Ne spremljata vas le Google in Facebook

Objavljeno: 24.12.2019 | Avtor: Matej Huš | Kategorija: Dosje | Revija: Januar 2020

Četudi nismo nikoli slišali zanje, nekatera ameriška podjetja vedo, koliko smo stari, kaj nas zanima, kje delamo in katere spletne strani obiskujemo. Te podatke prodajajo oglaševalcem, ki z veseljem strežejo ciljane oglase. Edina rešitev je izklop piškotkov, ob čemer pa polovica spleta neha normalno delovati. Do sistemske rešitve, ki je ni na vidiku, smo prepuščeni sami sebi.

Na službenem računalniku sem na StackExchangeu 16. julija ob 14.45 bral, koliko znaša pH raztopine 1 M glicerola v vodi. Uporabljal sem Firefox 68 na Windows NT 10.0. Internetno povezavo je zagotavljal Arnes, fizično pa sem bil na območju poštne številke 1000 z IP naslovom 194.249.xxx.xxx. Dva tedna pozneje, 31. julija, sem na istem računalniku ob 8.14 bral forumsko debato, kako skonvergirati račune v Gaussianu. Moj brskalnik varuje protivirusni program Kaspersky, računalnik pa je del domene.

Te podatke bi lahko dobil iz zgodovine brskanja na mojem računalniku, a poslali so mi jih iz podjetja Quantcast. Trajalo je dober mesec od moje zahteve, nato pa sem dobil slab megabajt veliko datoteko z vsem, kar to ameriško podjetje ve o meni. Podatki, ki jih pošlje Quantcast, so lepo strukturirani v tabelarični obliki v petih datotekah CSV (audience-grid, audience-link, demographics-data, historystore in keebler). Na podlagi zgodovine brskanja so me uvrstili v demografske kategorije »moški«, »Slovenija« in »18–24 let starosti« (hvala, Quantcast). Področja, ki me zanimajo, so »zabavna elektronika«, »strojna oprema«, »IT-odločevalec«, »varnost«, moja pozicija »nevodstvena«, v »velikem podjetju« z milijardo prihodkov. Niso zadeli vsega, pa vendarle z vidika profiliranja za namene oglaševanja njihove oznake niso slabe.

Piškotki in druge drobtinice

Quantcast za sledenje uporabnikom uporablja oznake (tags), SDK (software development kits) in piškotke (cookies). Oznake so drobec kode, ki jo vstavi spletna stran, da lahko Quantcast analizira njene obiskovalce. V brskalnik obiskovalcev podtaknejo piškotek, ki omogoča enolično prepoznavo obiskovalca vsakokrat znova in tudi na drugih straneh. Piškotki se delijo na tiste, ki jih ustvari obiskana spletna stran (first-party), in druge, ki jih ustvarijo partnerji spletne strani (third-party). Lahko potečejo po koncu obiska (session cookie) ali pa vztrajajo do izbrisa oziroma pri Quantcastu največ 13 mesecev (persistent cookies). Na mobilnih napravah, kjer v glavnem uporabljamo aplikacije, lahko njihovi avtorji za enako funkcionalnost vanje vgradijo SDK.

Čeprav so po evropski zakonodaji podatki, ki jih zbere Quantcast, osebni podatki, poskrbijo, da partnerji ne morejo identificirati obiskovalcev. Naročniki storitev dobijo le anonimizirane, agregirane podatke. Quantcast namreč nudi dve storitvi: ciljano oglaševanje (Quantcast Advertise) in analitiko obiskovalcev (Quantcast Measure)

Preden sem zahteval te podatke, nikoli nisem bil na spletni strani podjetja Quantcast. V resnici sploh nisem vedel, da to podjetje obstaja, dokler nisem prebral članka o njegovem delovanju. Dobro pa ga je poznal moj brskalnik, saj številne spletne strani uporabljajo njihove piškotke oziroma analitiko. Izvorna koda StackExchangea vsebuje majhno piko, ki tiči na Quantcastovih strežnikih (pixel.quantserve.com/pixel) in jo brskalnik ob vsakem obisku vestno naloži. Seveda uporablja tudi Googlovo analitiko. Takšnih strani je še cel kup, denimo Urban Dictionary, Android Authority, Forbes, PC World itd. Z vsakim obiskom teh strani dobi Quantcast drobec več informacij o obiskovalcu, iz česar marljivo gradi njegov profil.

Vpogled v podatke, ki jih Quantcast pozna o nas, lahko zahtevamo z izpolnitvijo formularja, ki pa je dobro skrit. Na dnu spletne strani je povezava Privacy Policy, kjer med gostobesednim pravniškim besedičenjem najdemo tudi povezavo do formularja. Po izpolnitvi kratkega formularja, v katerega ni treba vnesti nobenih osebnih podatkov, dobimo dolgo povezavo, na kateri bo Quantcast v roku enega meseca pripravil izpis podatkov, ki jih ima. In res, trajalo je 29 dni, da je povezava oživela. Morda računajo na to, da bodo ljudje tako in tako pozabili ali izgubili točno hiperpovezavo. Kakorkoli, glede na dolgo obdobje sem pričakoval več, a tudi slab megabajt besedilnih datotek ni malo.

Quantcast ima na svoji strani zakopan formular za dostop do lastnih osebnih podatkov.

Nekoliko niže je tudi možnost izstopa (opt out). Zanimivo, čeprav nisem v resnici nikoli vstopil, moram izstopiti. Še več, izstop se zabeleži z namestitvijo trajnega zunanjega piškotka (third-party) v brskalnik, kar je treba narediti na vsaki napravi posebej in po vsakem brisanju piškotkov znova. Quantcast omogoča, da se odpovemo njegovemu sledenju ali pa izstopimo iz celotnega oglaševalskega omrežja NAI (Network Advertising Initiative) ali DAA (Digital Advertising Alliance). V Evropi imamo možnost uporabiti tudi EDAA (European Interactive Digital Advertising Alliance – www.youronlinechoices.com).

Pri Quantcastu lahko izstopimo iz profiliranja, za kar nam na računalnik shrani trajni piškotek, ki nosi to informacijo.

Množično sledenje

In prav obisk strani NAI, DAA ali EDAA najbolj nazorno pokaže, da Quantcast še zdaleč ni edino podjetje, ki beleži naše početje na internetu. Tovrstnih prodajalcev profilov je več, cilj vseh pa je oglaševalcem nuditi čim bolj ciljano oglaševanje tako z vidika demografije kakor interesov uporabnikov. Raziskave in izkušnje kažejo, da imajo oglasi bistveno večji učinek, če jih prikazujemo izbrani podskupini obiskovalcev strani. Mladi moški kupujejo drugačne stvari kakor novopečene mamice ali upokojenci. Pri tem ni nujno, da se omejimo na statične demografske skupine. Kdor si ogleduje vozovnice za Stockholm, bo verjetno odpotoval tja ali pa si vsaj želi. Nekaj časa mu bodo zato algoritmi prikazovali reklame, ki so povezane s švedsko prestolnico, od prenočišč in rent-a-cara do družabnih aktivnosti in večerij.

Spletno stran Your Online Choices, ki je na voljo tudi v slovenščini, upravlja Evropska zveza za interaktivno digitalno oglaševanje (EDAA). Na strani najdemo kopico informacij o sledenju na internetu in uporabi piškotkov, kar je nujno potrebno za vedenjsko oglaševanje. Glavna funkcionalnost strani je podstran Vaše izbire (www.youronlinechoices.com/sl/your-ad-choices), kjer stran prečeše vse piškotke na računalniku in prikaže, katera podjetja zbirajo podatke o nas. Pri mojem zadnjem preverjanju jih je bilo več kot sto in od teh jih je približno polovica tudi podtaknila svoj piškotek na računalnik. Na spletni strani lahko na enem mestu izklopimo kar vse. Naslednji preizkus res pokaže, da je sledenje izklopljeno, a brisanje piškotkov v brskalniku nastavitve ponastavi …

Na spletni strani Your Online Choices se lahko izpišemo iz sledenja in profiliranja več ponudnikov.

Na globalni ravni sta podobni orodji iniciativa NAI (optout.networkadvertising.org) in samoomejevalni program DAA (optout.aboutads.info). V DAA sodeluje 135 podjetij, v IBA pa 84. Tudi ta dva programa omogočata, da na spletni strani na enem mestu preverimo, kateri ponudniki nam sledijo z namenom nudenja personaliziranih oglasov, ter da se izpišemo iz tega početja (opt-out). Osebno mi je izpis uspel le iz manjšega števila podjetij, pri ostalih pa je program javil tehnično napako.

Ob tem se moramo zavedati tudi, da so vse to prostovoljna združenja, kjer podjetjem verjamemo na besedo, da nam ob izpisu ne bodo več sledila – dokler pač ne pobrišemo piškotkov in ne postanemo »novi človek«.

Saj ste se strinjali

Zgoraj omenjeni Quantcast je zgolj eden izmed stotnije podjetij, ki spremljajo vedenjske vzorce uporabnikov na internetu. Podjetja trdijo, da imajo za vsak kos zbranih podatkov dovoljenje in soglasje uporabnikov. To v resnici celo drži, saj nas v EU spletne strani bombardirajo z obvestili, da za normalno uporabo potrebujejo piškotke, pa če je to res ali ne. Vsakokrat, ko kliknemo Se strinjam ali V redu, ne da bi dejansko prebrali obvestilo, dajemo stranem dovoljenje za podtaknitev piškotkov na računalnik. Mnogokrat je mogoče izbrati zgolj nujne piškotke, pa zaradi lenobe tega skoraj nihče ne stori.

DPR sicer zahteva, da so ta soglasja prostovoljna, informirana, specifična in nedvoumna, kar v praksi po mnenju številnih organizacij za varstvo zasebnosti ne drži. Če strani ni mogoče normalno uporabljati brez sprejetja piškotkov, potem soglasje za njihovo namestitev ne more biti prostovoljno. Prav tako soglasja niso informirana, ker pogosto njihov namen ni jasno zapisan ali pa to najdemo šele v drobnem tisku. Pogosto je tudi sama grafična podoba zavajajoča, saj je gumb Se strinjam velik in po možnosti zeleno obarvan, gumb za zavrnitev pa majhen, nevpadljiv, rdeč ali celo skrit na podstrani, do katere pridemo po kliku na Več informacij, pa četudi stran brez piškotkov deluje povsem normalno.

Rezultat je pričakovan. Quantcast svojim naročnikom (oglaševalcem!) oglašuje 90-odstotno konverzijo, toliko odstotkov obiskovalcev strani torej sprejme piškotke. Naročniki Quantcasta in sorodnih podjetij so seveda oglaševalci, ki imajo diametralno nasprotne interese od uporabnikov. Želijo izvedeti čim več in jim prikazovati čim bolj personalizirane oglase. To v resnici ni nič novega, saj podjetja to počno že desetletja, internet jim je to le olajšal in omogoča za velikostne razrede učinkovitejše profiliranje. Axicom, še eno veliko podjetje za profiliranje, je v letnem poročilu navedel, da imajo podatke o navadah 700 milijonov unikatnih uporabnikov na svetu.

Hvala za majhnost

V opisu podatkovnih kategorij, ki jih k izpisom iz zbirke priloži Quantcast, so določeni parametri omejeni na Veliko Britanijo, ZDA, Nemčijo, Francijo in Avstralijo. Uporabnike od tam profilirajo tudi glede na izobrazbo, prihodke in število otrok v gospodinjstvu. Pričevanja uporabnikov na spletu kažejo, da so pri tem zelo natančni, saj pravilno določijo število otrok in precej natančno ocenijo letne prihodke gospodinjstva. Medtem ko je zbirka mojih podatkov tehtala manj kot megabajt, tuji uporabniki poročajo o več tisoč vrsticah podrobnih opisov spletnih navad. Tu je vse, od obiskanih strani do prebranih člankov in kupljenih izdelkov.

Quantcast beleži, kaj počnemo na spletu.

V Sloveniji imamo srečo, da smo premajhen trg, da bi se zelo podrobna analitika izplačala, hkrati pa je naša kupna moč manjša kakor v najrazvitejših državah. Po eni strani to pomeni, da številni izdelki k nam zamudijo, sploh ne pridejo (kje si Google Pay?) ali pa so močno okleščeni (slovenski Netflix je slaba šala). Hkrati pa nas majhnost vsaj malce varuje pred vdorom v zasebnost. Ne, ker bi bilo tehnično kaj težje, temveč preprosto, ker se ne izplača. Za zdaj.

Seveda to ne pomeni, da v Sloveniji ni ciljanega oglaševanja. Morda oglaševalci še ne morejo ugotoviti, kolikšno plačo ima posamezen obiskovalec spletne strani, a vseeno poskušajo prikazati relevantne oglase. V praksi to pomeni, da po nakupu pnevmatik še en mesec gledam reklame za zimske gume (četudi sem v resnici iskal in kupil letne), kakor da bi skrbel za vozni park našega največjega logista, ne pa vozil 15 let starega avtomobila.

Problem je sistemski

Ob izbruhu afere Cambridge Analytica v začetku leta 2018, ko smo izvedeli, kako množično Facebook zbira podatke o uporabnikih in jih vsepovprek prodaja naokoli, smo dobili napačen vtis. Ne gre za lahkomiselnost uporabnikov, ki dajejo svoje osebne podatke na Facebooku, in zavržna dejanja posameznih podjetij. Problem je sistemski.

Tudi zgolj pri brskanju po spletu, ne da bi kamorkoli vpisovali kakršnekoli osebne podatke, puščamo za seboj sled informacij. Samo dejstvo, da ima naš računalnik določen IP in programsko opremo, so podatki, ki jih ne moremo skriti. Zgodovina brskanja pa je povedna že sama po sebi. Tudi dosledno brisanje piškotkov ali njihova blokada ni rešitev, ker nekatere strani na ta način ne delujejo, druge pa postanejo le še napol uporabne. Pa še vsakokrat nergajo z dovoljenjem za vklop piškotkov in slej ko prej se obiskovalec spozabi in jih odobri.

GDPR je leta 2018 prinesel bistveno strožjo regulativo, ki pa se je podjetja še ne držijo povsem. Tudi večjih kazni EU še ni izrekel za kršitve na področju piškotkov in sledenja uporabnikov. Ne moremo pričakovati, da bodo uporabniki interneta samoiniciativno reševali ta problem, da bodo blokirali piškotke, dosledno klikali Ne sprejmem ali bojkotirali vsiljive spletne strani.

Problem morajo rešiti podjetja, ki ga sama od sebe seveda ne bodo. K temu jih bodo morali spodbosti zakonodajalci in organi pregona. Organizacije za varstvo zasebnosti, denimo Privacy International, so že začele vlagati pritožbe in prijave proti podjetjem, ki sledijo uporabnikom. Danes so to namreč zgolj spletne navede in ciljani oglasi, kaj pa, če v prihodnosti k temu priključijo še kreditno bonitetno oceno, napredovanja v službi, možnost nakupa letalskih vozovnic in rezervacij počitnic? Na Kitajskem je to že resničnost.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki