Wczoraj firma Verizon Wireless zawarła ugodę z Federalną Komisją Łączności (FCC), w ramach której operator komórkowy zobowiązał się zmienić swoje praktyki i zapłacić karę w wysokości 1,35 mln dolarów. Sprawa dotyczyła bardzo ciekawego tematu jakim są superciasteczka. 

W Dzienniku Internautów pisaliśmy już, że różne firmy poszukują nowych metod śledzenia internautów. Coraz więcej osób potrafi usuwać zwykłe ciasteczka, a poza tym ciasteczka stają się nieprzydatne gdy użytkownik co rusz zmienia urządzenia. Istnieją nowsze technologie śledzenia, ale z nimi jest inny problem - ludzie o nich nie wiedzą i nie mogą ich kontrolować.

Superciasteczka - o co chodzi?

Superciasteczka to nie jest jakiś nowy rodzaj ciasteczek. Chodzi o to, że operator sieci komórkowej angażuje się w śledzenie użytkownika wykorzystując fakt, że ruch musi przejść przez serwery operatora. Verizon doklejał do żądań użytkownika nagłówek HTTP określany jako X-UIDH. Ten nagłówek pozwalał firmom trzecim (reklamodawcom i serwisom internetowym) na ciągłe zbieranie informacji o aktywnościach danego użytkownika. Ponieważ nagłówek był dodawany na poziomie sieci, zapobiec śledzeniu nie mogły takie zabiegi jak np. używanie przeglądarki w trybie incognito (prywatnym). 

W roku 2014 problem był podnoszony przez organizację Electronic Frontier Foundation. Zwracała ona uwagę na to, że nagłówek X-UIDH jest powiązany z abonentem. Oznacza to, że istniało ryzyko ujawnienia prywatnych aktywności danej osoby rodzinie lub współpracownikom poprzez targetowaną reklamę.

Poza tym jak X-UIDH omijał mechanizmy prywatności wbudowane w przeglądarki. Ponieważ jeden unikalny nagłówek był udostępniany różnym stronom, możliwości śledzenia była szersze niż w przypadku zwykłych ciasteczek. Istniała też możliwość połączenia informacji o przeglądanych stronach z aktywnościami podejmowanymi w aplikacjach. Zdaniem EFF operator mógłby śledzić nawet osoby niebędące jego klientami, jeśli tylko te osoby korzystałyby z sieci Verizona.

fot. Japanexperterna

Śledzenie od 2012 r. 

Teraz widzimy, że amerykańska Federalna Komisja Łączności (FCC) nie zignorowała tego problemu. Postępowanie w sprawie Verizona zostało uruchomione jeszcze w 2014 roku. FCC ustaliła, że operator zaczął stosować nagłówek X-UIDH już w roku 2012, ale nie ujawnił tej praktyki aż do października 2014. 

Po ujawnieniu "superciasteczek" Verizon próbował przekonywać, że firmy reklamowe wcale nie są skłonne do korzystania z tej technologii. Niestety na początku 2015 roku wyszło na jaw, że jeden z reklamowych partnerów Verizona używał nagłówków X-UIDH do przywrócenia ciasteczek, które użytkownicy wcześniej usunęli ze swoich przeglądarek. Dopiero w marcu 2015 roku Verizon znacząco zmienił swoje praktyki i umożliwił klientom opcję zablokowania śledzenia.

Wczoraj FCC i Verizon zawarły ugodę, która ma ostatecznie zamknąć sprawę. Jak wspomnieliśmy, Verizon zapłaci 1,35 mln dolarów kary. Ponadto przedsiębiorca ma informować swoich klientów o praktykach związanych z reklamami i ma uzyskiwać odpowiednie zgody. Będą one dotyczyć przekazywania informacji o nagłówkach firmom trzecim (zgoda w modelu "opt-in") a także przekazywania informacji o nagłówkach wewnątrz struktur korporacyjnych Verizona (w modelu opt-in i opt-out). 

Zabrakło uczciwości

Przedstawiciel FCC Travis LeBlanc całkiem trafnie podsumował zawartą ugodę. Stwierdził, że prywatność i innowacyjność nie musza być niekompatybilne. Rzecz w tym, żeby opierać się na przejrzystości i świadomym wyborze dokonanym przez konsumenta.

Właściwie to zrobiliśmy mały błąd pisząc, że Verizon został ukarany za "superciasteczka". Tak naprawdę firma została ukarana za stosowanie superciasteczek w sposób podstępny i nieuczciwy.  

Metody śledzenia bez ciasteczek to znacznie szerszy temat. Już dawno temu pisaliśmy o canvas fingerprintingu, ale to również nie kończy tematu. Będą powstawać nowe metody śledzenia, bo jest na nie zapotrzebowanie. Problem nie jest w tym czy te metody są wdrażane. Pytanie brzmi jak powinny być one wdrażane, żeby nie zagrażać prywatności. 

Unijne organy ochrony danych też zajmowały się śledzeniem bez ciasteczek. Uważają one, że należałoby rozciągnąć zasady dotyczące ciasteczek na inne technologie śledzenia. Taka propozycja znalazła się w opinii przygotowanej przez Grupę Roboczą Artykułu 29. Pisaliśmy o tym w tekście pt. Śledzenie internautów bez ciasteczek też powinno wymagać ich zgody.