تیم Brave از گوگل شکایت کرد؛ اولین بازپرسی از گوگل به جرم اتهامات وارده!

امروز کمسیون محافظت از داده ها (DPC) در ایرلند یک تفحص برجسته در مورد اتهام تخلف کسب و کار تبلیغات “کلیک دوگانه/ خریداران مجوز دار” گوگل از قانون محافظت از داده های عمومی (GDPR) را اعلام کرد. این تفحص با یک شکایت رسمی از جانب دکتر Johnny Ryan ریاست سیاست گذاری مرورگر خصوصی Brave شروع شد. این هفته درست یک سال از درخواست GDPR می گذرد. کمسیون محافظت از داده های ایرلند به تازگی اعلام کرده که یک بررسی قانونی مطابق با بخش ۱۱۰ از قانون محافظت داده های ۲۰۱۸ در ارتباط با پردازش داده های شخصی Google Ireland Limited در فضای مبادله آگهی آنلاین شروع شده است.

بر طبق گزارش BuiltWith سیستم تبلیغات کلیک دوگانه/ خریداران مجوز دار گوگل در ۸.۴ میلیون وبسایت فعال است. مدارک دکتر Ryan برای DPC آشکار کرد که نوعی نقض داده مستمر و گسترده در این سیستم گوگل انجام می شود که منجر به افشای داده های خصوصی افرادی می شود که هر روزه از این وبسایت ها دیدن می کنند. ماده ۵ (۱) (f) از قانون GDPR نیازمند کنترل شدید داده های شخصی است. بنا به ماده ۵ (۱) (a) و (b) نیز افراد باید اطلاعات کافی در مورد آنچه که برای داده هایشان اتفاق می افتد، داشته باشند. گوگل سیستم فوق الذکر را در سال ۲۰۰۷ با قیمت ۳.۱ میلیارد دلار خرید. این سیستم یکی از عوامل کسب درآمد ۱۹.۹ میلیاردی گوگل از تبلیغات وبسایت های انتشار دهنده می باشد و متکی بر انتشار داده های شخصی کاربران است که کاربران از این انتشار بی خبر هستند.

کمسیون ممکن است یک پرس و جو به منظور اتهام تخلف از قانون تصویب شده بخش ۱۱۰ مربوطه را انجام دهد. در درجه اول، این کمسیون خواه بنا بر بخش ۱۰۹ (۵) (e) یا بخش ۱۱۳ (۲) و یا به اراده خود به منظور تعیین اینکه آیا تخلف صورت گرفته و یا در حال صورت گرفتن است اقدام به چنین تفحصی کرده و به نظر کمسیون این پرس و جو برای این منظور مناسب است.

در درجه دوم کمسیون ممکن است برای مقاصد زیر بخش ۱ که در آنجا چنین کاری مناسب تلقی شده است، یکی از موارد زیر و یا شاید هر دو را انجام دهد:

الف- اعمال قدرت خود بنا بر ماده ۴ (بجز بخش ۱۳۵)

ب- انجام بازجویی بنا بر ماده ۵

کمسیون محافظت داده های ایرلند بر طبق قانون GDPR مسئول اجرای این قانون در ارتباط با گوگل است. DPC یک اعلامیه رسمی را برای گوگل صادر کرد و در آن تصریح کرد که تفحص در زمینه اتهام تخلف را بنا به بخش ۱۱۰ ماده قاونی محافظت داده های ایرلند انجام خواهد داد. این نهاد می تواند به گوگل دستور دهد که کاملا استفاده از داده های شخصی را در سیستم تبلیغاتی خود متوقف کند و همچنین توان اعمال مجازات های مالی برجسته را دارد. این قضیه در حالی مطرح است که اولین سالگرد GDPR در ۲۵ می می باشد.

حقایق کلیدی

• این سیستم گوگل بر روی بیش از ۸.۴ میلیون وبسایت نصب شده است.
• این سیستم داده های شخصی در مورد ملاقات کنندگان را به این سایت ها و شرکت ها بار ها در طول روز گزارش می دهد.
• این داده ها می تواند شامل موقعیت افراد، مذهب استنباط شده، خصوصیات سیاسی، نوع چیز هایی که افراد می خوانند، ویدیو های تماشا شده و فایل های گوش داده شده به صورت آنلاین و رفتار های مخصوصی باشد که باعث ایجاد پروفایل دراز مدت در مورد هر فرد به مرور زمان می شود.
• کنترلی به نسبت آنچه که برای داده ها در زمان انتشار روی می دهد، موجود نیست.
• به نظر می رسد که این تا به حال بزرگترین انتشار داده های شخصی باشد که ثبت شده است.
• کمسیون محافظت داده های ایرلند در حال بررسی اتهام تخلف گوگل از قانون GDPR بنا به بخش ۱۱۰ قانون محافظت داده های ایرلند می باشد.
• بند ۵ (۱) (f) از قانون GDPR نیازمند این است که داده های شخصی شدیدا کنترل شود.
• بند ۵ (۱) (a) و (b) از قانون GDPR نیازمند این است که افراد اطلاعات کافی در مورد آنچه که برای داده هایشان اتفاق می افتد، داشته باشند.
• گوگل ممکن است منجر به توقف پردازش همه داده های شخصی برای سیستم تبلیغاتی خود شود و ممکن است با جریمه ۴ درصد از حجم معاملات جهانی خود مواجه شود.

دکتر Ryan اظهار داشت که:

سرمایه داری نظارتی در حال منسوخ شدن می باشد. اقدام کمسیون محافظت از داده های ایرلند نشان دهنده این است که حالا و بعد از گذشت تقریبا یک سال از معرفی GDPR، تغییری در حال ایجاد شدن است که تنها به گوگل ختم نخواهد شد. ما لازم است به اصلاح تبلیغات آنلاین بپردازیم و تبلیغات کنندگان و انتشار دهندگان را در برابر خطرات قانونی ناشی از GDPR محافظت کنیم.

دکتر Ryan شکایت نامه رسمی خود را در سپتامبر ۲۰۱۸ تقدیم DPC کرد. یک کپی از این شکایت نامه نیز توسط Jim killock مدیر عامل گروه Open Rights و دکتر Michael Veale از دانشگاه لندن به مامور عالی رتبه کمسیون اطلاعات بریتانیا تقدیم شد. دکتر Ryan، دکتر Veale و آقای Kilock توسط Ravi Naik از جانب وکلای ITN در لندن به عنوان نماینده معرفی شده اند.

در لهستان، Katarzyna Szymielewicz مدیر عامل بنیاد Panoptykon در ژانویه یک کپی از این شکایت نامه را تقدیم کرده است. شکایت نامه های مشابهی هم در ۲۰ می ۲۰۱۹ در هلند، بلژیک، اسپانیا و لوگزامبورگ پرونده شده است.

سیستم کلیک دوگانه/ خریداران مجوز دار گوگل عاری از محافظت داده ها می باشد

هر زمان فردی وبسایتی را مشاهده کند که از این سیستم گوگل استفاده کند، داده های شخصی او و آنچه که در اینترنت می بیند با یک درخواست به ده ها و یا صد ها شرکت انتقال می یابد که این شرکت ها با جمع آوری این داده ها تشخیص می دهند که چه نوع تبلیغاتی را برای این شخص خاص ارسال کنند. این موضوع هر روز به کرات اتفاق می افتد و بزرگترین انتشار داده های شخصی تا به حال می باشد.

Ravi Naik از اعضای تیم وکلای ITN با توجه به آنچه که از شکایت کنندگان آموخته است چنین اظهار داشت:

برای مدت های طولانی صنعت فناوری تبلیغات بدون توجه به محافظت از داده های مشتری عمل کرده است. ما خوشحالیم که کمسیون محافظت از داده ها در این زمینه اقدام کرده است. این صنعت باید تغییر کند.

هیچ محدودیت و یا کنترلی به نسبت آنچه که با این اطلاعات کاربران اینترنت انجام می شود، وجود ندارد. به عنوان مثال گوگل رهنمود های قانونی خود را در این زمینه دارد که متکی بر شرکت های دریافت کننده این اطلاعات می باشد و این شرکت ها باید اعلام کنند که آیا قوانین را نقض کرده اند یا نه. گوگل ابراز داشته که بیش از ۲۰۰۰ شرکت در این زمینه مجوز داده شده اند. این سیستم گوگل اطلاعات شخصی کاربران به کرات در طول روز برای این شرکت ها می فرستد.

اما بر طبق GDPR یک شرکت اجازه استفاده از این داده های شخصی را ندارد مگر اینکه شدیدا کنترل کند که چه اتفاقی برای آن داده ها می افتد. ماده ۵(۱) (f) از GDPR نیازمند این است که داده های شخصی به شیوه ای پردازش شود که امنیت مناسبی تضمین می شود که از این جمله می توان به محافظت در برابر پردازش غیر قانونی و بدون مجوز و یا در برابر گم شدن تصادفی اشاره کرد.

وقتی گوگل تبلیغ می کند، چه چیزی در مورد افراد ممکن است منتشر شود؟

 در واقع آنچه که در حال خواندن، تماشا کردن و یا گوش دادن هستید می تواند منتشر شود.

URL خاصی که کاربر در حال بارگذاری آن است منتشر می شود که این موجب نشان دادن آنچه که فرد در حال خواندن و یا تماشا کردن آن است، خواهد شد. بعضی اوقات انتشار دهندگانی که از این سیستم گوگل استفاده می کنند، مانع از این می شوند که URL آنها منتشر شود. طبقه محتوایی که شما در حال خواندن، تماشا کردن و یا گوش دادن هستید نیز منتشر می شود که از آن جمله می توان موضوعاتی مانند اختلالات خوردن، سیاست جناح چپ، ناتوانی جنسی مردان و یهودیت را نام برد.

اما در مورد دستگاه شما:

• کد های شناسایی که مختص دستگاه شما هستند، انتشار می یابد و بدین وسیله شما و دستگاهتان دوباره شناسایی خواهید شد. این کد ها رمزگذاری شده اند اما دریافت کنندگان می توانند آنها را رمزگشایی کنند. گوگل ادعا می کند که موانع خاصی را برای این موضوع در بعضی از موقعیت ها ایجاد کرده است اما این موانع و این موقعیت ها توسط گوگل تعریف نشده اند.
• سیستم عملکردی دستگاه شما و نسخه آن و همچنین نرم افزار مرورگر شما به همراه نسخه آن انتشار می یابند. بعضی از این اطلاعات عامل کاربر ممکن است برای انتشار به طور جزئی ویرایش شود.
• سازنده دستگاه شما به همراه مدل و نسخه آن منتشر می شود.
• ارتفاع، عرض و نسبت صفحه نمایش شما منتشر می شود.
• تنظیمات زبانی شما منتشر می شود.
• حامل شبکه موبایلی که دستگاه شما از آن استفاده می کند، منتشر خواهد شد.

اما در مورد خودتان:

• آی دی گوگل شما منتشر می شود که منحصر به اکانت شخصی گوگل شما می باشد. گوگل مدعی است که در این مورد هم موانعی خاص را در برخی موقعیت ها تحمیل کرده است اما تعریفی از این موانع و موقعیت ها ارائه نمی دهد.
• نتایج Cookie Match Service گوگل که باعث می شود یک شرکت تشخیص دهد که آیا قبلا از شما پروفایل دارد یا نه، انتشار می یابد. در این حالت بنا به درخواست این شرکت ها داده های موجود با داده های جدید شما ترکیب می شود که البته در این مورد هم گوگل ادعایی مانند ادعای ذکر شده در بالا مطرح کرده است.
• علایق شما بر اساس آنچه که می خوانید، تماشا می کنید و یا گوش می دهید شناسایی شده و انتشار می یابد.
• اینکه آیا ملاقات کننده این وبسایت در لیست کاربری خاصی از افراد هدف حضور دارد یا نه نیز انتشار می یابد که ممکن است طبقه ای باشد که قبلا یک تبلیغات کننده در مورد آن تصمیم گرفته است و یا بروکر داده ای باشد که داده ها از آن بدست آمده است. این داده ها بر اساس پروفایل قبلی بروکر از این شخص خاص می باشد.

اما مکان شما:

• عرض جغرافیایی و طول جغرافیایی شما منتشر خواهد شد.
• کد پستی و یا پیشوند کد پستی شما اگر کد پستی کامل موجود نباشد، منتشر می شود.
• اینکه آیا کاربر در یک ناحیه محلی کوچک حضور دارد یا نه نیز منتشر می شود.