SG.hu
GDPR-t sérthet a Firefox nyomkövető technológiája
Panaszt nyújtott be a Mozilla, a Firefox webböngészőt fejlesztő nonprofit szervezet ellen a noyb adatvédelmi jogvédő csoport, amely szerint a cég megsértette az EU általános adatvédelmi rendeletét (GDPR) azzal, hogy a Firefox-felhasználókat alapértelmezés szerint, engedélyük nélkül követi.
Szokatlan, hogy egy adatvédelmi panasz a Mozilla ellen irányul, egy olyan szervezet ellen, amelyet inkább hoznak összefüggésbe a webfelhasználók adatvédelmi jogainak megerősítésére irányuló erőfeszítésekkel, például a cookie-k elszigetelésével a webhelyek közötti nyomon követés megakadályozása érdekében. A noyb azonban a Mozilla által a Firefoxban nemrégiben bevezetett új funkciót kifogásolta, amely szerinte a Firefox böngészőt „a weboldalak követésére szolgáló eszközzé” változtatja. A Mozilla a szóban forgó funkciót „Privacy Preserving Attribution”-nek (PPA) nevezi. A noyb szerint azonban ez félrevezetés. És ha az EU adatvédelmi szabályozói egyetértenek a panasszal, akkor a Firefox-gyártót felszólíthatják a változtatásra vagy akár büntetésre is számíthatnak (a GDPR a globális bevétel akár 4%-áig terjedő bírságot is lehetővé tesz).
"Megnyugtató nevével ellentétben ez a technológia lehetővé teszi, hogy a Firefox nyomon kövesse a felhasználók viselkedését a webhelyeken” - írta sajtóközleményében a noyb. "Lényegében most már a böngésző irányítja a nyomon követést, nem pedig az egyes weboldalak. Bár a még invazívabb cookie-követéshez képest ez előrelépés lehet, a vállalat soha nem kérdezte meg a felhasználóit, hogy akarják-e engedélyezni. Ehelyett a Mozilla úgy döntött, hogy alapértelmezés szerint bekapcsolja, miután az emberek telepítettek egy nemrégiben készült szoftverfrissítést. Ez azért különösen aggasztó, mert a Mozilla általában adatvédelmibarát alternatívaként van hírneve, miközben a legtöbb más böngésző a Google Chromiumon alapul.”
A webes felhasználók cookie-alapú követéséről a böngészőszintű követésre való áttérésre tett kísérlet ismerős lehet mindazoknak, akik figyelemmel kísérték a Google úgynevezett „Privacy Sandbox” javaslatát. Ez egy több éves törekvés arra, hogy a Google Chrome böngészőjében megszüntessék a nyomkövető cookie-k támogatását egy alternatív hirdetési célzás javára, amely a böngésző felhasználóinak érdekeltségi körökhöz való hozzárendelésén alapul. A Google arra irányuló erőfeszítése, hogy a hirdetési technológiai vívmányt kiszedje a nyomkövető sütikből kisiklott, és az Egyesült Királyság szabályozási felügyelete miatt pihenő vágányon is marad egy ideig. De az egyik kézzelfogható hatása a noyb szerint, hogy inspirációként szolgált a Mozilla számára, hogy beszálljon a böngészőszintű nyomkövetésbe. "Hasonlóan a Google (sikertelen) Privacy Sandbox-ához, ez a böngészőt a weboldalak nyomkövető eszközévé tette” - írta noyb, hozzátéve: „Bár ez talán kevésbé invazív, mint a korlátlan (cookie-alapú) nyomon követés, ami az USA-ban még mindig a norma, de még mindig beavatkozik az EU GDPR szerinti felhasználói jogokba.”
A noyb kifogásának másik összetevője, hogy a Mozilla lépése „a cookie-kat sem váltja ki” - a Firefox egyszerűen nem rendelkezne akkora piaci részesedéssel és erővel, hogy megváltoztassa az iparági gyakorlatot -, így mindössze egy újabb további módszert hozott létre a webhelyek számára a hirdetések célzására. Felix Mikolasch, a noyb adatvédelmi ügyvédje nyilatkozatában a következőket mondta: „A Mozilla épp most dobta be azt a narratívát, hogy a reklámiparnak joga van a felhasználók nyomon követéséhez, azáltal, hogy a Firefoxot reklámmérési eszközzé alakítja. Bár a Mozillának talán jó szándékai voltak, nagyon valószínűtlen, hogy az „adatvédelmet megőrző attribúció” felváltja a cookie-kat és más nyomkövető eszközöket. Ez csak egy új, kiegészítő eszköz a felhasználók nyomon követésére.” A noyb által támogatott panasz - amelyet az osztrák adatvédelmi hatósághoz nyújtottak be - azzal vádolja a Mozillát, hogy nem tájékoztatta a felhasználókat személyes adataik feldolgozásáról, és hogy opt-out módszert használt a megerősítést igénylő "opt-in” mechanizmus helyett. Tehát bár a Firefox-felhasználók lemondhatnak a nyomon követésről, ehhez aktív lépést kell tenniük, megkeresve és engedélyezve a megfelelő beállítást, amely a noyb szerint egy almenüben van elrejtve. "Szégyen, hogy egy olyan szervezet, mint a Mozilla úgy gondolja, hogy a felhasználók túl buták ahhoz, hogy igent vagy nemet mondjanak” - tette hozzá Mikolasch. „A felhasználóknak választaniuk kellene, és a funkciót alapértelmezés szerint ki kellett volna kapcsolni”. Az adatvédelmi jogvédő csoport azt is szeretné, ha a szabályozó hatóság elrendelné az összes eddig gyűjtött adat törlését.
A panaszra Christopher Hilton, a cég politikai és vállalati kommunikációért felelős igazgatója válaszolt, aki azt állította, hogy eddig csak egy „korlátozott tesztet” végeztek a PPA prototípusával, és a technológia a Mozilla saját weboldalaira korlátozódott. Az erőfeszítés célja az „invazív reklámozási gyakorlat javítása technikai alternatívák biztosításával” - sugallta, továbbá azt állította, hogy a funkció „könnyen kikapcsolható” a Firefox beállításaiban. "A PPA lehetővé teszi a hirdetők számára, hogy mérjék a hirdetések általános hatékonyságát anélkül, hogy konkrét személyeket azonosító információkat gyűjtenének” - írta. „Ahelyett, hogy személyes adatokat gyűjtenénk annak megállapítására, hogy a fogyasztók mikor léptek kapcsolatba egy hirdetéssel, a PPA kriptográfiai technikákra épül, hogy lehetővé tegye az összesített hozzárendelést, amely megőrzi a magánéletet. Ezek a technikák megakadályozzák, hogy bármelyik fél - beleértve a Mozillát is - azonosítani tudja az egyéneket vagy böngészési tevékenységüket”.”
Hilton hozzátette, hogy a Mozilla üdvözli a lehetőséget, hogy a technológia fejlesztése során együttműködjön az érdekelt felekkel, a saját felhasználói közösségével és a szabályozó hatóságokkal. További megjegyzéseiben a vállalat elismerte, hogy a kommunikáció a törekvésekkel kapcsolatban nem volt megfelelő. „Nem kérdés, hogy többet kellett volna tennünk azért, hogy külső hangokat is bevonjunk az online hirdetések javítására irányuló erőfeszítéseinkbe, és ezt a jövőben javítani fogjuk” - közölte. „Bár a PPA kezdeti kódját a Firefox 128 tartalmazta, nem aktiváltuk, és nem rögzítettünk vagy küldtünk végfelhasználói adatokat. A PPA jelenlegi iterációját csak korlátozott tesztelésre tervezték a Mozilla Developer Network weboldalán. Továbbra is hiszünk abban, hogy a PPA fontos lépés az internetes adatvédelem javítása felé, és örömmel dolgozunk együtt a noyb-vel és másokkal, hogy tisztázzuk a megközelítésünkkel kapcsolatos félreértéseket.”
Egy augusztus végén közzétett blogbejegyzésben, amelyben a Mozilla a PPA indoklását ismertette, azt írta, hogy aggódik amiatt, hogy egyes joghatóságok a böngészőkben a nyomkövetés elleni funkciókat blokkolják, és hozzátette, hogy a technológia kifejlesztését a „felhasználói adatvédelmet fenyegető technikai és szabályozási fenyegetések” keveréke motiválta. A Mozilla narratíváját bonyolítja, hogy a bejegyzésben nem említik, hogy a Google továbbra is a társaság fő bevételi forrása, köszönhetően egy régóta fennálló keresési megállapodásnak, amelynek értelmében a Google fizet a Firefox gyártójának azért, hogy a rivális böngésző alapértelmezett keresőmotorja legyen.
Szokatlan, hogy egy adatvédelmi panasz a Mozilla ellen irányul, egy olyan szervezet ellen, amelyet inkább hoznak összefüggésbe a webfelhasználók adatvédelmi jogainak megerősítésére irányuló erőfeszítésekkel, például a cookie-k elszigetelésével a webhelyek közötti nyomon követés megakadályozása érdekében. A noyb azonban a Mozilla által a Firefoxban nemrégiben bevezetett új funkciót kifogásolta, amely szerinte a Firefox böngészőt „a weboldalak követésére szolgáló eszközzé” változtatja. A Mozilla a szóban forgó funkciót „Privacy Preserving Attribution”-nek (PPA) nevezi. A noyb szerint azonban ez félrevezetés. És ha az EU adatvédelmi szabályozói egyetértenek a panasszal, akkor a Firefox-gyártót felszólíthatják a változtatásra vagy akár büntetésre is számíthatnak (a GDPR a globális bevétel akár 4%-áig terjedő bírságot is lehetővé tesz).
"Megnyugtató nevével ellentétben ez a technológia lehetővé teszi, hogy a Firefox nyomon kövesse a felhasználók viselkedését a webhelyeken” - írta sajtóközleményében a noyb. "Lényegében most már a böngésző irányítja a nyomon követést, nem pedig az egyes weboldalak. Bár a még invazívabb cookie-követéshez képest ez előrelépés lehet, a vállalat soha nem kérdezte meg a felhasználóit, hogy akarják-e engedélyezni. Ehelyett a Mozilla úgy döntött, hogy alapértelmezés szerint bekapcsolja, miután az emberek telepítettek egy nemrégiben készült szoftverfrissítést. Ez azért különösen aggasztó, mert a Mozilla általában adatvédelmibarát alternatívaként van hírneve, miközben a legtöbb más böngésző a Google Chromiumon alapul.”
A webes felhasználók cookie-alapú követéséről a böngészőszintű követésre való áttérésre tett kísérlet ismerős lehet mindazoknak, akik figyelemmel kísérték a Google úgynevezett „Privacy Sandbox” javaslatát. Ez egy több éves törekvés arra, hogy a Google Chrome böngészőjében megszüntessék a nyomkövető cookie-k támogatását egy alternatív hirdetési célzás javára, amely a böngésző felhasználóinak érdekeltségi körökhöz való hozzárendelésén alapul. A Google arra irányuló erőfeszítése, hogy a hirdetési technológiai vívmányt kiszedje a nyomkövető sütikből kisiklott, és az Egyesült Királyság szabályozási felügyelete miatt pihenő vágányon is marad egy ideig. De az egyik kézzelfogható hatása a noyb szerint, hogy inspirációként szolgált a Mozilla számára, hogy beszálljon a böngészőszintű nyomkövetésbe. "Hasonlóan a Google (sikertelen) Privacy Sandbox-ához, ez a böngészőt a weboldalak nyomkövető eszközévé tette” - írta noyb, hozzátéve: „Bár ez talán kevésbé invazív, mint a korlátlan (cookie-alapú) nyomon követés, ami az USA-ban még mindig a norma, de még mindig beavatkozik az EU GDPR szerinti felhasználói jogokba.”
A noyb kifogásának másik összetevője, hogy a Mozilla lépése „a cookie-kat sem váltja ki” - a Firefox egyszerűen nem rendelkezne akkora piaci részesedéssel és erővel, hogy megváltoztassa az iparági gyakorlatot -, így mindössze egy újabb további módszert hozott létre a webhelyek számára a hirdetések célzására. Felix Mikolasch, a noyb adatvédelmi ügyvédje nyilatkozatában a következőket mondta: „A Mozilla épp most dobta be azt a narratívát, hogy a reklámiparnak joga van a felhasználók nyomon követéséhez, azáltal, hogy a Firefoxot reklámmérési eszközzé alakítja. Bár a Mozillának talán jó szándékai voltak, nagyon valószínűtlen, hogy az „adatvédelmet megőrző attribúció” felváltja a cookie-kat és más nyomkövető eszközöket. Ez csak egy új, kiegészítő eszköz a felhasználók nyomon követésére.” A noyb által támogatott panasz - amelyet az osztrák adatvédelmi hatósághoz nyújtottak be - azzal vádolja a Mozillát, hogy nem tájékoztatta a felhasználókat személyes adataik feldolgozásáról, és hogy opt-out módszert használt a megerősítést igénylő "opt-in” mechanizmus helyett. Tehát bár a Firefox-felhasználók lemondhatnak a nyomon követésről, ehhez aktív lépést kell tenniük, megkeresve és engedélyezve a megfelelő beállítást, amely a noyb szerint egy almenüben van elrejtve. "Szégyen, hogy egy olyan szervezet, mint a Mozilla úgy gondolja, hogy a felhasználók túl buták ahhoz, hogy igent vagy nemet mondjanak” - tette hozzá Mikolasch. „A felhasználóknak választaniuk kellene, és a funkciót alapértelmezés szerint ki kellett volna kapcsolni”. Az adatvédelmi jogvédő csoport azt is szeretné, ha a szabályozó hatóság elrendelné az összes eddig gyűjtött adat törlését.
A panaszra Christopher Hilton, a cég politikai és vállalati kommunikációért felelős igazgatója válaszolt, aki azt állította, hogy eddig csak egy „korlátozott tesztet” végeztek a PPA prototípusával, és a technológia a Mozilla saját weboldalaira korlátozódott. Az erőfeszítés célja az „invazív reklámozási gyakorlat javítása technikai alternatívák biztosításával” - sugallta, továbbá azt állította, hogy a funkció „könnyen kikapcsolható” a Firefox beállításaiban. "A PPA lehetővé teszi a hirdetők számára, hogy mérjék a hirdetések általános hatékonyságát anélkül, hogy konkrét személyeket azonosító információkat gyűjtenének” - írta. „Ahelyett, hogy személyes adatokat gyűjtenénk annak megállapítására, hogy a fogyasztók mikor léptek kapcsolatba egy hirdetéssel, a PPA kriptográfiai technikákra épül, hogy lehetővé tegye az összesített hozzárendelést, amely megőrzi a magánéletet. Ezek a technikák megakadályozzák, hogy bármelyik fél - beleértve a Mozillát is - azonosítani tudja az egyéneket vagy böngészési tevékenységüket”.”
Hilton hozzátette, hogy a Mozilla üdvözli a lehetőséget, hogy a technológia fejlesztése során együttműködjön az érdekelt felekkel, a saját felhasználói közösségével és a szabályozó hatóságokkal. További megjegyzéseiben a vállalat elismerte, hogy a kommunikáció a törekvésekkel kapcsolatban nem volt megfelelő. „Nem kérdés, hogy többet kellett volna tennünk azért, hogy külső hangokat is bevonjunk az online hirdetések javítására irányuló erőfeszítéseinkbe, és ezt a jövőben javítani fogjuk” - közölte. „Bár a PPA kezdeti kódját a Firefox 128 tartalmazta, nem aktiváltuk, és nem rögzítettünk vagy küldtünk végfelhasználói adatokat. A PPA jelenlegi iterációját csak korlátozott tesztelésre tervezték a Mozilla Developer Network weboldalán. Továbbra is hiszünk abban, hogy a PPA fontos lépés az internetes adatvédelem javítása felé, és örömmel dolgozunk együtt a noyb-vel és másokkal, hogy tisztázzuk a megközelítésünkkel kapcsolatos félreértéseket.”
Egy augusztus végén közzétett blogbejegyzésben, amelyben a Mozilla a PPA indoklását ismertette, azt írta, hogy aggódik amiatt, hogy egyes joghatóságok a böngészőkben a nyomkövetés elleni funkciókat blokkolják, és hozzátette, hogy a technológia kifejlesztését a „felhasználói adatvédelmet fenyegető technikai és szabályozási fenyegetések” keveréke motiválta. A Mozilla narratíváját bonyolítja, hogy a bejegyzésben nem említik, hogy a Google továbbra is a társaság fő bevételi forrása, köszönhetően egy régóta fennálló keresési megállapodásnak, amelynek értelmében a Google fizet a Firefox gyártójának azért, hogy a rivális böngésző alapértelmezett keresőmotorja legyen.