Azzal mára mindenkinek tisztában kell lennie, hogy amit az interneten csinál, annak nyoma marad, és talán már az is a fejekbe vésődött, hogy a weboldalak és appok által begyűjtött érzékeny személyes adatokhoz – elvben hirdetési célok miatt – rengeteg cég hozzáférhet. Gyanús, hogy ez nincs feltétlenül rendjén, de az már homályosabb, hogy a jog szerint megengedhető-e ez az adathalászat.

Az Európai Szövetség a Szabadságjogokért (Liberties) szerint nem. A szervezet legújabb kampányában arra hívja fel az Európai Unió tagállamainak adatvédelmi hatóságainak figyelmét, hogy friss kutatások szerint egyes népszerű alkalmazások (játékok, társkereső appok, menstruációs naptárak) hirdetési célú profilalkotási gyakorlata nemcsak az uniós adatvédelmi rendelettel (GDPR) ütközik, de a felhasználók diszkrimináció vagy manipuláció áldozatai is lehetnek, vagy sokkal komolyabb bajba is kerülhetnek.

„A mobiltelefon-használóknak esélyük sincs érdemben megvédeni magukat az adataik kihasználásának, valamint a kereskedelmi célú megfigyelésnek a következményeivel szemben” – figyelmeztetett Reich Orsolya, a Liberties vezető adatvédelmi munkatársa, hozzátéve, hogy ezek a következmények akár fizikai veszélybe is sodorhatják az embereket. Példaként említik, hogy az egyiptomi rendőrség a Grindr nevű meleg társkereső alkalmazás segítségével talált meg és tartóztatott le meleg személyeket.

„Ha több száz vállalat értesül az ilyen alkalmazások felhasználóinak hollétéről, egy is elég ahhoz, hogy fizikai veszélynek tegye ki őket.”

Gyerekjátékok, vallási kalauzok és menstruációs naptárak árulják el az embert

„Az online hirdetési ipar sok szereplője gyűjt rólunk információkat számos helyről, például a böngészőnkből, a csatlakoztatott eszközökről és a közösségi médiából. Ebből az adathalmazból szépen kirajzolódik egy komplett jellemrajz, amelyből kiderül, hogy mit csinálunk a mindennapokban, mik a titkos vágyaink” – állítja a Norvég Fogyasztói Tanács, amely a Mnemonic nevű kiberbiztonsági céggel dolgozott együtt a kutatás során.

Bár a tanulmányban leírják, hogy a hirdetéstechnológiai ipar a weboldalaktól kezdve az okoseszközökön át a mobilappokig több platformot is használ, a kutatásban csak az utóbbiakra koncentráltak. Az Android rendszeren vizsgált tíz app között között voltak társkeresők (Tinder, OkCupid, Grindr, Happn), menstruációs naptárak (My Days, Clue), egy szépítő app (Perfect365), egy muszlim információs asszisztens (Muslim), egy gyerekjáték (My Talking Tom 2) és egy billentyűzetdizájner (Wave Keyboard) is.

A tíz alkalmazás összesen legalább 135 olyan harmadik félnek továbbította a felhasználók adatait, amelyek hirdetési célú profilalkotásra használták azokat, a felhasználók tudta nélkül. Az adatok között GPS-helyadatok, IP-címek, személyes információk (nem, szexuális és politikai irányultság, kábítószer-használat) és a telefonos tevékenységekre vonatkozó adatok is találhatók. A Facebook hirdetési platformjához tízből kilenc apptól kerültek adatok, míg a Google-féle DoubleClickhez tízből nyolctól.

Ki mit tud?

Mivel a napi szinten fogyasztott digitális tartalmakért javarészt nem szokás pénzzel fizetni, a platformok (weboldalak, appok) hirdetésekből élnek, így az a céljuk, hogy minél több pénzért el tudják adni a hirdetési helyeket. Ezek akkor válnak igazán értékessé, ha a hirdetőnek sikerül elérnie rajtuk keresztül a célközönségét, ezért a platformok engedik, hogy a velük megosztott felhasználói adatokhoz a hirdetők is hozzáférjenek.

És itt nem csak a regisztrációnál egyszer megadott adatokra kell gondolni. Ma leginkább az app telepítésénél elfogadott jogosultságokra kell figyelni, itt dől el, milyen adatokhoz kér hozzáférést az alkalmazás – weboldalak esetében pedig részletesen kell közölni azok listáját, akik hozzáférhetnek a felhasználói adatokhoz. A GDPR életbe lépése óta ráadásul ezeket még jobban kell hangsúlyozni, ezért lepték el az internetet az adatvédelmi beállításokkal tolakodó felugró ablakok.

Egy-egy oldal felkeresésekor vagy app telepítése során az adott készülékre olyan fájlok települnek, amelyek hozzáférést biztosítanak az internetes és mobilos tevékenységekhez, így a jogosult cégek profilalkotás céljából folyamatosan követhetik a felhasználót és figyelhetik a digitális viselkedését. A felhasználói viselkedés követésére hirdetési szempontból azért van szükség, mert a digitális reklámoknál nemcsak az a fontos, hogy rákattintanak-e, de az utána következő esetleges lépéseket (regisztráció, vásárlás) is rögzíteni kell, mert ilyen esetekben a platform több pénzt kap a hirdetőtől.

De amint a norvég kutatás is mutatja, sok esetben olyanok is hozzáférnek a személyes adatokhoz, akiknek a GDPR szerint nem lenne szabad: a rejtőzködő adatbrókerek. Adatbrókernek nevezhető egy cég, ha a személyes adatokat elsősorban nem közvetlenül a fogyasztótól, hanem más cégektől és nyilvántartásokból gyűjti be, annak érdekében, hogy a felhasználó „digitális ikerpárját” létrehozva eladja további cégeknek.

Az, hogy az adataid alapján kinek a hirdetése kerül a felhasználó elé, egy hatalmas meccs eredménye, amit legfeljebb századmásodpercek alatt lejátszanak. Ezt valós idejű licitálásnak (real time bidding, RTB) nevezik, és olyan automatizált folyamat, ami a másodperc törtrésze alatt lehetővé teszi, hogy egy tetszőleges weboldal hirdetési felületén a leginkább személyre szóló reklám kerüljön a felhasználó elé. Ez az ad exchange-nek nevezett online hirdetési piactereken történik, ahol az eladói oldalon a hirdetési felületek kiadói, a weboldalak tulajdonosai, a vásárlói oldalon pedig a hirdetők, hirdetési hálózatok, médiaügynökségek találhatók.

Ez a szisztéma a weboldal megnyitásának pillanatában még üres hirdetési felület paramétereit nagyjából egy századmásodperc alatt összeveti a hirdető által előre megadott paraméterekkel, és egyezés esetén az adott felületért legtöbbet kínáló hirdető nyeri meg a licitet, vagyis az ő reklámját jeleníti meg az oldal.

Olcsó kifogások

Az Android rendszer beállításai között (és egyébként az iPhone-okon is) elérhető a „Leiratkozás a személyes hirdetésekről” funkció, amellyel a Google szerint „a felhasználók nagyobb hatalmat kapnak az adataik felett.” Ez azonban kapóra jön az appoknak és a harmadik feleknek, hiszen hivatkozhatnak arra, hogy aki nem kapcsolja be ezt a funkciót, annak ezek szerint nincs ellenére, ha szabadon felhasználják az adatait.

A GDPR azonban rég meghaladta ezeket a kifogásokat. A rendelet 25. cikke szerint az adatkezelőnek biztosítania kell, hogy „a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára,” vagyis a fent említett funkciónak alapértelmezetten bekapcsolva kellene lennie.

Kikéred, elküldik, meglepődsz

A Magyarországon talán legnépszerűbb társkereső app, a Tinder ijesztő profilalkotási gyakorlatáról a Guardian 2017-es cikkében lehetett olvasni először. Az újságíró, Judith Duportail élt azzal a lehetőséggel, amivel minden EU-s állampolgár rendelkezik, de a nagy többség még csak nem is tud róla: írt az alkalmazást gyártó cégnek, és kikérte a saját személyes adatait.

Duportail meglepetésére közel 800 oldalnyi dokumentumot kapott magáról, benne minden facebookos lájkkal, az online ismerősök számával, egy korcsoportokra lebontott érdeklődési elemzéssel, és az összes adattal arról, hogy az alkalmazáson belüli beszélgetései pontosan hol és mikor zajlottak. „Ahogy végigböngésztem az adataimat, hibásnak éreztem magam. Lenyűgözött, hogy mennyi információt osztottam meg önként: helyadatokat, érdeklődési köröket, munkahelyeket, fotókat, zenei ízlést, és hogy mit szeretek enni” – írta.

„Rávesznek, hogy ennyi mindent megossz magadról” – állítja Luke Stark, a Dartmouth Egyetem digitális technológiával foglalkozó szociológusa. Szerinte a Tinderhez hasonló alkalmazások „kihasználják azt az egyszerű érzelmi jelenséget, hogy az adatokat nem érezzük. Ezért lepődünk meg csak akkor, ha egyben, kinyomtatva látjuk az egészet, mert fizikai lények vagyunk.”

Manipuláció, diszkrimináció, öncenzúra

A Norvég Fogyasztói Tanács szerint az appok adathalászata számos módon károsíthatja a felhasználókat. A manipulációs vád magától értetődik. A Google például büszkén hirdeti magáról, hogy pontosan meg tudja állapítani azt a „mikropillanatot,” amikor vásárlásra kész a felhasználó; egyes hirdetéstechnológiai cégek a felhasználó érzelmeit elemzik mesterséges intelligenciával, és a hangulata alapján helyeznek el reklámokat; míg a túl specifikus kategóriákkal dolgozó cégeknél erkölcsi kérdéseket vet fel a „megerőszakoltak”, „AIDS-esek/HIV-fertőzöttek” vagy a „merevedési zavartól szenvedők” listák létrehozása és hirdetési célokra való felhasználása.

Vannak olyan oldalak és appok, amelyek a böngészési előzmények és más adatok alapján azt is meg tudják állapítani, hogy mennyi lehet a maximum, amit a felhasználó hajlandó kifizetni egy termékért, és ahhoz mérten állítják be a végső árat – ezt vette észre a Guardian szerzője is, akinek a repülőjegye lett hirtelen olcsóbb a böngészési információkat tároló sütik (cookie-k) törlése után.

A hirdetési diszkrimináció persze nemcsak pénzügyi lehet. A Facebook elszabadult algoritmusai például olyan reklámcélcsoportokat képesek létrehozni, mint a „zsidógyűlölők” vagy a „gyerekek, akiket érdekel az alkohol és a szerencsejáték”, miközben a platform hirdetési rendszerét tökéletesen lehet arra is használni, ha valaki nem szeretné, hogy az el- vagy kiadandó lakásába más bőrszínűek vagy épp idősek költözzenek be.

A politikai választási manipuláció és a személyes adatok kiszivárgásának veszélye mellett még egy nagy problémája van az adatbiznisznek: ha a felhasználó úgy érzi, hogy minden online tevékenységét rögzítik, ráadásul mások is hozzáférhetnek, akkor ennek megfelelően is fog internetezni. Ha például valaki úgy érzi, hogy a betegsége bajt okozna a munkahelyén, akkor inkább nem is keres rá a tünetekre, és cseten sem beszél róla másoknak, és ez sokkal súlyosabb következményekkel is járhat.

Kapcsolódó cikkek a Qubiten: