламой в вашем аккаунте. Так, Google при включенной персонализации считает, что авторка этого текста интересуется социальными сетями и интернет-сообществами (в целом похоже), ноутбуками (сомнительно, но окэй) и автотранспортными средствами (вообще мимо).
— Установка расширения, которое блокирует рекламу и трекеры: Privacy Badger, AdBlock, Disconnect. Они запрещают рекламные баннеры и всплывающие окна, отслеживающие трекеры, скрывают от сайтов, по каким ссылкам вы переходите, и повышают скорость загрузки страниц.
— Настройка конфиденциальности браузера. В Chrome это «Настройки» → «Конфиденциальность и безопасность» → заблокировать сторонние файлы cookie, отключить оценку эффективности рекламы, а также проверить разрешения для сайтов. В Safari — «Настройки» → «Конфиденциальность», поставить галочки в «Предотвращать перекрестное отслеживание» и «Скрывать IP-адрес от трекеров». Меньше всего данных о вас собирают такие браузеры, как Brave, DuckDuckGo (теперь у них есть и браузер), Mozilla Firefox и Tor.
— Режим «инкогнито». Не стопроцентная защита, но лучше, чем без нее. Изначально он предназначался для сокрытия вашей деятельности в интернете от других пользователей компьютера, но от дата-брокеров и поставщиков рекламы он тоже помогает. В этом режиме на ваш компьютер не сохраняются куки и данные сайтов, а значит, рекламодатели не узнает о ваших предпочтениях. Сохраняются только сессионные куки, которые удалятся после закрытия всех окон в «инкогнито». Правда, ваш IP все равно будет отслеживаться, а для совершения покупок в онлайн-магазинах часто приходится логиниться, и тогда веб-сайт легко свяжет вашу активность в приватном режиме с вашим профилем в обычном режиме.
— Настройка разрешений для приложений. «Конфиденциальность и безопасность» → «Отслеживание» и доступ приложений к функциям на iPhone, «Конфиденциальность» и «Диспетчер разрешений» на Android. По возможности, лучше лишить максимально много приложений доступа к камере, контактам, спискам дел и тд.
— Настройка видимости профиля в социальных сетях. Если вы закроете ваши соцсети, скрейперам дата-брокеров будет сложно получить информацию, которую вы о себе указали. Правда, они могли получить ее до того, как вы сделали аккаунт приватным.
— Старайтесь не участвовать в призовых онлайн-опросах и розыгрышах: зачастую в условиях участия прописано, что пользователь дает согласие на передачу самых разнообразных данных.
Иногда советуют чистить куки («Удалить данные о работе в браузере» в Chrome, «Управлять данными веб-сайтов» в Safari), но это решение с ограниченной эффективностью. Во-первых, куки снова сохранятся на вашем устройстве при повторном посещении сайта. Во-вторых, сайты полагаются не только на куки, чтобы вас идентифицировать, а в том числе и на отпечатки браузера. В-третьих, вам придется заново входить в свои аккаунты, так как сессии прервутся, что не всегда удобно.
Источники
What Is a Data Broker? | McAfee Blog
Definition of Data Broker — IT Glossary | Gartner
What is a data broker (information broker)? | Definition from TechTarget
Do Not Track | Electronic Frontier Foundation
Data Brokers: Everything You Need to Know
Data Brokers and European Digital Legislation
Leaked Document Shows How Big Companies Buy Credit Card Data on Millions of Americans
