Blog IT, Blog Marketing

Brave oskarża Google o obchodzenie RODO. Czy to Cambridge Analytica na bis?

Brave oskarża Google o obchodzenie RODO. Czy to Cambridge Analytica na bis?

Maciej Olanicki , 04.09.2019 r.

John Ryan, pełniący w Brave stanowisko dyrektora ds. relacji branżowych, opublikował na stronie internetowej przeglądarki artykuł, który może zakończyć się skandalem na miarę Cambridge Analytica. Twórcy szybko zyskującego na popularności Brave’a, po zleceniu zewnętrznej ekspertyzy, pokazali dowody na to, że Google ma systemowo obchodzić regulacje stanowione przez ogólne rozporządzenie o ochronie danych.

Toksyczny Real-Time Bidding

Na podstawie analizy logów internetowych aktywności samego Ryana sporządzanej przez Zacha Edwardsa, niezależnego analityka zaangażowanego między innymi w kampanie wyborcze, twórcom Brave’a udało się ustalić, że Google najprawdopodobniej nadal pozwala na formę tzw. cookie matchingu. Jest to proces umożliwiający wzajemne przekazywanie sobie informacji o internautach pomiędzy reklamodawcami należącymi do jednej sieci reklamowej. Dzięki temu uzupełniają oni wzajemnie swoje bazy, tworząc kompletne, pseudonimizowane profile swoich użytkowników.

Proces ten zachodzi, aby optymalizować model Real-Time Bidding. Jest to realizowana między innymi przez Google metoda na aukcyjne wyprzedawanie powierzchni reklamowej na stronach internetowych. Wyświetlana jest ta reklama, której dostawca zapłaci Google najwięcej za jej wyświetlenie. Wszystko odbywa się na bieżąco i niemal natychmiastowo, gdyż cały proces jest dalece zautomatyzowany. Aby jednak reklamodawca chciał płacić więcej, musi mieć pewność, że jego reklama trafi na podatny grunt, tj. będzie dobrze dostosowana do konkretnego odbiorcy. Aby to określić, potrzebne są informacje o nim. Tu z pomocą przychodzi cookie matching – reklamodawcy nie tylko składają oferty, ale też za pośrednictwem Google wzajemnie informują się o gościach swoich witryn.

Takie praktyki były niegdyś standardem, jednak od 25 maja 2018 roku, a zatem od wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych, są w państwach Wspólnoty niezgodne z prawem. Samo Google deklarowało zresztą, że ograniczyło możliwości zautomatyzowanego zakupu powierzchni w modelu RTB, a także, że uniemożliwia reklamodawcom uczestniczącym w tego typu aukcjach identyfikowanie użytkowników. Twórcy Brave’a zadają jednak tym deklaracjom Google kłam. Według nich, korporacja wciąż umożliwia reklamodawcom zarówno wzajemne przekazywanie sobie informacji, jak i identyfikację po generowanych pseudonimach. Robić ma to jednak w nowy sposób, który omija regulacje.

Zobacz też: Privacy Sandbox – tragikomiczny pomysł Google na ochronę prywatności

Jakie są dowody?

Twórcy Brave’a twierdzą, że na podstawie analizy sporządzonej przez Zacha Edwardsa potwierdzono informacje, którymi dysponowano już we wrześniu zeszłego roku, tj. że Google wykorzystuje do identyfikacji tzw. Push Pages (nie mylić z powiadomieniami push). Nie stanowią one formy wspomnianego wcześniej bezpośredniego cookie matchingu, ale wciąż mają umożliwiać wymianę informacji o użytkownikach z wykorzystaniem mechanizmów omijających RODO. Aby to udowodnić, przeprowadzono eksperyment.

John Ryan przez godzinę surfował po Sieci za pośrednictwem przeglądarki Google Chrome. Nie posiadał na urządzeniu zapisanych żadnych danych logowania, ciasteczek czy nawet historii przeglądania, tabula rasa. Późniejsza analiza ruchu wykazała, że w logach widnieje szyfrowany identyfikator użytkownika, tzw. google_gid. Już po chwili google_gid Johna Ryana wykorzystywany był przez firmy trzecie podczas wyświetlania reklam w modelu RTB. W trakcie godziny przeglądania identyfikator został użyty 318 razy przez 10 reklamodawców.

Jak tego dokonano, skoro bezpośredni cookie matching jest niezgodny z prawem? Tu do akcji wchodzą wspomniane Push Pages. Są to tworzone automatycznie i przechowywane na serwerach Google pliki cookie_push.html, których generowanie także odnotowano w logach. Nietrudno już domyślić się, że URL-e prowadzące do stron push są unikatowe dla każdego google_gid i pozwalają na identyfikację użytkownika. Ale w trackie generowania cookie_push.html powstaje też kolejny identyfikator, google_push.

Pomiędzy google_gid a google_push zachodzi zasadnicza różnica: google_gid jest unikalny dla każdego reklamodawcy, który go otrzymuje, tj. pozwala identyfikować tylko tych użytkowników, których danymi dostawca reklam już dysponuje. Ale w przypadku google_push jest inaczej – według ustaleń twórców Brave’a, wielu reklamodawców stosowało do serwowania reklam w modelu RTB ten sam identyfikator google_push Johna Ryana. A to już pozwala im na wymianę, czyli nową formę cookie matchingu.

Zobacz też: Apple idzie w ślady Mozilli – WebKit będzie domyślnie blokował skrypty śledzące

Drugie Cambridge Analytica?

Szczegóły i zawiłości tego procesu zawarte są w dokumencie, jaki twórcy Brave’a dostarczyli Irlandzkiej Komisji ds. Ochrony Danych. Właściwej dla Google, gdyż za sprawą niegdysiejszego liberalizmu w zakresie ochrony danych osobowych (rzecz jasna starannie przez Dolinę Krzemową wylobbowanego), zarówno Google, jak i Facebook, posiadają serwerownie obsługujące Europejczyków właśnie na terytorium Irlandii. Opis mechanizmu ma według Brave’a stanowić dowód na to, że Google omija poniższe zapisy.

Artykuł 5, paragraf 1, punkt f ogólnego rozporządzenia o ochronie danych, który stanowi, że dane osobowe muszą być:

przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

A także artykuł 5, paragraf 1, punkt a i b ogólnego rozporządzenia o ochronie danych, który stanowi, że dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

O skali możliwych nadużyć niech poświadczą liczby. System Google DoubleClick/Authorized Buyers, umożliwiający kupno powierzchni reklamowych w modelu Real-Time Bidding, jest wykorzystywany przez 8,4 mln stron internetowych. W ciągu jednego dnia przekazują one dane o odwiedzających setki miliardów razy do ponad 2 tys. reklamodawców będących w sieci partnerskiej Google. Mowa o tak wrażliwych informacjach, jak poglądy polityczne, orientacja seksualna, kondycja zdrowotna, także psychiczna, a nawet lokalizacja. Według Ryana możemy mieć do czynienia z „największym wyciekiem danych osobowych ze wszystkich dotąd odnotowanych”.

Zobacz też: Blokowanie reklam w trybie turbo: nowy silnik Brave zrobi to 75 razy szybciej

Mid IT Recruiter

Warszawa
Aplikuj

Solution Engineer - Data Center Technologies 20000 - 24000 PLN

Ulm
Aplikuj

Senior .Net Programmer

Praca zdalna
Aplikuj

QA Manager

Warszawa
Aplikuj

Interactive/Experience Designer 11300 - 16600 PLN

Praca zdalna
Aplikuj

Najnowsze oferty pracy:

Senior .NET Developer - główne technologie

Senior .NET Developer

Umowa o pracę
Business Development Manager - główne technologie

Business Development Manager

B2B / Kontrakt
Business Development Manager - główne technologie

Business Development Manager

B2B / Kontrakt
Junior Rekruter - główne technologie

Junior Rekruter

Umowa zlecenie
Solution Engineer - Data Center Technologies - główne technologie

Solution Engineer - Data Center Technologies

Umowa o pracę

Polecane wpisy na blogu IT:

Czy pracodawcy płacą tyle, ile oczekują pracownicy? Wynagrodzenie w 2024 roku

Czy pracodawcy płacą tyle, ile oczekują pracownicy? Wynagrodzenie w 2024 roku

Jak odróżnić człowieka od wytworu AI?

Jak odróżnić człowieka od wytworu AI?

Czym się różni framework od biblioteki?

Czym się różni framework od biblioteki?

Co to jest prawo Moore'a?

Co to jest prawo Moore'a?

Macierz Eisenhowera – jak priorytetyzować zadania?

Macierz Eisenhowera – jak priorytetyzować zadania?

Brave kupuje wyszukiwarkę

Brave kupuje wyszukiwarkę

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej

W czym programujesz?

Popularne stanowiska

Praca w miastach