„Shadow profiles” – co to jest, jak temu przeciwdziałać

Firmy takie jak Facebook mają już choćby podstawową wiedzę na Twój temat – nawet, jeżeli nigdy nie rejestrowałeś/-aś tam konta. W tym artykule wyjaśniamy, na czym polegają tzw. „shadow profiles”, i jak zminimalizować ryzyko z nimi związane.

Oliwier Jaszczyszyn

Wyobraźmy sobie pewną sytuację. Nigdy nie miałeś/-aś konta na Facebooku, i dopiero się tam rejestrujesz.

W dość szybkim tempie algorytmy reklamowe Facebooka były w stanie wyczuć, kim jesteś, czym się w internecie zajmujesz, czym się interesujesz, kto potencjalnie może być Twoim znajomym – żeby to były tylko te rodzaje danych.

Praktycznie całe przychody — bo stanowią one aż 97,5% ich części — pochodzi z segmentu reklamowego Facebooka.

My z kolei możemy sobie zadawać pytanie — czemu się tak dzieje? Skąd Facebook wie o nas tyle, że może nam serwować spersonalizowane reklamy pod nasze gusta, i to mimo tego, że dopiero się tam zarejestrowaliśmy?

Odpowiedź kryje się w tzw. „profilach-duchach” — albo „shadow profiles”. Ponieważ polskojęzyczne pojęcie brzmi dla mnie niezbyt naturalnie, będę stosował przez resztę artykułu to anglojęzyczne.

Czym są „shadow profiles”?

„Shadow profiles” to zestawienia danych na temat użytkowników poszczególnych serwisów, które zostały zebrane bez ich zgody i wiedzy.

Pojęcie to zostało spopularyzowane głównie z uwagi na wszędobylskość Facebooka, jednak nie jest ono zarezerwowane na wyłączność usług Mety Platforms. Właściwie każdy serwis, tym bardziej wobec którego udowodnione zostały liczne naruszenia prywatności, może takie profile stosować, żeby potem móc je łączyć z faktycznymi kontami, o ile ktoś zdecyduje się takie zarejestrować.

Jest to kontrowersyjna praktyka w kontekście prawnym (choćby dlatego, że od 2018 roku na terenie krajów Unii Europejskiej obowiązuje RODO), i technicznym (ponieważ nie można takich danych wiecznie przechowywać — w końcu kiedyś skończy się przestrzeń na takie profile).

„Shadow profiles” a RODO

Rozwijając wątek prawny, jakiekolwiek przetwarzanie jakichkolwiek danych osobowych wymaga wyraźnej i świadomej zgody poszczególnej osoby, albo odpowiednio uzasadnionej podstawy prawnej. Ponieważ w ogromnej części przypadków tworzenie „shadow profili” nie spełnia przesłanek tego drugiego, administratorzy danych muszą polegać na warunku świadomie (jak i też dobrowolnie) udzielonej zgody.

Innymi słowy, samo załadowanie strony — na co niektórzy się powołują jako wystarczający argument — w rzeczywistości nie jest odpowiednią przesłanką do tego, żeby uznać to jako świadomie udzieloną zgodę, co zostało wymienione w motywie 32. preambuły RODO, a także w wyroku Trybunału Sprawiedliwości Unii Europejskiej o sygnaturze C-673/17.

Dopiero wtedy, gdy podejmiemy świadomie, i przede wszystkim dobrowolnie, jakiekolwiek działania mające na celu wyrażenie naszej zgody, możemy tylko wtedy mówić o jej ważności.

Konkludując — jeżeli klikniemy na wyżej wspomnianym Facebooku, czy jakimkolwiek innym serwisie społecznościowym, na przycisk rejestracji konta, wypełnimy formularz odpowiednimi danymi i go zaakceptujemy, wtedy takie działanie zostało przez nas podjęte celowo — po to, żebyśmy mogli mieć utrzymywane tam konto (i przy okazji w ten sposób udzieliliśmy wyraźnej zgody na przetwarzanie danych przez Facebooka, albo inny podmiot utrzymujący wybrany przez nas serwis społecznościowy).

Jednak gdy nie mamy tam konta, i co więcej, nigdy się nie rejestrowaliśmy, Meta Platforms (jako właściciel Facebooka, Instagrama, czy WhatsAppa) nie ma prawa do tego, żeby na Twój temat przechowywać dane. Jako iż wyegzekwowanie swoich praw na tym polu może graniczyć z niemożliwością, należy w takich sytuacjach działać prewencyjnie.

Jak się przed tym chronić?

Wtyczki do blokowania reklam

Jako pierwszą linię ochrony, zainstaluj sobie w przeglądarce wtyczkę o nazwie uBlock Origin (jeżeli korzystasz z przeglądarki opartej o Google Chrome’a — wyposaż się w wersję Lite z uwagi na ostatnie zmiany w tamtejszym systemie rozszerzeń).

Jeżeli korzystasz z przeglądarki opartej o Firefoxa na swoim telefonie, wyposaż się w uBlocka także i tutaj.

Choć wtyczka ta ma wbudowaną ochronę przed wybranymi skryptami śledzącymi Facebooka, musimy ustawić ją tak, żeby blokowała także ładowanie ramek interaktywnych pochodzących z największych serwisów społecznościowych.

Żeby to zrobić, wchodzimy w ustawienia wtyczki:

…po czym w sekcji „Filter lists” zaznaczamy wszystkie pola w sekcji „Social widgets” i zapisujemy zmiany.

Choć zrzuty ekranu wykonałem na komputerze, te instrukcje możesz powtórzyć bez problemu również na swoim telefonie.

Niektóre przeglądarki czy wtyczki — takie jak te od choćby DuckDuckGo — oferują podobny poziom ochrony (tj. blokowanie interaktywnych ramek z popularnych serwisów społecznościowych, ale z możliwością ich jednorazowego odblokowania) od razu po zainstalowaniu, bez dodatkowej konfiguracji. Wtyczka, o której mowa, nosi nazwę DuckDuckGo Privacy Essentials — jednak miej na uwadze to, że wtyczka ta może także zmienić Twoją domyślną wyszukiwarkę na DuckDuckGo, co może okazać się dla niektórych frustrujące.

Użytkownicy platform mobilnych mogą także skorzystać z przeglądarki mobilnej od DuckDuckGo. Jest ona dostępna na Apple App Store czy Google Play Store, ale i też na choćby F-Droidzie.

Dla osób lubiących mieć absolutną kontrolę nad wszystkim, co „dochodzi” do przeglądarki, mogę polecić wtyczkę uMatrix (dostępna tylko na przeglądarki oparte o Firefoxa). Może być ona jednak skomplikowana dla osób nietechnicznych — wtyczka wskazuje tylko konkretne adresy domenowe, z którymi dana strona internetowa się łączyła, żeby móc ją w całości wyświetlić.

Blokowanie na poziomie DNS

Choć blokowanie skryptów śledzących na poziomie DNS jest co do zasady skuteczniejsze, tak nie zadziała ono wystarczająco skutecznie, jeżeli chcielibyśmy zablokować np. konkretne ramki interaktywne. Blokowanie niechcianej zawartości przez wtyczki w przeglądarce, a poprzez narzędzia działające na poziomie DNSów, to dwie zupełnie osobne rzeczy.

Niemniej jednak warto wyposażyć się w taką dodatkową linię ochrony, ponieważ jeżeli zapytanie DNS nie zostanie poprawnie zrealizowane, to do połączenia się z wybraną stroną w ogóle nie dojdzie (o ile nie znamy jej bezpośredniego adresu IP).

Ponieważ jest to bardziej złożona kwestia, osobny poradnik, który będzie oparty o usługę NextDNS, jest w przygotowaniu. Jeżeli wiesz, jak skonfigurować np. Pi-hole’a, z chęcią zobaczylibyśmy Twój poradnik — daj nam znać, jeżeli chcesz, żebyśmy taki tekst sprawdzili (i jeżeli wszystko będzie dobrze, opublikowali u siebie).

Źródła

Zdjęcie tytułowe zostało zrobione przez użytkownika o pseudonimie Prosthetic Head i jest ono dostępne na Wikimedia Commons na licencji Creative Commons BY-SA 4.0 International.

Udostępnij ten artykuł:

kontrabanda.net/r/shadow-profiles-co-to-jest-jak-temu-przeciwdzialac/

Kopiuj

Wesprzyj „Kontrabandę”!

„Kontrabanda” jest portalem, na którym nie ma reklam, nadmiaru treści sponsorowanych ani też clickbaitów. Prowadzimy go w trzy osoby z zamiłowania do technologii. Z tego względu naszym jedynym źródłem utrzymania się są na ten moment dobrowolne datki.

Przemyśl przelanie nam nawet kilku złotych miesięcznie jedną z wybranych metod, żeby „Kontrabanda” mogła się rozwijać. Dziękujemy!

buycoffee.to
patronite.pl
Monero (XMR)

Nie jesteś w stanie wesprzeć nas finansowo w tej chwili? Żaden problem. Wystarczy już nawet to, że przekażesz dalej artykuł napisany na „Kontrabandzie”, taki jak ten, który obecnie czytasz.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Komentując, pamiętaj o przestrzeganiu regulaminu prowadzenia dyskusji. Jeżeli masz konto w Fediwersie, Twój komentarz się tutaj również pojawi po przejściu moderacji.