Норвегия vs Meta: перестанет ли компания следить за пользователями из ЕС?

Основные моменты:

• Норвежский орган регулирования временно запретил поведенческую рекламу в Instagram и Facebook из-за отсутствия явного согласия пользователей
• Meta меняет правовую основу для обработки персональных данных в ЕС на «согласие пользователя»
• Прекращение онлайн-отслеживания действий пользователей станет для Meta дорогостоящей и технически сложной задачей
• Если давление на Meta усилится, не исключено, что компания прекратит или ограничит свою деятельность в ЕС

Что произошло

Meta, владеющая Facebook и Instagram, попала под горячую руку в Норвегии. 17 июля Норвежское управление по защите данных предписало компании прекратить показ персонализированной рекламы, основанной на поведении пользователей, на территории страны. По мнению ведомства, Meta нарушает закон, наблюдая за своими пользователями и составляя их профили без их явного согласия. В результате был наложен трёхмесячный запрет на поведенческую рекламу на обеих платформах. Запрет вступит в силу 4 августа и продлится до октября. Если Meta не выполнит предписание или не изменит свою практику сбора данных, ей грозит штраф в размере 100 000 долларов за каждый день промедления.

Но что же такое «поведенческая реклама»? Это вид рекламы, который использует ваши данные для показа высокорелевантных объявлений с учётом ваших интересов и предпочтений. Meta собирает эти данные, отслеживая ваше поведение в интернете, например, активность при просмотре веб-страниц, сообщения в социальных сетях, историю поиска, данные об использовании приложений и местоположении. Загвоздка в том, что все эти данные собираются без вашего явного разрешения. То есть вы, как правило, не знаете, как и с какой целью собирается информация о вас.

Почему Норвегия нацелилась на Meta именно сейчас?

Неискушённому наблюдателю может показаться совершенно неожиданным шаг норвежского ведомства в отношении компании Meta и её многолетней рекламной практики. Однако время для этого выбрано не случайно. Распоряжение появилось после решения Суда Европейского Союза от 4 июля, в котором говорится, что Meta не может ссылаться на «законные интересы» в качестве правового основания для обработки данных для персонализированной рекламы.

Только за этот год компания Meta несколько раз меняла правовую основу для обработки данных пользователей в ЕС. До апреля Meta заявляла о «контрактной необходимости» как о законном основании для сбора данных пользователей. После того как Европейский совет по защите данных (EDPD) установил, что «реклама не необходима для выполнения предполагаемого контракта с пользователями Facebook и Instagram», Meta изменила правовую основу на «законные интересы», но постановление от 4 июля положило конец и этому. Исчерпав возможности обходных путей, 1 августа Meta снова изменила правовую основу, на этот раз окончательно на «согласие пользователя».

В теории это означает, что Meta должна будет напрямую спрашивать согласия пользователей на поведенческую рекламу, прежде чем собирать их данные для этих целей. По сообщению The Wall Street Journal, компания Meta предложила регулирующим органам в ЕС ограничить поведенческую рекламу строго теми пользователями, которые дали своё согласие.

Остаётся много вопросов относительно того, как именно Meta будет запрашивать согласие и будут ли использоваться серые схемы. Короче говоря, радоваться ещё рано.

Решение Meta изменить правовую основу обработки данных уже вызвало реакцию норвежской службы контроля, которая рассматривает это как победу в своей кампании против слежки в интернете. «Хотя Meta заявляет, что это добровольный шаг с их стороны, выглядит это очень неубедительно», — сказал The Wired Тобиас Юдин, представитель норвежской организации по контролю за соблюдением конфиденциальности. Однако он предупредил, что Meta всё ещё может попытаться обманом заставить пользователей дать согласие на такую слежку.

Потенциальное влияние норвежского запрета

Решение норвежского регулирующего органа не означает, что Meta или Instagram запрещены в Норвегии. Оно также не означает, что они не могут показывать персонализированную рекламу своим пользователям. Оно означает, что Meta должна уважать выбор и предпочтения пользователей относительно того, как используются и передаются их данные. Meta по-прежнему может таргетировать рекламу на основе информации, которой пользователи охотно и осознанно делятся, например, возраста, пола, местоположения, а также их интересов. И если Meta сможет доказать, что она действительно получила согласие пользователей на сбор данных для поведенческой рекламы, она сможет показывать и её.

Норвежский регулятор сообщил, что после лета планирует поднять этот вопрос в EDPB (European Data Protection Board). EDPB — это группа органов по защите данных из всех стран ЕС, а также Норвегии, Лихтенштейна и Исландии. Они, в свою очередь, могут принять решение о распространении запрета на поведенческую рекламу Meta за пределы Норвегии и определить срок его действия. Если это произойдёт, то бизнес Meta, который в значительной степени зависит от доходов от рекламы, окажется под ударом.

Варианты для Meta: адаптация к запрету

Безусловно, у Meta есть возможность адаптироваться и прекратить отслеживание, но проблема в том, что это может влететь компании Марка Цукерберга в копеечку. В качестве альтернативы компания может выбрать гораздо более грубый подход, который она в настоящее время тестирует в ЕС с помощью своего нового приложения Threads, — запретить норвежцам пользоваться Facebook и Instragm вообще, даже через VPN.

Если Meta решит приспособиться к запрету, а не отказываться от норвежского рынка, у неё будет три варианта действий: сбор поведенческих данных только от норвежских пользователей, которые согласятся на это, полное прекращение сбора поведенческих данных пользователей в Норвегии или прекращение показа рекламы норвежским пользователям.

Прекращение показа рекламы жителям определённой страны — относительно простая техническая задача, которая может быть реализована очень быстро. С другой стороны, прекратить сбор информации, используемой для отслеживания поведенческих факторов, довольно сложно. Это связано с тем, что подобная функциональность является «неотъемлемой» частью Meta, которую нельзя просто отключить. Каждое взаимодействие внутри приложений пользователя отслеживается и анализируется, становясь частью профиля.

Другими словами, Meta построила свои приложения и сайты таким образом, что они всегда собирают ваши данные, независимо от того, что вы делаете. Более того, даже если вы не пользуетесь приложениями Meta, такими как Facebook или Instagram, она всё равно может собирать ваши данные из сторонних мобильных приложений, в которые встроены инструменты Meta. Около 40% бесплатных приложений в Google Play передают данные компании Meta через используемый ими комплект разработки программного обеспечения (SDK) Facebook.

Учитывая всё это, мы считаем, что если Meta попытается всерьёз соблюдать запрет, то, вероятно, самым простым способом сделать это будет просто блокировать большинство запросов из Норвегии, связанных с рекламой и отслеживанием на их стороне. На практике это означает, что если вы пользуетесь приложением или сайтом, использующим SDK Meta, и находитесь в Норвегии, то Meta не будет получать или отправлять какую-либо информацию с вашего устройства или на него. Это может привести к тому, что некоторые функции приложений и сайтов Meta не будут работать в Норвегии. Например, вы можете не увидеть некоторые рекомендации или предложения, основанные на вашем поведении в интернете.

Если Meta пойдёт по этому пути, она будет делать то же самое, что уже делают блокировщики рекламы: запрещать приложениям и сайтам отправлять или получать информацию, связанную с рекламой или трекингом, на ваше устройство или с него.

Почему Норвегия лидирует в области защиты данных?

Обычно Норвегия не играет ведущей роли в вопросах конфиденциальности данных в Европе — нам привычнее слышать, как Франция, Германия и Ирландия, где находится главный регулятор конфиденциальности данных в ЕС, бросают вызов техногигантам. Однако это не должно шокировать.

На Норвегию, хоть она и не входит в ЕС, распространяется действие GDPR (Общий регламент по защите данных), и она стала страной, поддерживающей приватность. Подавляющее большинство норвежцев, похоже, знают о своих правах на неприкосновенность частной жизни. По состоянию на июнь 2018 года более 82% норвежцев слышали о GDPR, а более половины сообщили о получении электронных писем с просьбой о согласии от сторон, о которых они не знали, что у них есть их адрес. По данным опроса DPA Норвегии о конфиденциальности в 2019–2020 годах, 83% норвежцев очень или в некоторой степени обеспокоены вопросами конфиденциальности. Почти семь из десяти респондентов заявили, что, по их мнению, они не имеют достаточного контроля над тем, как хранится и используется личная информация в интернете, а шесть из десяти заявили, что чувствуют себя бессильными, когда речь заходит о контроле над их личной информацией в интернете.

Эти сильные позиции в отношении конфиденциальности отражены в наших собственных исследованиях. Согласно нашему отчёту о состоянии отслеживания рекламы в мире в 2023 году, Северная Европа живёт в онлайн-среде, которая значительно чище от трекинга, чем остальная часть континента. По нашим данным, норвежцы встречают в среднем на 20% меньше рекламных трекеров, чем среднестатистический европеец. Технически это объясняется тем, что местные приложения и сайты не слишком агрессивно отслеживают пользователей. Это очевидно, когда мы сравниваем ведущие норвежские новостные сайты, такие как vg.no, с другими ведущими медиасайтами. Например, когда мы использовали AdGuard на vg.no, мы обнаружили, что он заблокировал только 5 рекламных запросов, в то время как на The Guardian счётчик превышал 20. Но следует иметь в виду, что количество блокируемых трекеров на одних и тех же сайтах может меняться в каждый момент времени, а также зависит от настроек приложения, блокирующего рекламу.

Перспективы

Если посмотреть на картину в целом, то решение норвежского регулятора показывает, что тенденция борьбы с поведенческим отслеживанием набирает обороты, по крайней мере, в Европе. До сих пор Meta, в отличие от некоторых своих конкурентов, таких как Google с его Privacy Sandbox, демонстрировала, что она больше заинтересована в борьбе с законами о защите частной жизни, чем в адаптации к этой тенденции. Возможно, это станет последней каплей, которая заставит компанию сильно измениться.

Однако если Meta в обозримом будущем не пересмотрит свою политику сбора данных, причём не только на бумаге, но и в реальности, то в какой-то момент она может просто перестать вести бизнес в ЕС.