John Ryan, pełniący w Brave stanowisko dyrektora ds. relacji branżowych, opublikował na stronie internetowej przeglądarki artykuł, który może zakończyć się skandalem na miarę Cambridge Analytica. Twórcy szybko zyskującego na popularności Brave’a, po zleceniu zewnętrznej ekspertyzy, pokazali dowody na to, że Google ma systemowo obchodzić regulacje stanowione przez ogólne rozporządzenie o ochronie danych.
Toksyczny Real-Time Bidding
Na podstawie analizy logów internetowych aktywności samego Ryana sporządzanej przez Zacha Edwardsa, niezależnego analityka zaangażowanego między innymi w kampanie wyborcze, twórcom Brave’a udało się ustalić, że Google najprawdopodobniej nadal pozwala na formę tzw. cookie matchingu. Jest to proces umożliwiający wzajemne przekazywanie sobie informacji o internautach pomiędzy reklamodawcami należącymi do jednej sieci reklamowej. Dzięki temu uzupełniają oni wzajemnie swoje bazy, tworząc kompletne, pseudonimizowane profile swoich użytkowników.
Proces ten zachodzi, aby optymalizować model Real-Time Bidding. Jest to realizowana między innymi przez Google metoda na aukcyjne wyprzedawanie powierzchni reklamowej na stronach internetowych. Wyświetlana jest ta reklama, której dostawca zapłaci Google najwięcej za jej wyświetlenie. Wszystko odbywa się na bieżąco i niemal natychmiastowo, gdyż cały proces jest dalece zautomatyzowany. Aby jednak reklamodawca chciał płacić więcej, musi mieć pewność, że jego reklama trafi na podatny grunt, tj. będzie dobrze dostosowana do konkretnego odbiorcy. Aby to określić, potrzebne są informacje o nim. Tu z pomocą przychodzi cookie matching – reklamodawcy nie tylko składają oferty, ale też za pośrednictwem Google wzajemnie informują się o gościach swoich witryn.
Takie praktyki były niegdyś standardem, jednak od 25 maja 2018 roku, a zatem od wejścia w życie ogólnego rozporządzenia o ochronie danych osobowych, są w państwach Wspólnoty niezgodne z prawem. Samo Google deklarowało zresztą, że ograniczyło możliwości zautomatyzowanego zakupu powierzchni w modelu RTB, a także, że uniemożliwia reklamodawcom uczestniczącym w tego typu aukcjach identyfikowanie użytkowników. Twórcy Brave’a zadają jednak tym deklaracjom Google kłam. Według nich, korporacja wciąż umożliwia reklamodawcom zarówno wzajemne przekazywanie sobie informacji, jak i identyfikację po generowanych pseudonimach. Robić ma to jednak w nowy sposób, który omija regulacje.
Zobacz też: Privacy Sandbox – tragikomiczny pomysł Google na ochronę prywatności
Jakie są dowody?
Twórcy Brave’a twierdzą, że na podstawie analizy sporządzonej przez Zacha Edwardsa potwierdzono informacje, którymi dysponowano już we wrześniu zeszłego roku, tj. że Google wykorzystuje do identyfikacji tzw. Push Pages (nie mylić z powiadomieniami push). Nie stanowią one formy wspomnianego wcześniej bezpośredniego cookie matchingu, ale wciąż mają umożliwiać wymianę informacji o użytkownikach z wykorzystaniem mechanizmów omijających RODO. Aby to udowodnić, przeprowadzono eksperyment.
John Ryan przez godzinę surfował po Sieci za pośrednictwem przeglądarki Google Chrome. Nie posiadał na urządzeniu zapisanych żadnych danych logowania, ciasteczek czy nawet historii przeglądania, tabula rasa. Późniejsza analiza ruchu wykazała, że w logach widnieje szyfrowany identyfikator użytkownika, tzw. google_gid. Już po chwili google_gid Johna Ryana wykorzystywany był przez firmy trzecie podczas wyświetlania reklam w modelu RTB. W trakcie godziny przeglądania identyfikator został użyty 318 razy przez 10 reklamodawców.
Jak tego dokonano, skoro bezpośredni cookie matching jest niezgodny z prawem? Tu do akcji wchodzą wspomniane Push Pages. Są to tworzone automatycznie i przechowywane na serwerach Google pliki cookie_push.html, których generowanie także odnotowano w logach. Nietrudno już domyślić się, że URL-e prowadzące do stron push są unikatowe dla każdego google_gid i pozwalają na identyfikację użytkownika. Ale w trackie generowania cookie_push.html powstaje też kolejny identyfikator, google_push.
Pomiędzy google_gid a google_push zachodzi zasadnicza różnica: google_gid jest unikalny dla każdego reklamodawcy, który go otrzymuje, tj. pozwala identyfikować tylko tych użytkowników, których danymi dostawca reklam już dysponuje. Ale w przypadku google_push jest inaczej – według ustaleń twórców Brave’a, wielu reklamodawców stosowało do serwowania reklam w modelu RTB ten sam identyfikator google_push Johna Ryana. A to już pozwala im na wymianę, czyli nową formę cookie matchingu.
Zobacz też: Apple idzie w ślady Mozilli – WebKit będzie domyślnie blokował skrypty śledzące
Drugie Cambridge Analytica?
Szczegóły i zawiłości tego procesu zawarte są w dokumencie, jaki twórcy Brave’a dostarczyli Irlandzkiej Komisji ds. Ochrony Danych. Właściwej dla Google, gdyż za sprawą niegdysiejszego liberalizmu w zakresie ochrony danych osobowych (rzecz jasna starannie przez Dolinę Krzemową wylobbowanego), zarówno Google, jak i Facebook, posiadają serwerownie obsługujące Europejczyków właśnie na terytorium Irlandii. Opis mechanizmu ma według Brave’a stanowić dowód na to, że Google omija poniższe zapisy.
Artykuł 5, paragraf 1, punkt f ogólnego rozporządzenia o ochronie danych, który stanowi, że dane osobowe muszą być:
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
A także artykuł 5, paragraf 1, punkt a i b ogólnego rozporządzenia o ochronie danych, który stanowi, że dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
O skali możliwych nadużyć niech poświadczą liczby. System Google DoubleClick/Authorized Buyers, umożliwiający kupno powierzchni reklamowych w modelu Real-Time Bidding, jest wykorzystywany przez 8,4 mln stron internetowych. W ciągu jednego dnia przekazują one dane o odwiedzających setki miliardów razy do ponad 2 tys. reklamodawców będących w sieci partnerskiej Google. Mowa o tak wrażliwych informacjach, jak poglądy polityczne, orientacja seksualna, kondycja zdrowotna, także psychiczna, a nawet lokalizacja. Według Ryana możemy mieć do czynienia z „największym wyciekiem danych osobowych ze wszystkich dotąd odnotowanych”.
Zobacz też: Blokowanie reklam w trybie turbo: nowy silnik Brave zrobi to 75 razy szybciej