Facebook šmíruje své uživatele prostřednictvím aktivních prvků po celém internetu. Jde tak daleko, že podle zprávy výzkumníků z Centre of Interdisciplinary Law and ICT (ICRI) a oddělení Computer Security and Industrial Cryptograhy (Cosic) univerzity v Lovani šmíruje každého. Včetně lidí, kteří na Facebooku žádný účet nemají.
Výsledky studie, kterou si nechal vypracovat belgický úřad na ochranu osobních údajů, popravdě, nepřinesly nic nového. Aféra se stínovými profily tu byla naposledy někdy v roce 2011 (viz Facebook vytváří komplexní „profily“ pro kohokoliv na Internetu, ne pouze pro registrované uživatele).
Od té doby se nic zásadního nezměnilo, byť už tehdy jsme mohli slyšet něco o tom, že Facebook porušuje zákony. Je otázkou, zda nová vlna mediálního zájmu něco vyřeší. Zejména proto, že celý problém moc řešení nemá, stojí totiž na nesmyslném (anti)sušenkovém zákonu.
Jak Facebook sleduje uživatele
Výzkumníci z lovaňské university nezjistili nic, co bychom už léta nevěděli. Celé je to možné rozdělit do několika částí:
Přihlášený uživatel je sledován všude, kde má Facebook své aktivní prvky (Líbí, komentáře, sledovací body pro reklamu, mobilní aplikace). Jde to snadno, protože každé nahrání prvku z Facebooku jasně určuje uživatele podle cookies (a dalších ukazatelů).
Odhlášený uživatel je sledován stejně jako přihlášený, má pořád cookie a další ukazatele. Kdyby si je náhodou smazal, tak je Facebook může velmi snadno vrátit zpět s využitím běžně dostupných mechanismů.
Člověk, který není uživatele Facebooku, je šmírován tak, že při prvním setkání s čímkoliv od Facebooku dostane přidělenou cookie, a ta ho doprovází při všech dalších setkáních s prvky Facebooku.
Člověk, který vyjádřil zájem o nesledování (opt-out) v rámci (anti)sušenkového zákona, je samozřejmě sledovaný také. Protože jenom tak je možné zjistit, že „nemá zájem“. Ten nezájem je totiž vyjádřen pomocí cookie, která ho nejenom musí umět identifikovat, ale musí říci „nesledovat“.
Absurdní (anti)sušenkový zákon
Je to tak, právě posledně zmiňovaná věc je na tom všem asi nejabsurdnější. To, že Facebook buduje stínové profily „ne-uživatelům“, se ví roky. Je nereálné, že by to přestal dělat, příliš dobře na tom totiž vydělává a vlastně mu nic nebrání v tom, aby to dělal dál. Využití je také jasné, cílení reklamy, na kterém Facebook postavil svůj obchodní model.
Kompletní zpráva Facebook Tracking Through Social Plug-ins obsahuje řadu dalších detailů, včetně informace o tom, jak je realizován onen „opt-out“ v rámci evropské legislativy (cookie jménem datr představující identifikaci prohlížeče) i další „opt-out“ u samotného Facebooku (cookie jménem fr obsahuje Facebook ID i identifikaci prohlížeče).
Chytit cookie od Facebooku lze všude možně
Zpráva zmiňuje i to, že deaktivace účtu vás sledování nezbaví (což je nakonec také logické), ale také to, že cookies od Facebooku můžete „chytit“ i na řadě dalších webů, které nejsou přímo Facebooku. Zmiňuje i „audience pixel“, který stále více webů používá k tomu, aby mohly cílit inzerci.
V zásadě je velmi obtížné vyhnout se tomu, že si vás Facebook někde neoznačkuje. Aktivní prvky Facebooku, měřící body, implementované přihlašování přes Facebook Connect, mobilní aplikace, sdílení na webu i v aplikacích či měřící body pro inzerci, to všechno můžou být momenty, kdy cookie od Facebooku chytíte.
Obrana před vlezlým Facebookem
Budete-li se chtít bránit, tak jedině blokováním těchto konkrétních cookies, případně využítím některých doplňků pro prohlížeč (Privacy Badger, Ghostery, Disconnect, atd). Problém nastane na mobilních telefonech a tabletech, kde tato rozšíření zpravidla k dispozici nejsou.
Vhodné řešení by bylo, kdyby weby využívající prvky Facebooku je měly nasazené tak, že se nespouštějí automaticky, ale až poté, co na ně uživatel klikne (viz Social Share Privacy). Což ale obnáší podobné řešení i pro další sociální sítě a služby, včetně nutnosti zamezit spuštění knihoven, které jsou pro příslušné prvky použity.
Proč ale jenom Facebook?
Na mediálním pokrytí facebookového šmírování, ale i na samotné zprávě od výzkumníků je zvláštní to, že se nezmiňuje o stejném šmírování od řady dalších subjektů. Máme tu Google s Google Analytics a aktivními prvky z Google+ a dalšími věcmi. Je tu Twitter s jeho aktivními prvky, stejně jako Linkedin s dalšími aktivními prvky. Dnes jsme navíc běžně přihlášení nejenom v Googlu, ale také u Microsoftu, v Dropboxu, či v desítkách dalších služeb.
A mimo těchto firem jsou zde desítky dalších společností a služeb, které identifikují uživatele bez jejich vědomí a informace používají k něčemu, o čem zpravidla nebudete mít ani ponětí. Ať už jde o různé nástroje na měření návštěvnosti nebo o různorodé doplňky webových stránek – Disqus a diskuzní fóra, různorodé „agregátory“ sdílecích prvků (neblaze proslulé AddThis například), desítky inzertních systémů. Tam všude dochází ke stejnému chování, které EU kritizuje právě na Facebooku.
„Šmírovací“ cookies navíc už zdaleka nejsou tím největším nebezpečím. Dnes se šmíruje a označuje daleko pokročilejšími způsoby – viz Po smrti cookies si online svět rozdělí velké firmy a hlavně Canvas fingerprinting: nový způsob sledování, proti kterému není obrana. Třeba i proto je dnes běžné, že se sice cookies Facebooku zbavíte, ale za pár minut ji opět dostanete odjinud.
Evropská unie ale má aktuálně v hledáčku jenom Facebook. Byť by, pokud se nad tím zamyslíte, měla měřit stejným metrem. Otázkou zůstává, jak tohle celé vyřešit. Protože pořád nám tu v cestě stojí to, že pokud „odmítnete cookies“, tak musíte tuto informaci mít „právě v cookies“ zanesenou. Taková trochu Hlava 22.