Некоммерческая организация Mozilla, разработавшая веб-браузер Firefox, получила жалобу от группы noyb (занимается защитой персональных данных в ЕС), которая обвиняет ее в нарушении Общего регламента по защите данных (GDPR), поскольку она отслеживает действия пользователей Firefox по умолчанию без их разрешения.
Mozilla — организация, которая чаще всего ассоциируется с усилиями по защите конфиденциальности пользователей. Тем не менее noyb выступила против новой функции, которую Mozilla недавно внедрила в Firefox и которая, по ее мнению, превращает браузер Firefox «в инструмент слежки».
Mozilla называет эту функцию Privacy Preserving Attribution (PPA). Но noyb утверждает, что название не соответствует реальности. И если европейские регуляторы согласятся с жалобой, создатель Firefox может получить предписание сменить направление деятельности или даже получить штраф (GDPR предусматривает штрафы в размере до 4% от мирового оборота).
«Вопреки своему названию, эта технология позволяет Firefox отслеживать поведение пользователей на веб-сайтах», — пишет noyb в пресс-релизе.
По сравнению с еще более инвазивным отслеживанием с помощью файлов cookie, это может показаться лучшей альтернативой, но компания не дает пользователям права выбора при активации этой функции. Вместо этого Mozilla включает ее по умолчанию при обновлении программного обеспечения».
Это особенно тревожно, потому что Mozilla в целом имеет репутацию альтернативного браузера, заботящегося о конфиденциальности, в то время как большинство других браузеров основаны на Chromium от Google, говорят в noyb.
Google Privacy Sandbox — это многолетняя попытка прекратить поддержку отслеживающих файлов cookie в браузере Google Chrome в пользу альтернативного технологического стека таргетинга рекламы, основанного на распределении пользователей браузера по группам интересов.
Планы Google по отказу от куки-файлов в рекламных технологиях были сорваны в результате недостаточного надзора регулирующих органов Великобритании, но один из ощутимых результатов, по словам noyb, — что это, похоже, вдохновило Mozilla на отслеживание на уровне браузера.
«Это превратило браузер в инструмент отслеживания, — пишет noyb. — Хотя это менее инвазивно, чем неограниченное отслеживание на основе файлов куки, которое все еще является нормой в США, оно нарушает права пользователей в соответствии с законодательством ЕС».
Другая часть возражений noyb заключается в том, что шаг Mozilla не решает проблемы файлов куки. Firefox просто не хватит доли рынка, чтобы изменить отраслевую практику, поэтому все, что было сделано, — это еще один дополнительный способ получения данных для настройки таргетированной рекламы.
«Хотя у Mozilla, возможно, были благие намерения, очень маловероятно, что новая функция заменит куки и другие инструменты отслеживания. Это просто еще один способ отслеживания действий пользователей», — заявил Феликс Миколаш, юрист по защите данных из noyb.
В жалобе, поданной в австрийский орган по защите данных, Mozilla обвиняется в том, что она не информировала пользователей об обработке их персональных данных и использовала механизм «opt-out», а не «opt-in». Группа по защите персональных данных также требует удаления всех ныне собранных данных.
Чтобы отказаться от слежки, пользователи Firefox должны предпринять активные действия — найти и включить соответствующую настройку, которая, по словам noyb, спрятана в подменю. «Очень жаль, что Mozilla считает пользователей слишком глупыми, чтобы сказать да или нет, — добавил Миколаш. — Пользователи должны иметь возможность выбора, и эта функция должна была быть отключена по умолчанию».
В ответ на жалобу Mozilla прислала заявление, приписываемое Кристоферу Хилтону, директору по политике и корпоративным коммуникациям, где утверждалось, что до сих пор проводились лишь «ограниченные испытания» прототипа PPA — технология применялась только на собственных сайтах Mozilla. Он также заявил, что функция «легко отключается» в настройках Firefox.
«PPA позволяет рекламодателям измерять общую эффективность рекламы без сбора информации, идентифицирующей конкретных пользователей, — говорится в заявлении компании. — Вместо того чтобы собирать персональные данные для определения того, когда потребители взаимодействовали с рекламой, PPA построена на криптографических методах, позволяющих получить совокупную атрибуцию, которая сохраняет конфиденциальность. Эти методы не позволяют ни одной стороне, включая Mozilla, идентифицировать людей или их активность в браузере».
«Несмотря на то что функция PPA входит в Firefox 128, она не была активирована и никакие данные конечных пользователей не записывались и не отправлялись — заявили в компании. — Текущая итерация PPA предназначена для ограниченного тестирования только на сайте Mozilla Developer Network. Мы по-прежнему считаем, что PPA — это важный шаг на пути к улучшению конфиденциальности в интернете, и надеемся на сотрудничество с noyb и другими организациями для устранения недостатков нашего подхода».
В блоге, опубликованном в конце августа, излагая свои аргументы в пользу PPA, Mozilla написала, что обеспокоена блокировкой в браузерах функции антитрекинга в некоторых юрисдикциях, и добавила, что на разработку технологии ее побудило сочетание «технических и нормативных угроз конфиденциальности пользователей».
Ранее европейский регулятор конфиденциальности начал расследование, чтобы выяснить, соблюдала ли Google законы о защите данных в отношении информации о пользователях для обучения генеративного искусственного интеллекта. В частности, он выяснит, должен ли был технологический гигант провести оценку воздействия на защиту данных, чтобы заблаговременно учесть риски его технологий ИИ для прав и свобод людей, чьи данные использовались для обучения моделей.