ФБР подтвердило Сенату, что снова покупает данные, которые могут использоваться для отслеживания местоположения граждан США. Это могло удивить тех, кто полагал, что прецедент в деле Carpenter v. United States запрещал это. Но если в этом деле рассматривалось, законно ли правоохранительные органы получают данные о местоположении от мобильных сетей без ордера, то здесь ФБР и другие ведомства нашли способ обойти Четвертую поправку. За последние несколько лет они начали просто покупать данные о местоположении у тех же компаний, которые обеспечивают работу огромной экосистемы онлайн-рекламы.

Откуда берутся эти данные?

Когда ваш телефон подключен к интернету, он транслирует информацию о себе, как и приложения и платформы, которыми вы пользуетесь. Эта информация включает ваш IP-адрес и тип устройства, а также вашу долготу и широту, если ваше устройство имеет GPS. Эти данные, известные как Bidstream, вместе с любыми сторонними файлами cookie, привязанными к вашему устройству, позволяют осуществлять процесс Real Time Bidding (RTB) (торги в реальном времени). RTB — это процесс, при котором ваше внимание продается с молотка самому высокому участнику торгов за миллисекунды после загрузки страницы. Чтобы аукционы работали, этим платформам нужно знать о вас как можно больше.

Как я подробно объяснил в 2021 году, данные, такие как ваше местоположение и IP-адрес, транслируются через рекламные сети. Эта информация также может быть агрегирована, лицензирована или продана брокерам данных, которые могут объединить ее с любыми доступными «детерминированными данными». Например, если вы зарегистрируетесь на платформе и сообщите свое имя, адрес электронной почты и годовой доход, эти данные могут быть лицензированы брокеру данных. Даже банки, ищущие новые источники дохода, планируют лицензировать анонимизированные данные клиентов этим компаниям. Брокеры данных могут легко объединить эти два потока информации, чтобы составить довольно полное представление о вас как о личности и о том, чем вы будете наиболее интересны рекламодателям. К сожалению, отказаться от этого чрезвычайно сложно, и даже если бы это было возможно, еще сложнее было бы уничтожить уже циркулирующие данные.

В 2018 году французская компания Vectaury, выступавшая посредником по продаже рекламы для мобильных приложений, была проверена французским регулятором по защите данных. Официальные лица обнаружили, что компания создала базу данных, содержащую персональные данные 67,6 миллиона человек без надлежащего согласия.

Брокеры данных не просто собирают и хранят эти данные для продажи онлайн-рекламы, но и лицензируют и продают свои базы данных другим. Законодатели полагают, что эти брокеры продавали эти данные конкурирующим странам, стремящимся шпионить за гражданами США.

Как правоохранительные органы получают это?

В январе 404Media сообщило, что Иммиграционная и таможенная служба США (ICE) купила доступ к инструментам, поставляемым компанией по кибербезопасности Penlink. В частности, она приобрела доступ к инструментам под названием Tangles и Webloc, которые могут использоваться для наблюдения за большим количеством людей одновременно. Последний инструмент, по сообщениям, способен идентифицировать смартфоны в определенной области и в определенное время, а затем отслеживать их в течение дня и возвращаться домой ночью.

Учитывая секретность своего бизнеса, Penlink не раскрывает много информации о том, как работают ее инструменты. На удаленной странице маркетинга говорится, что Webloc автоматически анализирует «информацию на основе местоположения», доступную в «бесконечных цифровых каналах из экосистемы интернета». А в отчете 404Media говорится, что эти инструменты получают доступ к «коммерчески доступным данным о местоположении смартфонов», поставляемым сторонними брокерами данных. Forbes сообщает, что система также может собирать данные из различных источников, включая социальные сети, чтобы предоставлять информацию о событии в реальном времени. The Texas Observer утверждает, что Webloc может использовать эту информацию для обеспечения «несанкционированного отслеживания устройств».

Ряд других правоохранительных органов США также приобрел данные о местоположении у брокеров данных, в том числе Министерство внутренней безопасности, Таможенно-пограничная служба, Секретная служба и Налоговая служба. Это не ограничивается государственными учреждениями, поскольку антиабортные группы делали то же самое, отслеживая посетителей клиник Planned Parenthood.

Почему это законно?

Четвертая поправка гарантирует право граждан на защиту от «необоснованных обысков и изъятий», осуществляемых без достаточных оснований. Но, как писала Дори Х. Рахбар в Columbia Law Review, «Четвертая поправка не регулирует сделки на открытом рынке». Аарон Икс. Собель, пишущий в Yale Law and Policy Review, охарактеризовал эту практику как «обход ордеров» и призвал законодателей закрыть эту лазейку. Electronic Frontier Foundation (EFF) также выступает за принятие законодательного акта под названием «Четвертая поправка не продается».

Маловероятно, что такой закон будет принят в ближайшее время, и циник мог бы предположить, что это невозможно при нынешней администрации. Но даже если это произойдет, это не решит более крупную проблему: индустрия рекламных технологий и ее партнеры собирают как можно больше информации о нас. Когда эти компании — многие из которых даже неизвестны публике — смогут накопить достаточно информации о нас, что, если бы они того пожелали, они могли бы отслеживать наш путь в течение дня, это знак того, что что-то действительно гниет. Если мы обеспокоены тем, что правительства имеют такой доступ, то мы должны быть одинаково обеспокоены тем, что его имеют кто-либо еще.