Rozwiązania technologiczne

Opracowano szereg technologii zwiększających prywatność w celu ochrony prywatności użytkowników podczas interakcji z witrynami internetowymi, takich jak programy blokujące oprogramowanie szpiegujące, blokujące wyskakujące okienka, menedżery plików cookie i bezpieczna poczta e-mail (patrz Tabela 8.10). Jednak najpotężniejsze narzędzia do ochrony prywatności muszą być wbudowane w przeglądarki. W odpowiedzi na naciski ze strony obrońców prywatności przeglądarki mają teraz szereg narzędzi, które mogą pomóc użytkownikom chronić ich prywatność, na przykład eliminując pliki cookie stron trzecich. Potencjalnie jedną z najpotężniejszych zabezpieczeń opartych na przeglądarkach jest wbudowana funkcja Nie śledź (patrz przypadek Insight on Technology, Every Move You Take, Every Click You Make, Będziemy Cię śledzić w rozdziale 6). Większość z tych narzędzi kładzie nacisk na bezpieczeństwo – zdolność osób do ochrony swojej komunikacji i plików przed nieuprawnionymi szpiegami. Szyfrowanie jest również potencjalnie ważną technologią służącą do ochrony prywatności wiadomości i dokumentów. Jak wspomniano powyżej, firma Apple wdrożyła szyfrowanie swoich urządzeń i wiadomości tekstowych iMessage, a także istnieje wiele popularnych aplikacji do szyfrowania komunikacji między urządzeniami cyfrowymi. Przeglądanie prywatne to kolejne narzędzie ochrony prywatności dostępne w większości przeglądarek, które wyłącza historię przeglądania i pliki cookie. Może to być przydatne do ochrony komputera konsumenta we współdzielonym środowisku, w którym kilku użytkowników ma dostęp do tego samego komputera. Historia przeglądania jest nadal przechowywana na serwerze internetowym. Niektóre technologie dotyczą aspektów bezpieczeństwa prywatności, zwłaszcza zagrożenia atakami typu man-in-the-middle. Wyspecjalizowane przeglądarki, takie jak Epic i Ice Dragon, całkowicie szyfrują przeglądanie i inne dane użytkowników, nawet na poziomie serwera. Bardzo powszechnym protokołem bezpieczeństwa jest HTTPS, który szyfruje wiadomości między komputerem a serwerem komputerowym i sprawdza, czy użytkownicy komunikują się z autentyczną witryną, a nie z witryną oszusta. Żadne z tych rozwiązań technologicznych nie rozwiązuje podstawowych kwestii związanych z prywatnością konsumentów, które mają związek z tym, jakie informacje są gromadzone, w jaki sposób są wykorzystywane i jakie prawa mają konsumenci w odniesieniu do ich danych osobowych.

Samoregulacja branży

Same przepisy rządu federalnego nie wystarczą, aby chronić prywatność konsumentów. Technologia rozwija się szybko i zapewnia marketerom więcej narzędzi do gromadzenia i wykorzystywania prywatnych informacji konsumentów, zanim organy ustawodawcze i agencje rządowe będą mogły zareagować. Branża internetowa w Stanach Zjednoczonych od dawna sprzeciwiała się przepisom dotyczącym prywatności w Internecie, argumentując, że przemysł może lepiej chronić prywatność niż rząd. Branża internetowa utworzyła w 1998 r. Online Privacy Alliance (OPA), aby zachęcać do samoregulacji, częściowo w odpowiedzi na rosnące obawy społeczne i zagrożenie ustawodawstwem proponowanym przez FTC i grupy obrońców prywatności. OPA opracowała zestaw wytycznych dotyczących prywatności, które członkowie są zobowiązani do wdrożenia. Głównym celem wysiłków branży było opracowanie internetowych „pieczęci” które potwierdzają politykę prywatności w witrynie. Better Business Bureau (BBB), TRUSTe, WebTrust i największe firmy księgowe, w tym Better-Web PricewaterhouseCoopers, ustanowiły pieczęcie dla witryn internetowych. Pieczęć TRUSTe jest najczęściej stosowana w sieci. Aby wyświetlić pieczęć, operatorzy witryn internetowych muszą przestrzegać pewnych zasad prywatności, procesu rozpatrywania reklamacji i monitorowania przez twórcę pieczęci. Niemniej jednak internetowe programy zapewniające ochronę prywatności miały ograniczony wpływ na praktyki w zakresie prywatności w Internecie. Krytycy twierdzą, że programy pieczętowania nie są szczególnie skuteczne w ochronie prywatności. Na przykład w 2015 r. FTC sfinalizowała ugodę, w której nałożyła na TRUSTe grzywnę za brak corocznej ponownej certyfikacji programów ochrony prywatności w ponad 1000 przypadkach, chociaż twierdziła, że ​​zrobiła to na swojej stronie internetowej. Z tych powodów FTC nie uznała programów fok za „bezpieczne przystanie”, a agencja nadal dąży do wprowadzenia przepisów egzekwujących zasady ochrony prywatności. Branża sieci reklamowych utworzyła również stowarzyszenie branżowe Network Advertising Initiative (NAI) w celu opracowania polityki prywatności. Polityka NAI ma dwa cele: zaoferowanie konsumentom możliwości rezygnacji z programów sieci reklamowych (w tym kampanii e-mailowych) oraz zapewnienie konsumentom odszkodowania w przypadku nadużyć. Aby zrezygnować, NAI utworzył witrynę internetową – Networkadvertising.org – na której konsumenci mogą korzystać z funkcji globalnej rezygnacji, aby uniemożliwić sieciowym agencjom reklamowym umieszczanie plików cookie na komputerze użytkownika. Jeśli konsument ma skargę, NAI ma link do strony internetowej Truste.org, na której można złożyć skargę . Program AdChoices to kolejna inicjatywa sponsorowana przez branżę, mająca na celu zachęcenie stron internetowych do większej przejrzystości w zakresie wykorzystywania danych osobowych i zwiększenia prawdopodobieństwa wyświetlania użytkownikom odpowiednich reklam poprzez zadawanie im pytań. Obok reklam pojawia się ikona AdChoices, a kliknięcie tej ikony zapewnia więcej informacji i daje możliwość przesłania opinii reklamodawcy. Nie ma jeszcze dostępnych danych wskazujących, jak dobrze działa ten program. Ogólnie rzecz biorąc, wysiłki branży na rzecz samoregulacji w zakresie prywatności w Internecie nie odniosły sukcesu w zmniejszeniu amerykańskich obaw przed naruszeniem prywatności podczas transakcji online ani w zmniejszeniu poziomu naruszenia prywatności. W najlepszym przypadku samoregulacja umożliwiła konsumentom zwrócenie uwagi na to, czy istnieje polityka prywatności, ale zwykle niewiele mówi o faktycznym wykorzystaniu informacji, nie daje konsumentom możliwości wglądu i poprawiania informacji lub kontrolowania ich wykorzystania w jakikolwiek istotny sposób, nie oferuje żadnych obietnic dotyczących bezpieczeństwa tych informacji ani mechanizmu egzekwowania

Europejska dyrektywa o ochronie danych

bezpieczna przystań: prywatna samoregulująca polityka i egzekwowanie mechanizmu, który spełnia cele rządowych organów regulacyjnych i ustawodawstwa, ale nie obejmuje rządowych regulacji ani egzekwowania

Tarcza Prywatności: inna nazwa nowego europejskiego ogólnego rozporządzenia o ochronie danych (RODO)

W Europie ochrona prywatności jest znacznie silniejsza niż w Stanach Zjednoczonych. W Stanach Zjednoczonych organizacje prywatne i przedsiębiorstwa mogą wykorzystywać informacje osobowe zebrane w transakcjach handlowych do innych celów biznesowych bez uprzedniej zgody konsumenta (tzw. Wtórne wykorzystanie PII). W Stanach Zjednoczonych nie ma federalnej agencji zajmującej się egzekwowaniem przepisów dotyczących prywatności. Zamiast tego, przepisy dotyczące prywatności są egzekwowane w dużej mierze poprzez samoregulację przez przedsiębiorstwa i osoby fizyczne, które muszą pozywać agencje lub firmy przed sądem, aby odzyskać odszkodowanie. Jest to kosztowne i rzadko się robi. Europejskie podejście do ochrony prywatności ma bardziej kompleksowy i regulacyjny charakter. Kraje europejskie nie zezwalają firmom na wykorzystywanie danych osobowych bez uprzedniej zgody konsumentów. Egzekwują swoje przepisy dotyczące prywatności, tworząc agencje ochrony danych w celu rozpatrywania skarg wnoszonych przez obywateli i aktywnie egzekwują przepisy dotyczące prywatności. W 1998 roku weszła w życie Dyrektywa Komisji Europejskiej o ochronie danych, standaryzująca i rozszerzająca ochronę prywatności w UE. narody. Dyrektywa jest oparta na doktrynie uczciwych praktyk informacyjnych, ale rozszerza zakres kontroli, jaką jednostki mogą sprawować nad swoimi danymi osobowymi. Dyrektywa nakładała na firmy obowiązek informowania ludzi, kiedy zbierają o nich informacje, oraz ujawniania, w jaki sposób będą one przechowywane i wykorzystywane. Klienci musieli wyrazić zgodę, zanim firma mogła legalnie wykorzystać dane o nich, a oni mieli prawo dostępu do tych informacji, ich poprawiania oraz żądania zaprzestania gromadzenia dalszych danych. Ponadto dyrektywa zakazała przekazywania danych osobowych do organizacji lub krajów, które nie mają podobnie silnych zasad ochrony prywatności. Oznaczało to, że dane gromadzone w Europie przez amerykańskie firmy biznesowe nie mogły być przekazywane ani przetwarzane w Stanach Zjednoczonych (które mają słabsze przepisy dotyczące ochrony prywatności). Mogłoby to potencjalnie zakłócić przepływ handlu towarami, usługami i inwestycjami między Stanami Zjednoczonymi a Europą na poziomie 6,9 ​​bln USD rocznie. Departament Handlu Stanów Zjednoczonych we współpracy z Komisją Europejską opracował zasady bezpiecznej przystani, które umożliwiają firmom amerykańskim przenoszenie danych osobowych z Europy do Stanów Zjednoczonych. Bezpieczna przystań to prywatna samoregulująca polityka i mechanizm egzekwowania, który spełnia cele rządowych organów regulacyjnych i ustawodawstwa, ale nie obejmuje rządowych regulacji ani egzekwowania. Rząd Stanów Zjednoczonych odegrał jednak pewną rolę w wydawaniu certyfikatów bezpiecznych przystani. Jednak w październiku 2015 r. Europejski sąd najwyższy całkowicie odrzucił porozumienie w sprawie bezpiecznej przystani, w dużej mierze z powodu ujawnienia Edwarda Snowdena, że ​​Facebook udostępnił Narodowej Agencji Bezpieczeństwa dane osobowe obywateli europejskich, a tym samym naruszył warunki umowy. . W 2015 r. Rada Europejska zatwierdziła nową UE. Ogólne rozporządzenie o ochronie danych (RODO), które zastąpi dotychczasową dyrektywę o ochronie danych. Nowe RODO (czasami określane jako Tarcza Prywatności) weszło w życie w czerwcu 2016 r. RODO obowiązuje w całej UE. krajów, a nie poprzedniej sytuacji, w której każde państwo członkowskie reguluje kwestie prywatności we własnych granicach. RODO ma zastosowanie do każdej firmy działającej w dowolnej UE. kraju, wymaga jednoznacznej zgody na wykorzystanie danych osobowych do celów takich jak śledzenie osób w Internecie, ogranicza możliwość wykorzystywania danych do celów innych niż te, do których zostały zebrane (zastosowania trzeciorzędne, takie jak tworzenie profili użytkowników) i wzmacnia prawo do zostać zapomnianym, w szczególności poprzez umożliwienie osobom fizycznym usuwania danych osobowych z platform społecznościowych, takich jak Facebook, i uniemożliwianie im gromadzenia nowych informacji. Firmy działające w UE musi usunąć dane osobowe, gdy nie służą już celowi, dla którego zostały zebrane. Ponadto powołano niezależnego rzecznika praw obywatelskich, którego zadaniem jest badanie skarg i egzekwowanie polityki (Drozdiak, 2016; Evans, 2015; Gibbs, 2015b; European Commission, 2014; Pearce and Clarke, 2014; European Commission, 2012). Ostatecznie Tarcza Prywatności ma na celu stosunkowo łatwe dla firm zbierających dane o Europejczykach przesyłanie tych danych na serwery w Stanach Zjednoczonych. W 2016 roku  środowisko prywatności zwróciło się zdecydowanie przeciwko firmom amerykańskim jak Facebook, Google i inne, których model biznesowy wymaga niemal nieograniczonego wykorzystywania danych osobowych do wspierania przychodów z reklam. Pięć UE kraje (Holandia, Niemcy, Francja, Hiszpania i Belgia) wszczęły serię skoordynowanych dochodzeń w sprawie polityki prywatności i danych tych firm. Na przykład w 2015 r.Belgia pozwała Facebooka za zbieranie i przetwarzanie danych bez zgody użytkownika lub wyjaśnienie, w jaki sposób wykorzysta te informacje (Schechner i Drozdiak, 2015). Francuski organ regulacyjny ds. Ochrony danych osobowych nakazał Google rozszerzenie prawa do bycia zapomnianym na cały świat, nie tylko na Europejczyków (Schechner, 2015). Władze holenderskie, niemieckie i belgijskie badają łączenie przez Facebook danych z jego usług, takich jak Instagram i WhatsApp, w celu kierowania reklam, oraz wykorzystanie przez niego przycisków Lubię to do śledzenia nawyków przeglądania w całej sieci.

Polityka prywatności

Jak wspomniano wcześniej, jedną z koncepcyjnych podstaw amerykańskiego prawa dotyczącego prywatności jest powiadomienie i zgoda. Zakłada się, że konsumenci mogą przeczytać informacje o warunkach użytkowania (lub politykę prywatności) dotyczące sposobu, w jaki witryna internetowa będzie wykorzystywać ich dane osobowe, a następnie dokonać racjonalnego wyboru, czy wyrazić zgodę na warunki użytkowania, zrezygnować z gromadzenia danych (jeśli to jest opcją) lub zaprzestań korzystania z witryny. Do niedawna wiele amerykańskich firm zajmujących się handlem elektronicznym odrzucało koncepcję świadomej zgody i zamiast tego po prostu publikowało swoje zasady dotyczące wykorzystywania informacji na swojej stronie. Prawie wszystkie witryny internetowe mają zasady Warunków korzystania, które użytkownicy mogą znaleźć, jeśli dokładnie się im przyjrzą. Niniejsze Zasady użytkowania są czasami nazywane politykami prywatności i opisują, w jaki sposób firmy będą wykorzystywać informacje zebrane w ich witrynach. Te zasady są powiadomieniami i jak wspomniano powyżej, zakłada się, że każdy, kto korzysta z tej witryny, w sposób dorozumiany zgodził się z warunkami korzystania z serwisu. W niedawnym badaniu przeanalizowano 30 popularnych sieci społecznościowych i portali społecznościowych i stwierdzono, że zwykłe przeczytanie zasad zajęłoby przeciętnemu czytelnikowi około ośmiu godzin. Najdłuższą zasadą był SoundCloud, z 7 961 słowami. Oczywiście krytyczną wadą związaną ze świadomą zgodą jako podstawą ochrony prywatności jest to, że zakłada się, że przeciętny użytkownik może zrozumieć, z jakiej prywatności rezygnuje korzystając z witryny. Na przykład polityka prywatności Yahoo zaczyna się od stwierdzenia, że ​​Yahoo poważnie traktuje prywatność użytkownika, a Yahoo nie wypożycza, nie sprzedaje ani nie udostępnia danych osobowych użytkowników innym osobom ani firmom niepowiązanym. Istnieje jednak szereg wyjątków, które znacznie osłabiają to stwierdzenie. Na przykład Yahoo może udostępniać informacje „zaufanym partnerom”, którymi może być każdy, z kim Yahoo prowadzi interesy, chociaż być może nie jest to firma, z którą użytkownik mógłby zdecydować się na współpracę. W swojej polityce prywatności Yahoo twierdzi również, że wykorzystuje pliki cookie, identyfikatory urządzeń i sygnały nawigacyjne w sieci Web w celu śledzenia zachowania użytkowników w Internecie. Aby zrezygnować z usług opartych na zainteresowaniach reklam, użytkownik musi zalogować się na swoje konto Yahoo i zezwolić na pliki cookie z Yahoo. Firmy amerykańskie twierdzą, że poinformowanie konsumentów poprzez opublikowanie zasad użytkowania jest wystarczające, aby uzyskać świadomą zgodę użytkowników. Zwolennicy ochrony prywatności argumentują, że wiele warunków użytkowania / oświadczeń o polityce prywatności w witrynach internetowych w USA jest niejasnych i trudnych do odczytania, a także uzasadnione jest prawie każdym wykorzystaniem danych osobowych. Podczas gdy politycy, obrońcy prywatności i branża internetowa spierają się o to, jakie powinny być zasady dotyczące prywatności, bardzo mało uwagi poświęcono faktycznej ocenie siły polityki prywatności poszczególnych firm, porównaniu ich z innymi firmami i zrozumieniu, jak polityki prywatności mają zmieniał się w czasie w konkretnej firmie. Czy polityka prywatności Facebooka jest gorsza, lepsza, czy mniej więcej taka sama jak polityka Apple czy Google? Czy polityka prywatności poprawiła się po dziesięciu latach debaty, czy też uległa pogorszeniu?

Niedawny projekt badawczy dostarcza wstępnych odpowiedzi na te pytania. Naukowcy opracowali miarę polityk prywatności, stosując 10 zasad polityki prywatności podczas przeglądu polityk (patrz Tabela 8.9) (Shore i Steinman, 2015). Poznasz te zasady, ponieważ wywodzą się one w głównej mierze z wcześniej opisanych doktryn FTC i uczciwych praktyk informacyjnych. Same wymiary mierzono w czterostopniowej skali od 0 do 4 (0 oznacza, że ​​polityka prywatności nie spełnia kryterium, a 4 oznacza, że ​​kryterium zostało w pełni spełnione). Możesz skorzystać z zasad przedstawionych w Tabeli 8.9 jako sposobu pomiaru polityki prywatności własnej firmy internetowej lub innej firmy, takiej jak Facebook czy Google. Możesz zmierzyć pojedynczą firmę w dwóch punktach w czasie, aby zobaczyć, jak zmieniła się jej polityka, lub porównać dwie lub więcej firm w jednym momencie. Shore i Steinman postanowili przyjrzeć się polityce prywatności Facebooka przez dziesięć lat od 2005 do 2015 roku. Okazało się, że polityka prywatności Facebooka poprawiła się w latach 2005-2009, osiągając w pewnym momencie 90% realizacji kryterium, a następnie stopniowo spadała do 25 % w 2015 r. Obszary, w których odnotowano znaczny spadek, to ilość gromadzonych i monitorowanych informacji, informowanie użytkowników o tym, co jest udostępniane, wyraźne identyfikowanie danych wykorzystywanych do profilowania, umożliwianie użytkownikom wyborów w ustawieniach prywatności, dostarczanie informacji o tym, jak Facebook wykorzystuje pliki cookie, sygnały nawigacyjne i dzienniki internetowe do gromadzenia danych i zapewniania łatwo zrozumiałego dokumentu dotyczącego polityki prywatności. Naukowcy zauważyli, że polityka prywatności Facebooka rozpoczęła się w 2005 r. Od 1000 słów, a do 2015 r. Rozrosła się do ponad 12 000 słów!

Rozporządzenie o ochronie prywatności konsumentów: Federalna Komisja Łączności (FCC)

W 2015 roku, w kontekście kontrowersji wokół neutralności sieci, dostawcy usług szerokopasmowego Internetu (ISP) tacy jak Verizon, Comcast i AT&T, do których należą kable i sieci światłowodowe, Internet zostały sklasyfikowane jako podobne do usług użyteczności publicznej podobne do firm telefonicznych, a zatem podlegają regulacjom FCC. W 2016 roku FCC zatwierdziła nowe zasady ochrony prywatności mające zastosowanie do tych firm. Aż do tego czasu kwestia prywatności w Internecie koncentrowała się na tym, jak strony internetowe i aplikacje wykorzystują dane osobowe. Jednak ci gigantyczni dostawcy usług szerokopasmowych mieli również dostęp do wielu tych samych informacji, takich jak dane o transakcjach, lokalizacji, przeglądaniu i korzystaniu z aplikacji, a nawet numery ubezpieczenia społecznego, które gromadzili bez zgody użytkownika. Dostawcy usług szerokopasmowych sprzedają te informacje lub wykorzystują je do ukierunkowanej reklamy, tak jak robią to Google, Facebook i setki innych witryn i aplikacji. Nowe przepisy FCC nakładają na dostawców usług szerokopasmowych obowiązek powiadamiania użytkowników o nowych opcjach prywatności za pośrednictwem poczty e-mail lub w witrynach internetowych oraz uzyskiwania zgody użytkownika na gromadzenie tych informacji. Dostawcy usług internetowych nie mogą oferować usług uzależnionych od wyrzeczenia się przez konsumentów ich prywatności i nie mogą odmawiać usług konsumentom, którzy nie zezwalają im na zbieranie danych osobowych (co jest typowe w przypadku zasad świadczenia usług dla witryn internetowych). Po raz pierwszy w trwającej od dziesięcioleci debacie na temat prywatności w Internecie agencja regulacyjna zadeklarowała, że ​​dane osobowe gromadzone przez firmy internetowe należą do konsumentów, a nie do właścicieli sieci. Nowe zasady nie dotyczą stron internetowych, które nie podlegają przepisom FCC

Rozporządzenie w sprawie prywatności konsumentów: FTC

świadoma zgoda: zgoda udzielona za wiedzą wszystkich istotnych faktów potrzebnych do podjęcia racjonalnej decyzji

model opt-in: wymaga od konsumenta działania potwierdzającego które pozwalają na zbieranie i wykorzystywanie informacji konsumenckich

model opt-out: domyślnie zbierane są informacje, chyba że konsument podejmuje pozytywne działania, aby zapobiec gromadzeniu danych.

W Stanach Zjednoczonych FTC objęła wiodącą rolę w prowadzeniu badań dotyczących prywatności w Internecie i zalecaniu Kongresowi odpowiednich przepisów. FTC to agencja rządowa, której zadaniem jest promowanie efektywnego funkcjonowania rynku poprzez ochronę konsumentów przed nieuczciwymi lub oszukańczymi praktykami oraz zwiększanie wyboru konsumenta poprzez promowanie konkurencji. Oprócz raportów i zaleceń FTC egzekwuje obowiązujące przepisy, pozywając korporacje, które jej zdaniem naruszają federalne prawo handlowe, a w niektórych przypadkach przez narzucenie federalnego systemu monitorowania lub systemu raportowania, aby zapewnić przestrzeganie przez firmę orzeczeń agencji. FTC przedstawia również Kongresowi zalecenia dotyczące nowych przepisów dotyczących prywatności konsumentów. Wcześniej w tej sekcji opisaliśmy zasady FTC dotyczące uczciwych praktyk informacyjnych (FIP), na których opiera swoje oceny tego, jak dobrze firmy chronią prywatność konsumentów. Zasady FIP FTC określają podstawowe zasady dotyczące procedur ochrony prywatności w handlu elektronicznym i wszystkich innych witrynach – w tym witrynach rządowych i non-profit – w Stanach Zjednoczonych. W zasadach FIP osadzone jest pojęcie świadomej zgody (definiowane jako zgoda podana ze znajomością wszystkich faktów materialnych potrzebnych do podjęcia racjonalnej decyzji). Istnieją dwa modele świadomej zgody: opt-in i opt-out. Model opt-in wymaga od konsumenta pozytywnego działania w celu umożliwienia gromadzenia i wykorzystywania informacji. Na przykład, korzystając z opcji opt-in, konsumenci byliby najpierw pytani, czy tak wyrazili zgodę na gromadzenie i wykorzystanie informacji, a następnie polecili zaznaczyć pole wyboru, jeśli wyrazili na to zgodę. W przeciwnym razie domyślnie nie zatwierdza się gromadzenia danych. W modelu opt-out domyślnie zbierane są informacje, chyba że konsument podejmie pozytywne działanie, aby zapobiec gromadzeniu danych, zaznaczając pole lub wypełniając formularz. W Stanach Zjednoczonych większość firm handlu elektronicznego, które oferują świadomą zgodę, korzysta z modelu rezygnacji. Informacje są gromadzone, chyba że konsument zaznaczy pole, aby odmówić. Często pole wyboru znajduje się na samym dole strony internetowej, gdzie konsument raczej go nie zobaczy lub znajduje się w skomplikowanych menu. Zasady FIP FTC są wytycznymi, a nie prawami. Na przykład w Stanach Zjednoczonych firmy biznesowe mogą gromadzić informacje o transakcjach generowane na rynku, a następnie wykorzystywać te informacje do innych celów, bez uzyskania wyraźnej, potwierdzającej świadomej zgody danej osoby. W Europie byłoby to nielegalne. Firma w Europie nie może wykorzystywać informacji o transakcjach na platformie handlowej w żadnym innym celu niż wspieranie bieżącej transakcji, chyba że uzyska pisemną zgodę danej osoby na piśmie lub poprzez wypełnienie formularza na ekranie. Jednak wytyczne FTC FIP są często wykorzystywane jako podstawa prawodawstwa. Najważniejsze dotychczasowe przepisy dotyczące prywatności w Internecie, na które bezpośrednio wpłynęły zasady FIP FTC, to Ustawa o ochronie prywatności dzieci w Internecie (COPPA) (1998), która wymaga, aby strony internetowe uzyskały zgodę rodziców przed zebraniem informacji o dzieciach poniżej 13 roku życia. W ostatnim dziesięcioleciu FTC rozszerzyła swoje podejście do prywatności, wykraczając poza wymogi powiadamiania, świadomej zgody i wyboru opt-in / opt-out, aby uwzględnić podejście oparte na szkodach, koncentrując się na praktykach, które mogą spowodować szkodę lub nieuzasadnione wtargnięcie do codzienne życie konsumentów. W kilku raportach FTC dostrzegła ograniczenia swojego wcześniejszego podejścia FIP. Okazało się, że „świadoma zgoda” nie jest skuteczna, gdy konsumenci nie wiedzą lub nie rozumieją praktyk gromadzenia danych firm internetowych. Konsumenci nie rozumieją i często się boją, przenosząc śledzenie z jednej witryny do drugiej. Firmy internetowe często zmieniają swoje polityki prywatności bez powiadomienia, a te zasady są napisane niejasnym językiem, który dezorientuje konsumentów. FTC stwierdziła również, że rozróżnienie między danymi osobowymi a informacjami anonimowymi jest nieważne, ponieważ firmom łatwo jest zidentyfikować konsumentów osobiście według nazwiska, adresu e-mail i adresu w oparciu o tak zwane dane anonimowe. W rezultacie FTC opracowała 8.8 podsumowuje ważne aspekty tych ram.

FTC wspiera również mechanizm „Do Not Track” dla internetowej reklamy behawioralnej. Mechanizm obejmowałby umieszczenie trwałego pliku cookie w przeglądarce konsumenta i przekazanie jego ustawienia do witryn, które przeglądarka odwiedza, aby zasygnalizować, czy konsument chce być śledzony lub otrzymywać ukierunkowane reklamy. W Kongresie wprowadzono szereg ustaw mających na celu wdrożenie Do Not Track, ale jak dotąd żadna nie została przyjęta. Zapoznaj się z przypadkiem Insight on Technology „Every Move You Take, Every Click You Make, We will Be Tracking You” w rozdziale 6, aby omówić trudności, które wystąpiły podczas wdrażania funkcji Do Not Track. Nowa agresywna polityka FTC w zakresie prywatności konsumentów zaowocowała kilkoma wyrokami i grzywnami. W 2011 r. FTC osiągnęła porozumienie z Google w sprawie zarzutów, że stosowała zwodnicze taktyki i naruszyła własną politykę prywatności, uruchamiając swoją sieć społecznościową Google Buzz, zmuszając ludzi do przyłączania się do sieci, nawet jeśli zdecydowali się nie dołączać. W ramach ugody Google zgodził się uruchomić program ochrony prywatności, zezwalać na niezależne audyty prywatności przez 20 lat i grozić grzywną w wysokości 16 000 USD za każde przyszłe wprowadzenie w błąd w zakresie prywatności. To był pierwszy raz, kiedy FTC oskarżyła firmę o takie naruszenia i nakazała jej uruchomienie programu ochrony prywatności. W 2012 roku FTC nałożyła na Google grzywnę w wysokości 22,5 mln USD za naruszenie umowy i omijanie ustawień prywatności w przeglądarce Safari firmy Apple w celu śledzenia użytkowników i wyświetlania im reklam. Ta grzywna – największa jak dotąd kara cywilna – nastąpiła po skoordynowanym rozprawieniu się z firmami technologicznymi za naruszenia prywatności i odrębnym dochodzeniu Google w sprawie naruszeń przepisów antymonopolowych (Federalna Komisja Handlu, 2012a). FTC osiągnęła również porozumienie z Facebookiem, rozwiązując zarzuty, że Facebook oszukał swoich użytkowników, mówiąc im, że mogą zachować swoje informacje na Facebooku jako prywatne, ale następnie wielokrotnie zezwalając na ich udostępnianie i upublicznianie. Ugoda wymaga, aby Facebook dotrzymał swoich obietnic, przekazując konsumentom jasne i wyraźne powiadomienie oraz uzyskując ich wyraźną zgodę przed udostępnieniem ich informacji poza ustawieniami prywatności użytkownika. Wymaga to również od Facebooka opracowania kompleksowego programu ochrony prywatności i uzyskania niezależnych dwuletnich audytów prywatności przez okres 20 lat. W 2012 roku FTC opublikowała kolejny raport na temat prywatności konsumentów. Raport zawiera opis najlepszych praktyk branżowych w zakresie ochrony prywatności Amerykanów i koncentruje się w pięciu obszarach: Do Not Track, prywatność mobilna, brokerzy danych, dostawcy dużych platform (sieci reklamowe, systemy operacyjne, przeglądarki i firmy mediów społecznościowych) oraz opracowanie kodeksów samoregulacyjnych. W raporcie wezwano do wdrożenia łatwego w użyciu, trwałego i skutecznego systemu Do Not Track; ulepszone ujawnienia dotyczące wykorzystania danych mobilnych; ułatwienie ludziom przeglądania plików o sobie skompilowanych przez brokerów danych; opracowanie centralnej strony internetowej, na której pośrednicy danych identyfikują się; opracowanie polityki prywatności przez dużych dostawców platform w celu regulowania kompleksowego śledzenia w Internecie; oraz egzekwowanie zasad samoregulacji w celu zapewnienia, że ​​firmy przestrzegają branżowych kodeksów postępowania. W 2014 roku FTC opublikowała raport na temat branży brokerów danych, która jest w centrum debaty na temat prywatności online i offline w Stanach Zjednoczonych. Raport wykazał, że brokerzy danych działają bez przejrzystości, a większość użytkowników nie ma pojęcia, w jaki sposób wykorzystywane są ich informacje. Raport wykazał, że brokerzy danych zbierają i przechowują miliardy elementów danych obejmujących prawie każdego konsumenta w USA. Jeden z dziewięciu badanych brokerów danych miał informacje o ponad 1,4 miliardach transakcji konsumenckich i 700 miliardach elementów danych. Inny broker co miesiąc dodaje do swojej bazy danych ponad 3 miliardy nowych punktów danych. W raporcie wezwano do wprowadzenia przepisów zapewniających konsumentom większą kontrolę nad ich danymi osobowymi poprzez utworzenie scentralizowanego portalu, w którym pośrednicy danych mogliby się identyfikować, opisywać swoje praktyki gromadzenia i wykorzystywania informacji oraz udostępniać łącza do narzędzi dostępu i rezygnacji; wymagać od brokerów, aby zapewniali konsumentom dostęp do ich danych; zapewnić możliwości rezygnacji z gromadzenia danych; opisać, skąd czerpią informacje i jakie wnioski wyciągają z danych; i wymagaj od sprzedawców, aby powiadamiali klientów, gdy udostępniają informacje brokerom danych (Federalna Komisja Handlu, 2014). Ostatnio FTC kładzie nacisk nie na ograniczanie gromadzenia informacji (jak w poprzednich okresach regulacji prywatności), ale na przyznanie konsumentom praw w odniesieniu do informacji gromadzonych na ich temat w dużych bazach danych i ich wykorzystywania przez różne firmy i agencje. Nazywa się to polityką prywatności „opartą na prawach konsumenta”. W obliczu grzywien, dochodzeń w Kongresie i publicznego zażenowania z powodu ich zachowań naruszających prywatność, z potencjalną utratą części biznesu i wiarygodności, główni gracze w branży e-commerce w Stanach Zjednoczonych zaczynają zmieniać niektóre zasady dotyczące traktowania dane konsumentów. Duże firmy internetowe, które opierają się na danych osobowych (Google, Facebook, Microsoft i wiele innych), wraz z rzecznikami ochrony prywatności wzywają Waszyngton do opracowania kompleksowych przepisy dotyczące ochrony prywatności konsumentów, które wyjaśniłyby konsumentom i firmom znaczenie prywatności w obecnym środowisku handlowym online. Oznacza to zmianę znaczenia prywatności z „zostaw mnie w spokoju” na „Chcę wiedzieć i kontrolować, w jaki sposób wykorzystywane są moje dane osobowe.

Urządzenia mobilne: kwestie prywatności związane z lokalizacją

Ponieważ platforma mobilna staje się coraz ważniejsza, kwestie dotyczące prywatności mobilnej i opartej na lokalizacji również stają się poważnym problemem. W 2012 r. Badacze odkryli, że aplikacje na iOS i Androida przesyłają informacje o lokalizacji do reklamodawców mobilnych, wraz z książkami adresowymi i zdjęciami użytkowników (Bilton, 2012). W rezultacie Kongres wszczął dochodzenie w sprawie polityki prywatności producentów smartfonów, a także Facebooka, Pinteresta, Yahoo, Google i 30 innych na rynku aplikacji. Twitter ogłosił, że każdy korzystający z funkcji „Znajdź przyjaciół” na smartfonach również wysyłał każdy numer telefonu i adres e-mail z ich książek adresowych do firmy. W 2011 roku reporterzy odkryli, że iPhone’y i iPady firmy Apple oraz smartfony z systemem Google Android są w stanie śledzić i przechowywać informacje o lokalizacji użytkownika. W 2012 roku Facebook uruchomił nową usługę reklamy mobilnej, która śledzi, jakich aplikacji używają ludzie na swoich smartfonach i co robią podczas korzystania z aplikacji. Apple i Google śledzą również aplikacje użytkowników. Firma Apple ujawniła, że ​​może kierować reklamy na podstawie aplikacji pobranych przez daną osobę, podczas gdy Google obecnie tego nie robi. Na przykład Facebook może kierować reklamy na osoby, które często grają w gry, takie jak Words with Friends, korzystając z aktualności gracza na Facebooku, który jest głównym kanałem reklam na Facebooku. W 2012 roku badacze odkryli, że niektóre firmy produkujące telefony komórkowe zainstalowały w telefonach urządzenia śledzące, aby poprawić obsługę klienta. Krótko mówiąc, smartfony ze swej natury szybko stały się magazynami danych osobowych, których użytkownicy początkowo nie byli świadomi. W 2014 roku Sąd Najwyższy Stanów Zjednoczonych, wydając jednogłośną decyzję przełomową, orzekł, że policja potrzebuje nakazu, aby przeszukać telefon komórkowy danej osoby w celu uzyskania informacji. Wszystkie urządzenia mobilne prawdopodobnie otrzymają tę ochronę przed ogólnymi, pozbawionymi nakazu przeszukaniami policyjnymi. Wcześniejsza decyzja z 2012 r. Wymaga od policji uzyskania nakazu przed podłączeniem urządzeń śledzących GPS do samochodu podejrzanego. W obu przypadkach Sąd Najwyższy stwierdził, że telefony komórkowe zawierają obszerne szczegółowe dane osobowe, przechowują informacje przez wiele lat i przechowują wiele różnych rodzajów informacji. Znaczna część życia intymnego i osobistego danej osoby może być przechowywana na telefonach komórkowych lub serwerach w chmurze, co czyni je nowoczesnym odpowiednikiem osobistego papieru. 51rs, które są chronione na mocy czwartej poprawki do konstytucji („prawo ludzi do ochrony swoich osób, domów, dokumentów i mienia przed nierozsądnymi rewizjami i zajęciami”). Senat USA przeprowadził przesłuchania w sprawie proponowanych przepisów (ustawa o ochronie prywatności w lokalizacji konsumentów), które nakładają na firmy obowiązek powiadamiania użytkowników telefonów komórkowych i uzyskiwania ich zgody, jeśli chcą gromadzić dane dotyczące lokalizacji. Ta ustawa nigdy nie została uchwalona. FTC podpisała ze Snapchatem 20-letni nakaz wyrażenia zgody po odkryciu, że aplikacja zbiera dane o lokalizacji niezgodnie z własną polityką prywatności Snapchata.

Sieci społecznościowe: prywatność i samoobjawienie

Sieci społecznościowe stanowią wyjątkowe wyzwanie dla zachowania prywatności, ponieważ zachęcają ludzi do ujawniania szczegółów dotyczących ich życia osobistego (pasji, miłości, ulubionych, zdjęć, filmów i osobistych zainteresowań) oraz do dzielenia się nimi ze znajomymi. Sieci społecznościowe znacznie poszerzyły zakres, zakres i bogactwo informacji gromadzonych przez prywatne korporacje. Podczas gdy wyszukiwarka Google to ogromna baza danych osobistych intencji, Facebook stworzył ogromną bazę znajomych, preferencji, polubień, postów i działań. Austriacki badacz był w stanie uzyskać swój plik na Facebooku (możliwe na mocy prawa europejskiego) i otrzymał 1222-stronicowy dokument zawierający wiadomości, zdjęcia, posty i znajomych (Sengupta, 2012). Niektórzy operatorzy sieci społecznościowych udostępniają te dane osobowe każdemu w sieci społecznościowej. Na pierwszy rzut oka wydaje się to wskazywać, że osoby uczestniczące w sieciach społecznościowych dobrowolnie rezygnują ze swoich praw do prywatności. Jak mogli domagać się prywatności? Kiedy wszystko jest udostępniane, co jest prywatne?

Ale rzeczywistość jest taka, że ​​wielu dorosłych uczestników sieci społecznościowych bardzo dobrze czuje swoją prywatność. Facebook jest najlepszym przykładem wyższego kierownictwa przekraczającego granice prywatności, doświadczającego wielu zmian w public relations i rosnącego zaniepokojenia rządu. Na przykład Facebook wdrożył technologię rozpoznawania twarzy bez wcześniejszego powiadomienia, co naraziło prywatność użytkowników, umożliwiając oznaczanie ich na zdjęciach bez ich zgody. Badacze z Carnegie Mellon odkryli, że możliwe jest identyfikowanie ludzi, nawet ich numerów ubezpieczenia społecznego, na podstawie pojedynczego zdjęcia na Facebooku i przy użyciu programów do rozpoznawania twarzy (Angwin, 2011; Acquisti i in., 2011). Po licznych skargach konsumentów i wyzwaniach ze strony różnych prokuratorów generalnych Facebook zmienił kurs i ułatwił użytkownikom rezygnację z technologii. W 2012 roku Facebook zaczął naciskać reklamy na swoich użytkowników na podstawie korzystania przez nich z aplikacji i oferować reklamodawcom możliwość wyświetlania reklam użytkownikom Facebooka, nawet gdy nie korzystają z Facebooka. W 2013 roku Facebook ogłosił nową politykę prywatności, w której wyjaśnił sposób wykorzystywania danych osobowych. W nowej polityce Facebook twierdził, że może wykorzystywać dowolne dane osobowe w dowolnym celu. Po okrzykach protestów ze strony użytkowników, grup zajmujących się ochroną prywatności i kongresmanów polityka została tymczasowo wycofana. W 2014 r. Facebook zmienił swoje domyślne ustawienia prywatności, aby ujawniać informacje tylko znajomym i zezwolił użytkownikom na przeglądanie niektórych danych gromadzonych na ich temat przez Facebook oraz na ich edycję. Badacze odkryli, że faktyczne wykonywanie tych zadań jest dość trudne. Na początku 2015 r. Facebook wdrożył nową politykę prywatności, która stanowi, że może udostępniać dane osobowe użytkowników stronom partnerskim w celu dostarczania ukierunkowanych reklam. Również w 2015 roku Facebook zmienił politykę prywatności swojej aplikacji WhatsApp, aby zezwolić witrynie na posiadanie i udostępnianie dowolnych treści publikowanych przez użytkowników, w tym zdjęć i wiadomości, które miały zniknąć w ciągu kilku minut. Przegląd różnych stanowisk Facebooka na temat prywatności w Internecie na przestrzeni lat oraz reakcji opinii publicznej i Kongresu na te kwestie można znaleźć w sprawie Insight on Society, Facebook and the Age of Privacy, w rozdziale 1. Wynik tych publicznych konfliktów sugeruje, że Uczestnicy sieci społecznościowych rzeczywiście bardzo oczekują prywatności w tym sensie, że chcą kontrolować sposób wykorzystania „ich” informacji. Osoby, które dostarczają treści generowane przez użytkowników, mają silne poczucie własności treści, które nie zmniejsza się, publikując informacje w sieci społecznościowej dla swoich znajomych. Jeśli chodzi o członków, którzy publikują informacje wszystkim, a nie tylko znajomym, należy je postrzegać jako „publiczne występy”, w ramach których autorzy dobrowolnie publikują swoje wykonania, podobnie jak pisarze lub inni artyści. W takich sytuacjach roszczenie do prywatności nie jest wiarygodne.

Szkoda fałszywych danych: to nie ja!

W 2014 roku Thomas Robins, mieszkaniec Kalifornii, pozwał Spokeo, firmę, która sprzedaje dane osobowe online pracodawcom i osobom poszukującym informacji o potencjalnych partnerach. Robins pozwał na podstawie sekcji Fair Credit Reporting Act, która przewiduje odszkodowanie w wysokości do 1000 USD dla firm zbierających dane, jeśli te raporty są fałszywe i powodują konkretną szkodę, nawet jeśli szkody nie można oszacować. Robins twierdził, że profil rozpowszechniany przez Spokeo był zasadniczo błędny, twierdząc, że był zatrudniony, żonaty, miał dzieci i posiadał tytuł magistra. Nic z tego nie było prawdą. Robins twierdzi, że te fałszywe dane potencjalnie spowodowały utratę pracy i inne możliwości, chociaż nie miał dowodów, że doświadczył jakiejkolwiek krzywdy w prawdziwym świecie. Robins rościł sobie również prawo do zorganizowania grupy akcji zbiorowej złożonej z osób pokrzywdzonych w podobny sposób. Sąd niższej instancji zgodził się z Robinsem i jego prawem do zorganizowania pozwu zbiorowego dla innych pokrzywdzonych w podobny sposób. W maju 2016 roku Sąd Najwyższy postanowił nie rozstrzygać sprawy, ale przekazał ją z powrotem do sądu niższej instancji z instrukcją dokładniejszego zdefiniowania „konkretnej” krzywdy, sugerując, że musi ona rzeczywiście istnieć i stanowić rzeczywistą krzywdę. Sąd zgodził się, że rzeczywista szkoda może obejmować szkody niematerialne i ryzyko rzeczywistej szkody w przyszłości. Większość argumentowała, że ​​zwykłe błędy proceduralne, takie jak błędne zgłoszenie kodu pocztowego danej osoby lub drobne błędy, nie stanowią rzeczywistej szkody. Grupy biznesowe popierają stanowisko Sądu Najwyższego wobec Spokeo, argumentując, że obrona przed takimi procesami kosztowałaby miliardy dolarów i że ludzie nie powinni mieć możliwości wnoszenia pozwów zbiorowych bez okazywania rzeczywistej krzywdy. Zwolennicy prywatności argumentują, że osoby fizyczne powinny mieć prawo do pozywania firm za rozpowszechnianie fałszywych informacji na ich temat. Obecnie prawo w zakresie fałszywych danych wciąż ewoluuje.

Marketing: profilowanie, kierowanie behawioralne i retargeting

profilowanie: tworzenie cyfrowych obrazów charakteryzujących zachowania indywidualne i grupowe w Internecie

obraz danych: zbiór rekordów danych służących do tworzenia zachowania profilu konsumentów

profile anonimowe: identyfikuj osoby jako należące do bardzo specyficznych grupy docelowych

profile osobiste: dodaj osobisty adres e-mail, adres pocztowy, i / lub numer telefonu do danych behawioralnych

Około 267 milionów Amerykanów regularnie korzysta z internetu. Marketerzy chcieliby wiedzieć, kim są ci ludzie, czym się interesują i co kupują. Im dokładniejsze i pełniejsze informacje, tym cenniejsze jako narzędzie predykcyjne i marketingowe. Uzbrojeni w te informacje marketerzy mogą zwiększyć efektywność swoich kampanii reklamowych, kierując określone reklamy do określonych grup lub osób, a nawet mogą dostosowywać reklamy do określonych grup. Najpopularniejsze witryny internetowe pozwalają stronom trzecim, w tym sieciom reklamowym online takich jak DoubleClick, Microsoft Advertising i inne – w celu umieszczania plików cookie „stron trzecich” i oprogramowania do śledzenia sieci na komputerze użytkownika w celu profilowania zachowania użytkownika w tysiącach innych witryn internetowych, które są również członkami sieci reklamowej. Profilowanie to tworzenie obrazów danych (zbioru danych wykorzystywanych do tworzenia profili behawioralnych konsumentów), które charakteryzują zachowania indywidualne i grupowe w Internecie. Anonimowe profile identyfikują osoby jako należące do bardzo specyficznych i ukierunkowanych grup, na przykład mężczyzn w wieku od 20 do 30 lat, posiadających stopnie naukowe i dochody przekraczające 30 000 USD rocznie oraz zainteresowane modną odzieżą (na podstawie niedawnej wyszukiwarki posługiwać się). Profile osobiste dodają osobisty adres e-mail, adres pocztowy i / lub numer telefonu do danych behawioralnych. Coraz częściej firmy internetowe łączą swoje profile online z osobistymi danymi konsumentów offline gromadzonymi przez firmy bazodanowe śledzące zakupy kart kredytowych, a także uznane firmy zajmujące się sprzedażą detaliczną i katalogami. Jak dowiedziałeś się z rozdziału 6, kierowanie behawioralne polega na wykorzystaniu informacji z profilu osobistego do określenia, które reklamy konsument zobaczy w Internecie. Retargeting to praktyka polegająca na wyświetlaniu konsumentom tej samej reklamy w wielu różnych witrynach, które odwiedzają. Na przykład, jeśli używasz Google do wyszukiwania nowego zegara kuchennego, reklamy zegarów kuchennych będą Cię śledzić na Yahoo, Facebooku i tysiącach innych przeglądanych witryn. Sieci reklamowe online dodały kilka nowych wymiarów do uznanych technik marketingu offline. Po pierwsze, mają możliwość precyzyjnego śledzenia nie tylko zakupów konsumenckich, ale wszystkich zachowań związanych z przeglądaniem tysięcy witryn internetowych, w tym przeglądania list książek, wypełniania formularzy preferencji i przeglądania stron z treścią. Po drugie, mogą dynamicznie dostosowywać to, co kupujący widzi na ekranie – w tym ceny. Po trzecie, mogą tworzyć i stale odświeżać obrazy danych o wysokiej rozdzielczości. Na większości komputerów są zainstalowane setki takich programów bez zgody lub zrozumienia konsumentów.

Innym rodzajem profilowania i nowszą formą kierowania behawioralnego jest personalizacja reklam oparta na wynikach Google. Google ma patent na program, który umożliwia reklamodawcom korzystającym z programu Google AdWords kierowanie reklam do użytkowników na podstawie ich wcześniejszych historii wyszukiwania i profili, które Google tworzy na podstawie wyszukiwań użytkowników, wraz z wszelkimi innymi informacjami, które użytkownik przesyła do Google lub które Google może uzyskać, takie jak wiek, dane demograficzne, region i inne działania online (takie jak blogowanie). Google ma również drugi patent na program, który pozwala Google pomagać reklamodawcom w wyborze słów kluczowych i projektowaniu reklam dla różnych segmentów rynku na podstawie historii wyszukiwania, np. Pomaganie witrynie odzieżowej w tworzeniu i testowaniu reklam skierowanych do nastoletnich kobiet. Google stosuje kierowanie behawioralne, aby wyświetlać trafniejsze reklamy na podstawie słów kluczowych. Według Google funkcja ta ma na celu lepsze zrozumienie intencji użytkownika, a tym samym dostarczenie lepszej reklamy. Na przykład Gmail, bezpłatna usługa poczty e-mail, oferuje rozbudowany interfejs i gigabajty darmowej pamięci. W zamian komputery Google odczytują wszystkie przychodzące i wychodzące wiadomości e-mail i umieszczają „odpowiednie” reklamy na marginesach wiadomości. Profile tworzone są dla indywidualnych użytkowników na podstawie treści zawartych w ich e-mailach.

Zarówno amerykańskie, jak i europejskie organy regulacyjne sprzeciwiły się polityce Google polegającej na integrowaniu danych osobowych ze wszystkich usług w jednym profilu osobistym, a po drugie, nie informowaniu użytkowników o tym, co robi z ich danymi osobowymi (Charlton, 2013). Google twierdzi, że osoby, które wysyłają pocztę na konto Gmail znajomego, nie oczekują prywatności, a każdy, kto wysyła informacje do osoby trzeciej, nie oczekuje prywatności. Grupy zajmujące się prywatnością wyraziły obawy, gdy Google ogłosił w 2014 r., Że kupuje Nest, producenta cyfrowych termostatów domowych i urządzeń do wykrywania dymu podłączonych do Internetu. Chociaż Nest twierdzi, że działa niezależnie od Google i że konta Nest nie są powiązane z kontami Google, Nest przyznaje, że udostępnia Google dane osobowe po połączeniu z systemem Google „Works with Nest Integration”.

Oprogramowanie do rozpoznawania twarzy nadaje nowy wymiar profilowaniu i kierowaniu behawioralnemu. W 2016 r. kilka zastosowań rozpoznawania twarzy jest już powszechnych. Facebook i Google+ używają oprogramowania do automatycznego sugerowania plakietek dla członków lub ich znajomych na zdjęciach. Domy towarowe, hotele i organy ścigania używały tą technologię bez zgody. Pierwotnie opracowane jako narzędzie do rozpoznawania terrorystów w terenie, lokalne wydziały policji szeroko przyjęły technologię identyfikacji poszukiwanych osób, znajdując ją znacznie szybciej niż bazy danych odcisków palców. Technologia szybko się rozwija: Google złożył wniosek o patent na identyfikację twarzy w filmach online, a Facebook opracował bardzo dokładny system rozpoznawania twarzy o nazwie DeepFace (Singer, 2014a). Ludziom trudno jest wykryć, czy są prześladowane lub śledzone przez osoby korzystające z technologii rozpoznawania twarzy, a obecnie nie ma kontroli nad jej użyciem. Firmy zajmujące się reklamą sieciową twierdzą, że profilowanie i kierowanie reklam online jest korzystne zarówno dla konsumentów, jak i dla firm. Profilowanie pozwala na ukierunkowanie reklam, dzięki czemu konsumenci widzą reklamy głównie produktów i usług, którymi są faktycznie zainteresowani. Firmy odnoszą korzyści, nie płacąc za zmarnowane reklamy wysyłane do konsumentów, którzy nie są zainteresowani ich produktem lub usługą. Branża argumentuje, że zwiększając skuteczność reklamy, więcej wpływów z reklam trafia do Internetu, co z kolei dofinansowuje bezpłatne treści w Internecie. Wreszcie projektanci produktów i przedsiębiorcy czerpią korzyści z wykrywania popytu na nowe produkty i usługi poprzez badanie wyszukiwań i profili użytkowników. Krytycy twierdzą, że tworzenie profili podważa oczekiwania większości ludzi dotyczące anonimowości i prywatności podczas korzystania z Internetu i zmienia to, co powinno być doświadczeniem prywatnym, w takie, w którym każdy ruch jest rejestrowany. Gdy ludzie zdadzą sobie sprawę, że każdy ich ruch jest obserwowany, znacznie rzadziej będą eksplorować drażliwe tematy, przeglądać strony lub czytać o kontrowersyjnych kwestiach. Jak ludzie mogą doświadczyć wolności, jeśli wierzą, że każdy ich ruch w Internecie jest obserwowany? W większości przypadków profilowanie jest niewidoczne dla użytkowników, a nawet ukryte. Konsumentów nie  poinformowano, że ma miejsce profilowanie. Profilowanie umożliwia agregację danych w setkach, a nawet tysiącach niepowiązanych ze sobą witryn internetowych. Krytycy dyskutują o ekonomicznych korzyściach płynących z profilowania, ponieważ umożliwia ono firmom dyskryminację cenową, pobierając wyższe opłaty za towary na przykład na podstawie kodu pocztowego, płci i pochodzenia etnicznego (Singer, 2015). Pliki cookie umieszczane przez sieci reklamowe są trwałe i mogą być ustawione na ostatnie dni, miesiące, lata lub nawet na zawsze. Ich śledzenie trwa przez dłuższy czas i jest wznawiane za każdym razem, gdy dana osoba loguje się do Internetu. Te dane strumienia kliknięć służą do tworzenia profili, które mogą zawierać setki różnych pól danych dla każdego konsumenta. Powiązanie tak zwanych anonimowych profili z danymi osobowymi jest dość łatwe, a firmy mogą szybko zmieniać zasady bez informowania konsumenta. Chociaż informacje gromadzone przez reklamodawców sieciowych są często anonimowe (dane niebędące danymi umożliwiającymi identyfikację), w wielu przypadkach profile pochodzące ze śledzenia działań konsumentów w sieci są łączone lub łączone z informacjami umożliwiającymi identyfikację. Anonimowe dane behawioralne są znacznie bardziej wartościowe, jeśli można je powiązać z nazwiskami, zachowaniami konsumentów offline, adresami e-mail i adresami pocztowymi.