Seminarium: reklama behawioralna i profilowanie
Tym razem Seminarium Fundacji Panoptykon będzie poświęcone problematyce reklamy behawioralnej i profilowaniu. Fundacja stawia nieco prowokujące pytania: Ile o nas wiedzą i jak to wykorzystują aplikacje internetowe? Ile o "podwójnym życiu" jego danych wie przeciętny użytkownik Internetu? Czy nowe formy marketingu to forma manipulacji i nadzoru nad społeczeństwem czy tylko specyficzne usługi tworzone dla naszej wygody? Na te oraz inne tematy porozmawiamy w Nowym Wspaniałym Świecie w Warszawie już za kilka dni.
Seminarium odbędzie się 15 marca, we wtorek, o godz. 19.00 (ul. Nowy Świat 63, I piętro). W dyskusji, obok autora niniejszego serwisu, weźmie udział również Wojciech Ozimek, prezes One2tribe, firmy specjalizującej się w tworzeniu nowatorskich gier MMO, budowie aplikacji społecznościowych (tzw. community based solutions) i lifestyle'owych.
Problematyka OBA, czyli Online Behavioral Advertising, niesie ze sobą wiele wyzwań prawnych. Wcześniej pisałem o tej problematyce m.in. w tekście Branża reklamowa zachwyca się behawioralnym targetowaniem reklam, które niepokoi Komisję Europejską oraz Kongres USA. Podczas ostatniej nowelizacji dyrektywy o prywatności i łączności elektronicznej zmieniono tam art. 5 ust. 3. W Opinii 2/2010 w sprawie internetowej reklamy behawioralnej (PDF), którą przyjęła 22 czerwca 2010 r. Grupa Robocza Art. 29 ds Ochrony Danych, można przeczytać następujący fragment odnośnie zmiany, której czas graniczny implementacji wypada w maju 2011:
Artykuł 5 ustęp 3 ma zastosowanie do „informacji” (które są przechowywane lub do których uzyskuje się dostęp). Powyższy ustęp nie kwalifikuje takich informacji. Aby wspomniany przepis miał zastosowanie nie jest konieczne, aby takie informacje były danymi osobowymi w rozumieniu dyrektywy 95/46/WE. Motyw 24 zawiera uzasadnienie tego podejścia, gdyż stwierdza się w nim, że „Wyposażenie terminali użytkowników oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności”. Konieczność wywiązania się ze zobowiązań, o których mowa w art. 5 ust. 3 związana jest z ochroną obszaru uważanego za prywatną sferę osoby, której dotyczą dane, a nie z faktem, czy dane informacje są danymi osobowymi.
Widać już z tego, że w tej tematyce nie chodzi jedynie o ochronę danych osobowych (bo pliki cookies nie pozwalają - same w sobie - na identyfikację tożsamości konkretnej osoby).
Poza tym, że znamy pochodzące od Grupy Roboczej Art. 29 interpretacje nowych przepisów, wiele podmiotów wzięło udział w konsultacjach społecznych, związanych z propozycją tych interpretacji. Chodzi głównie o kwestie zgody użytkowników na wykorzystanie plików cookies w serwisach internetowych. W Polsce dyskusja na ten temat koncentruje się dziś na proponowanej przez Ministerstwo Infrastruktury nowelizacji przepisów ustawy Prawo telekomunikacyjne. To właśnie tej ustawy dotyczy stanowisko Związku Pracodawców Branży Internetowej IAB Polska (z którym to związkiem współpracuję).
Sprawa nie jest prosta. Sam jestem webmasterem i to webmasterem o całkiem długim stażu. Wiem, że mechanizmy "sesji", pliki cookies i inne mechanizmy tego typu - usprawniają prace serwisów internetowych. Kiedy z inicjatywy Generalnego Inspektora Ochrony Danych Osobowych odbyła się konferencja naukowa na temat reformy ochrony prywatności - w czasie swojego referatu zadałem prowokacyjne pytanie: czy prywatność jeszcze istnieje? Przypominam o tym dlatego, że nie trzeba szukać zbyt daleko, by wskazać również przykłady serwisów administracji publicznej, które stosują pliki cookies. Takie przykłady wskazywałem podczas wspomnianej konferencji:
Screenshot serwisu Rzecznika Praw Obywatelskich, który wykorzystuje pliki cookies
Screenshot serwisu Generalnego Inspektora Ochrony Danych Osobowych, który wykorzystuje pliki cookies
Screenshot strony głównej Biuletynu Informacji Publicznej, który wykorzystuje pliki cookies
Jak widać "technologia cookies" jest wykorzystywana dość powszechnie i byłoby to wielką szkodą dla rzetelności dyskusji, gdyby taką problematykę wiązać wyłącznie z sieciami reklamowymi. Z racji swojej aktywności zawodowej mam okazję przyglądać się temu, w jaki sposób branża reklamowa podchodzi do tej dyskusji. Słyszałem nawet tezę, że branża reklamowa jest teraz ofiarą swojego własnego marketingu: jeśli klienci chcący kupić reklamę słyszą, że sieci reklamowe potrafią tak dokładnie skierować reklamę do precyzyjnie określonej grupy odbiorców (targetu), to pojawia się - w konsekwencji - przeświadczenie, że te sieci gromadzą naprawdę wiele informacji o użytkownikach serwisów internetowych i użytkownikach innych usług świadczonych elektronicznie. Ja zaś wiem, że precyzja określania "grupy docelowej" nie jest tak wielka, jak sugerują oferty i reklamówki branży reklamowej.
Co jeszcze dzieje się w tej sferze? Każda (to duży kwantyfikator, zatem może dodam: "licząca się na rynku"?) przeglądarka internetowa umożliwia dziś użytkownikom kontrolę wykorzystania plików cookies. Ma to Opera, ma to Firefox, ma to Internet Explorer, ma to Chrome. To jest dziś normą. Czy zatem wystarczy, że (świadomy) użytkownik w taki sposób ustawi narzędzia, z których korzysta z internetu, by dopuścić lub przeszkodzić stosowaniu plików cookies?
Prawo cywilne generalnie uznaje różne formy wyrażania zgody. Sięgnijmy np. do art 60 kodeksu cywilnego:
Z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny, w tym również przez ujawnienie tej woli w postaci elektronicznej (oświadczenie woli).
Trochę inaczej jest w ustawie Prawo telekomunikacyjne, ale też i kontekst tamtej ustawy jest inny:
Art. 174.
Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;
3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.
Dziś stosowanie plików cookies w Polsce regulowane jest właśnie przepisami ustawy Prawo telekomunikacyjne (art 173), chociaż - jak uważam - ta problematyka bardziej odpowiada materii, której dotyczy ustawa o świadczeniu usług drogą elektroniczną. W dyskusji podnosi się czasem, że te regulacje powinny być przeniesione do uśude, ale czy prawodawca uzna to za celowe - tego określić się nie da do momentu, aż się to stanie. Skoro mowa o ustawie o świadczeniu usług drogą elektroniczną, to tam również są przepisy dotyczące zgody:
Art. 4.
1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy to zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
2) może być odwołana w każdym czasie.
2. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych.
Pytanie brzmi: czy jeśli użytkownik przeglądarki ma kontrolę nad plikami cookies, to czy wystarczy, że wyłączy on w ustawieniach przeglądarki możliwość wykorzystania tej technologii, aby można było uznać, że się na jej stosowanie nie zgadza, zaś włączenie obsługi ciastek oznacza zgodę?
Sprawa się komplikuje, gdy do całości zagadnienia doda się takie zjawiska, jak ciasteczka flash, albo fakt, że konfiguracje używanych przeglądarek są w dużej mierze unikalne. To zaś było przedmiotem zainteresowania takich projektów, jak Panopticlick, realizowanych przez Electronic Frontier Foundation.
Są jeszcze inne problemy i zajwiska, np. tzw. "głęboka inspekcja pakietów", albo - z innej beczki - tzw. re-spawning (respawning). To ostatnie zjawisko zostało dość jednoznacznie i stanowczo potępione przez branżę reklamową (zob. IAB Europe warns against 'illegal' cookie respawning).
Zresztą szeroko pojęta branża reklamowa dość intensywnie zabiega o to, by w ramach dobrych praktyk wskazywać dopuszczalne (w branży) i niedopuszczalne praktyki. W tym kontekście warto chyba jeszcze pokazać taką inicjatywę, jak Your online choices - serwis internetowy, w przygotowanie którego zaangażowane są zarówno sieci reklamowe, ale i wydawcy serwisów internetowych (ci najwięksi, ale i ci mniejsi). Serwis ten w całości poświęcony jest zjawisku reklamy behawioralnej, a w warstwie praktycznej pozwala użytkownikowi-konsumentowi na dokonanie pewnych osobistych ustawień, związanych z taką reklamą. Do tego trzeba dodać jeszcze, że trwają prace nad globalnym kodeksem dobrych praktyk branży. Globalnym, ponieważ obejmującym zarówno USA, jak i wszystkie kraje Unii Europejskiej oraz inne jeszcze. W ramach tego kodeksu wydawcy i sieci reklamowe zobowiążą się do tego, by w przypadku stosowania technik behawioralnych - kampanie reklamowe były specjalnie oznaczane (mówi się o charakterystycznej ikonie, która będzie w istocie linkiem do specjalnie przygotowanej strony internetowej, a na tej stronie będą szczegółowe informacje o ustawieniach prywatności, o podmiotach, które realizują kampanie, będzie można też na takiej stronie zablokować targetowanie).
Dzieje się wiele. I o tym warto rozmawiać.
Informacja na temat seminarium dostępna jest również na stronach Fundacji. O poprzednich seminariach Fundacji Panoptykon przeczytaj również w następujących notatkach:
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Ciasteczka Google Analytics to nie targetowanie behavioralne
To co widać na zrzutach stron to są ciasteczka Google Analytics. One nie mają nic wspólnego z targetowaniem bahawioralnym.
Raczej powinno było pokazać ciasteczka z AdWords które są serwowane w ramkach z takich serwerów jak DoubleClick DART,
Podobnie można pokazać ciasteczka Facebooka czy YouTube i wytłumaczyć jak działają od strony technicznej.
Zresztą ludzie maja możliwość decydowania jakie reklamy mają się wyświetlać
http://www.google.com/ads/preferences/view
albo mają wpływ na ciasteczka GA za pomocą wtyczki http://tools.google.com/dlpage/gaoptout
Listę dostawców behawioralnej reklamy znajdziecie na
http://www.networkadvertising.org/managing/opt_out.asp
Moim zdaniem podobny problem będzie przy usługach analitycznych i reklamowych na aplikacjach dla inteligentnych komórek (smartfonów) gdy dojdzie jeszcze stosowanie na większą skalę usług geolokalizacyjnych.
Ciasteczka flashowe mają tą zaletę że działają niezależnie od przeglądarki i mogą przechowywać wiele więcej danych co można wykorzystać przy reklamach video.
Do czyśczenia ciasteczek flashowych warto użyć prostego programu Flash Cookie Cleaner http://www.flashcookiecleaner.com/
Moje zdanie jest takie że można identyfikować użytkownika w internecie i dostarczać mu spersonalizowaną reklamę tak jak to robi Facebook. Rzecz w tym że to dzieje się za zgodą użytkownika. Który zgodził się na warunki stawiane w regulaminie oraz świadomie ustawił sobie ustawienia prywatności.
Podobnie można się spytać czy rynek reklamodawców dojrzał do tego żeby pytać się użytkownika o zgodę na wyświetlenie mu reklamy. To ma sens jak coś zaoferuje się użytkownikowi sieci reklamowej coś wartościowego.
Do tej pory beneficjentem programów reklamowych byli webmasterzy w modelu opt-out to oznacza że użytkownik mógł wyłączyć działanie systemu reklamowego.
Teraz proponowane przepisy prawne dążą do tego żeby beneficjentem reklamy stał się użytkownik na zasadzie wyświetlamy Ci reklamy za twoją zgodą. Użytkownik jak będzie oglądał stronę z reklamą pewnej sieci reklamowej zostanie poproszony o przystąpienie do tej sieci reklamowej i wtedy będzie zarabiał na tym ile danych reklam zobaczył. W tym modelu potrzebne jest ciągłe śledzenie użytkownika. Co oznacza, że zmiany przepisów prawa jeszcze bardziej wpędzają użytkownika w targetowanie behawioralne.
Google Analytycs nie taki straszny
Tak się składa iż korzystam z Google Analitycs i stwierdzam autorytatywnie iż nie stanowi to zagrożenia dla prywatności użytkowników mojej strony z uwagi iż dane pozyskane w te sposób nie są danymi osobowymi. Nawet adres IP o ile nie pochodzi z sieci lokalnej nic mi nie mówi kto i z jakiej miejscowości był na mojej stronie-na przykład mój adres IP którym posługuję się pisząc tego posta wskaże na DNS w Olsztynie, mimo iż mieszkam w województwie Podlaskim. Takie dane jak: przeglądarki, systemy operacyjne, przeglądarka i systemy operacyjne, kolory ekranu, rozdzielczości ekranu, obsługa języka Java, Flash, nie są powiązane z konkretnymi adresami IP jak i czasem odwiedzin i mają charakter czysto statystyczny mający na celu dostarczenia informacji do maksymalne dopasowanie mojej strony do wymagań sprzętowo-programowych użytkowników mojej strony. Z drugiej strony jednak w niepowołanych rękach te dane mogą posłużyć do budowy witryny w celach przestępczych po przez jej optymalizację do wyłudzenia danych od jej użytkowników na podstawie danych o najczęściej używanych systemach operacyjnych, przeglądarkach wraz z rozszerzonymi ich funkcjami. Proszę wziąć pod uwagę iż wiele stron internetowych może istnieć dzięki reklamie, a dane behawioralne pozwalają na lepszą targetyzację reklamy, zwiększenie skuteczności i obniżenie jej kosztów.
Na szczęście internet jak na razie to takie miejsce, iż inni wiedzą o nas tylko tyle, ile my sami na to im pozwolimy.
Niezupełnie
W sieci ktoś może sobie zapisać np. mój numer telefonu albo zdjęcie z opisem i linkiem do jakichś innych moich danych.
Warto tak szerzej rozumieć zagrożenia prywatności - a wystarczy choćby odpowiednie połączenie istniejących, nawet jawnych i samych w sobie niegroźnych kropek.