Главный регулятор конфиденциальности ЕС предлагает запретить таргетинговую рекламу на основе отслеживания

Ведущий надзорный орган Европейского Союза по защите данных рекомендовал включить запрет на таргетированную рекламу, основанную на отслеживании цифровой активности пользователей Интернета, в крупную реформу правил цифровых услуг, которая, помимо других ключевых целей, направлена на повышение ответственности операторов.

Глава Европейского надзорного органа по защите данных (EDPS) Войцех Вевиоровски призвал к запрету целевой рекламы на основе отслеживания со ссылкой на Закон Комиссии о цифровых услугах (DSA) - после запроса о консультациях от законодателей ЕС.

Законодательное предложение DSA было внесено в декабре вместе с Законом о цифровых рынках (DMA), что положило начало (часто длительному) процессу совместного законодательства ЕС, который включает в себя дебаты и переговоры в Европейском парламенте и Совете по поправкам, прежде чем можно будет согласовать окончательный текст для его утверждения.

Вмешательство EDPS, призвавшего запретить таргетированную рекламу, является мощным превентивным толчком против попыток ослабить законодательную защиту интересов потребителей.

Комиссия не зашла так далеко в своем предложении, но крупные технологические лоббисты, безусловно, продвигаются в противоположном направлении, поэтому сильная позиция EDPS в данном случае выглядит важной.

По мнению EDPS, необходимы «дополнительные меры предосторожности» для дополнения мер по снижению рисков, предложенных Комиссией, - утверждая, что «определенные действия в контексте онлайн-платформ представляют возрастающие риски не только для прав людей, но и для общества в целом».

Интернет-реклама, рекомендательные системы и модерация контента - вот области, которые особенно беспокоят EDPS.

«Учитывая множество рисков, связанных с целевой интернет-рекламой, EDPS призывает законодателей рассмотреть дополнительные правила, выходящие за рамки прозрачности», - продолжает он. «Такие меры должны включать поэтапный отказ, ведущий к запрету таргетированной рекламы на основе повсеместного отслеживания, а также ограничения в отношении категорий данных, которые могут быть обработаны для целей таргетинга, и категорий данных, которые могут быть раскрыты, рекламодателям или третьим лицам для включения или облегчения целевой рекламы».

Это последний региональный залп, нацеленный на таргетированную рекламу на основе массового отслеживания после того, как Европарламент призвал к более жестким правилам еще в октябре - когда законодателям ЕС было предложено рассмотреть возможность поэтапного запрета.

Также совсем недавно генеральный директор европейского издательского гиганта Аксель Спрингер, долгое время участвовавший в сговоре с интересами рекламных технологий, выступил с публичной тирадой (скорее протекционистской) о базирующихся в США технологических платформах интеллектуального анализа данных, превращающих граждан в «марионеток капиталистического общества монополии»- призывая законодателей ЕС расширить региональные правила конфиденциальности, запретив платформам хранить личные данные и вообще использовать их в коммерческих целях.

«Любая попытка ослабить защиту данных во имя предполагаемого добровольного согласия должна быть исключена», - написал Матиас Дёпфнер в Business Insider в прошлом месяце. «Разрешение на использование данных вообще не должно быть возможным. Конфиденциальные и личные данные не принадлежат ни платформам, которые управляют рынком (так называемые «привратники»), ни государствам».

Генеральный директор Apple Тим Кук в прошлом месяце также выступил на виртуальном этапе конференции (обычно) в Брюсселе, чтобы призвать Европу удвоить усилия по обеспечению соблюдения своего флагманского Общего регламента защиты данных (GDPR).

В своей речи Кук предупредил, что рекламный «комплекс данных» подпитывает социальную катастрофу, стимулируя распространение дезинформации, поскольку он работает на получение прибыли от массовых манипуляций. Далее он призвал законодателей по обе стороны конфликта «послать универсальный, гуманный ответ тем, кто заявляет о праве на личную информацию пользователей о том, что не должно и не будет допускаться». Так что не только европейские компании (и учреждения) призывают к реформе рекламных технологий в защиту конфиденциальности.

Производитель iPhone готовится ввести более строгие ограничения на отслеживание на своих смартфонах, заставляя приложения запрашивать у пользователей разрешение на отслеживание, вместо того, чтобы просто собирать их данные - шаг, который, естественно, вызвал беспокойство в секторе рекламных технологий, который полагается на массовое отслеживание, т. н. «релевантная» реклама.

Следовательно, индустрия рекламных технологий прибегла к крикам о новом «антимонопольном законодательстве» как к тактике, чтобы подтолкнуть регуляторов конкуренции к блокировке действий на уровне платформ против их несогласованного отслеживания. И на этом фронте это примечательно, чем мнение EDPS о DMA, которое предлагает дополнительные правила для платформ-посредников с наибольшей рыночной властью, повторяя жизненно важные связи между конкуренцией, защитой потребителей и законом о защите данных, говоря, что эти три политики являются «неразрывно связанными направлениями в контексте платформенной онлайн-экономики» и что «должны быть отношения взаимодополняемости, а не отношения, при которых одна область заменяет другую или вступает с ней в противоречие».

Вевиоровски также нацелен на рекомендательные системы, по его мнению - они не должны основываться на профилировании по умолчанию, чтобы гарантировать соответствие региональным правилам защиты данных (где конфиденциальность «по умолчанию» должна быть юридическим понятием изначально).

Здесь также следует принять дополнительные меры по усилению законодательного предложения Комиссии - с целью «дальнейшего содействия прозрачности и контролю со стороны пользователей».

Это необходимо, потому что такая система имеет «существенное влияние», утверждает EDPS.

Роль систем рекомендаций по содержанию в подталкивании пользователей Интернета к ненавистническим и экстремистским точкам зрения уже давно является предметом общественного внимания. Еще в 2017 году, например, парламентарии Великобритании обсудили эту тему с рядом технологических компаний, вызвав опасения, что инструменты на основе ИИ, разработанные для максимизации прибыли платформы за счет увеличения взаимодействия с пользователями, рискуют автоматизировать радикализацию. Они могут нанести ущерб не только тем, кто поддерживает ненависть на платформах, а алгоритмы подпитывают их, но и делая каскадный удар, который нанесет вред всем нам, поскольку социальная сплоченность разъедается во имя того, чтобы держать под контролем получаемую пользователями информацию.

Тем не менее, имеется мало информации о том, как работают такие алгоритмы, потому что частные компании, которые работают и получают прибыль от этих ИИ, защищают свою работу как коммерческую тайну.

Предложение Комиссии DSA направлено на такого рода секретность в качестве препятствия для подотчетности - с его стремлением к обязательствам по обеспечению прозрачности. Предлагаемые обязательства (в первоначальном проекте) включают требования к платформам предоставлять «значимые» критерии, используемые для таргетинга рекламы; и объяснять «основные параметры» своих рекомендательных алгоритмов; а также требования к пользовательским элементам управления переднего плана (включая, по крайней мере, один вариант «не для профсоюзов»).

Однако EDPS хочет, чтобы региональные законодатели пошли дальше в деле защиты людей от эксплуатации (и общества в целом от токсичных побочных продуктов, исходящих из отрасли, основанной на сборе личных данных для манипулирования людьми).

Что касается модерации контента, то Вевиоровски подчеркивает, что это должно «происходить в соответствии с верховенством закона». Хотя в проекте Еврокомиссии предпочли оставить поле для интерпретации закона.

«Учитывая и без того повсеместный мониторинг поведения людей, особенно в контексте онлайн-платформ, DSA должен определять, когда усилия по борьбе с «незаконным контентом» оправдывают использование автоматизированных средств для его обнаружения, идентификации и устранения», - пишет он.

«Профилирование в целях модерации контента должно быть запрещено, если поставщик не может продемонстрировать, что такие меры строго необходимы для устранения системных рисков, явно определенных DSA», - добавляет он.

EDPS также предложил минимальные требования к совместимости для очень больших платформ и для тех, которые обозначены как «привратники» (в рамках DMA), и призывает законодателей работать над продвижением разработки технических стандартов, чтобы помочь в этом на европейском уровне.

Что касается DMA, он также призывает внести поправки, чтобы гарантировать, что предложение «эффективно дополняет GDPR», как он выражается, призывая «усилить защиту основных прав и свобод заинтересованных лиц и избежать трений с текущими правилами защиты данных».

Среди конкретных рекомендаций EDPS следующие:

DMA ясно дает понять, что платформы привратников должны предоставлять пользователям более простое и доступное управление согласием;

уточнение объема переносимости данных, предусмотренного в проекте;

изменение формулировки положения, которое требует от гейткиперов предоставлять другим предприятиям доступ к агрегированным пользовательским данным - снова с прицелом на обеспечение «полного соответствия с GDPR».

В этом заключении также поднимается вопрос о необходимости «эффективной анонимизации» - EDPS призывает к «проверкам повторной идентификации при совместном использовании данных запросов, щелчков и просмотров в отношении бесплатного и платного поиска, созданного конечными пользователями в поисковых системах онлайн-привратниками».

Реформа ePrivacy выходит из застоя

Вклад Вевиоровски в формирование новых правил платформы появился в тот же день, когда Совет Европы наконец достиг согласия по своей переговорной позиции по давно откладывающейся реформе ЕС в отношении существующих правил электронной приватности.

В пресс-релизе, объявляющем об этой разработке, Комиссия пишет, что государства-члены согласовали мандат на переговоры по пересмотренным правилам защиты частной жизни и конфиденциальности при использовании услуг электронной связи.

«Эти обновленные правила «ePrivacy» будут определять случаи, в которых поставщикам услуг разрешается обрабатывать данные электронной связи или иметь доступ к данным, хранящимся на устройствах конечных пользователей», - пишет он.

Реформа директивы ePrivacy застопорилась в течение многих лет, поскольку конфликтующие интересы столкнулись, опровергая надежды (предыдущей) Комиссии на то, что все усилия могут быть выполнены в 2018 году (первоначальное предложение по реформе ePrivacy появилось в январе 2017 года; спустя годы Совет окончательно определился со своим аргументом.)

Тот факт, что GDPR был принят первым, по-видимому, повысил ставки для жаждущих данных лоббистов ePrivacy - как в сфере рекламных технологий, так и в сфере телекоммуникаций (последние очень заинтересованы в устранении существующих нормативных барьеров в отношении данных коммуникаций, чтобы использовать огромные запасы пользовательских данных, которые интернет-гиганты, использующие конкурирующие службы обмена сообщениями и VoIP, уже давно могут применять).

Предпринимаются согласованные усилия, чтобы попытаться использовать ePrivacy для отмены защиты потребителей, заложенной в GDPR, включая попытки ослабить защиту конфиденциальности личных данных. Итак, в начале переговоров с Европейским парламентом все готово для уродливой битвы за права.

Правила согласия на использование метаданных и файлов cookie также связаны с ePrivacy, поэтому здесь можно найти множество беспорядочных и спорных вопросов.

Группа по защите цифровых прав Access Now подвела итоги развития ePrivacy, осудив Совет за «крайние» промахи.

«Реформа должна укрепить права на неприкосновенность частной жизни в ЕС, [но] государства проделали так много дыр в предложении, что теперь оно выглядит как французский грюйер» , - заявила Эстель Массе, старший политический аналитик Access Now. «Принятый сегодня текст хуже номинала по сравнению с текстом парламента и предыдущими версиями позиции правительства. Мы потеряли перспективные положения о защите частной жизни, в то время как были добавлены несколько мер наблюдения».

Группа заявила, что будет настаивать на восстановлении требований к поставщикам услуг для защиты конфиденциальности онлайн-пользователей по умолчанию и для установления четких правил против онлайн-отслеживания, помимо файлов cookie, среди других политических предпочтений.

Между тем Совет, похоже, выступает за сильно разбавленный (и поэтому, вероятно, бесполезный) вариант выражения «не отслеживать» - предлагая пользователям иметь возможность давать согласие на использование «определенных типов файлов cookie, добавляя один или несколько файлов в белый список провайдеров в настройках своего браузера», согласно Комиссии.

«Поставщики программного обеспечения будут поощряться к тому, чтобы пользователи могли легко создавать и изменять белые списки в своих браузерах и отзывать свое согласие в любой момент», - добавляет он в своем пресс-релизе .

Шифрование - еще одно возможное яблоко раздора в отношении ePrivacy.

Как отметил еще в середине 2017 года исследователь безопасности и конфиденциальности д-р Лукаш Олейник, парламент решительно поддержал сквозное шифрование как средство защиты конфиденциальности данных связи, заявив при этом, что государства-члены не должны налагать никаких обязательств на поставщиков услуг, что может ослабить стойкое шифрование.

Так что примечательно, что Совет Европы не так много говорит о шифровании e2e - по крайней мере, в PR-версии своей публичной позиции. (Строка в нем гласит: «Как правило, данные электронных коммуникаций будут конфиденциальными. Любое вмешательство, включая прослушивание, мониторинг и обработку данных кем-либо, кроме конечного пользователя, будет запрещено, за исключением случаев, когда это разрешено Регулирование электронной конфиденциальности», что тоже вряд ли успокаивает.)

Это определенно выглядит тревожным упущением, учитывая недавние попытки на уровне Совета отстаивать «законный» доступ к зашифрованным данным. Цифровые группы и группы по защите прав человека будут готовиться к борьбе.

По материалам: Techcrunch