דו"ח טכנולוגי
גם בלי הקוקיז: כך עלולה גוגל לפגוע לנו בפרטיות
ענקית האינטרנט הודיעה כי תפסיק להשתמש בקוקיז צד ג' לצורך יצירת פרופיל אישי של הגולשים; ואולם החלופה שתאפשר לה להציג לנו פרסומות ממוקדות - עלולה להיות לא פחות גרועה מבחינת השמירה על הפרטיות
בשנים האחרונות, משהו השתנה ביחס של הציבור, המחוקקים והתקשורת לפרטיות ברשת. בחסות פרשת קיימברידג' אנליטיקה, חל שינוי טקטוני ביחס לפרטיות, שהפכה מסוגיה שולית שמטריד בעיקר מומחים ופעילים, למשהו שמעסיק ברמה זו או אחרת חלק ניכר מהגולשים, שזוכה לדיונים בפרלמנטים בכל העולם, ושזוכה גם לסיקור מרכזי בכלי תקשורת רבים. בישראל אמנם, לפחות בכל הנוגע ליחס של הממשלה לנושא, הזכות לפרטיות אמנם לא בדיוק מככבת, אך במדינות רבות מורגש שינוי משמעותי בנושא, בוודאי כשמדובר על איסוף מידע מצד חברות פרטיות.
- בשקט בשקט, גוגל הודיעה על מהפכה
- גוגל תפסיק למכור מודעות המבוססות על הרגלי גלישה
- האיום של גוגל ופייסבוק: לאמץ את המודל האוסטרלי
השפיץ העדכני של המגמה הזו נרשם בשבוע שעבר, כשגוגל הודיעה שתפסיק להשתמש בקוקיז צד ג' בדפדפן כרום כשיטה לניטור פעילות גלישה של משתשמים לצורך יצירת פרופיל אישי ממוקד שלהם, והבהירה שאין בכוונתה להחליף אותה בשיטת מעקב אחרת שמאפשרת גיבוש פרופילים של פרטים.
החיסול של הקוקיז בפני עצמו הוא צעד חשוב בהגנה על פרטיות הגולשים. "אף אחד לא צריך להתאבל על המוות של הקוקי כפי שהכרנו אותה", כתב בנט סייפרס מארגון זכויות הגולשים הוותיק EFF במאמר שפרסם באתר הארגון. "במשך יותר משני עשורים. קוקיז צד ג' היו היסוד של תעשיית פרסום אפלולית ומפוקפקת שגלגלה מיליארדי דולרים, הפסקת השימוש בהן ובמזהים אחרים היתה צריכה להתבצע מזמן".
השאלה היא, כמובן, מה עכשיו? לגוגל ולחברות אחרות אין כוונה להפסיק לעשות שימוש בפרסומות ממוקדות, ככה הן עושות את הכסף שלהן. אבל איך אפשר להציג פרסומות ממוקדות בלי לאסוף מידע אישי? לדברי גוגל, יש לה פתרון - טכנולוגיה בשם Federated Learning of Cohorts או FLoC בקיצור, שמאפשרית ליצור צבירים של משתמשים עם תחומי עניין דומים, תוך החבאת הזהות הפרטנית של משתמשים בהמון ושימוש בעיבוד על המכשיר כדי לשמור על פרטיות היסטוריית הגלישה.
גוגל טוענת שהטכנולוגיה מגיעה ל-95% מהיעילות של קוקיז צד ג' בכל הנוגע ליכולת להציג פרסומות ממוקדות. אבל מה בנוגע ליכולת שלה להגן על פרטיות משתמשים? ובכן, זו הנקודה שבה העניינים מתחילים להסתבך. שכן לדברי סייפרס, הטכנולוגיה יוצרת כמה בעיות מהותיות, שעלולות דווקא להקל על מעקב אחרי משתמשים במקום להקשות עליו או למנוע אותו.
כדי להבין את הבעיות האפשריות ב-FLoC צריך קודם להבין איך עובדת הטכנולוגיה. דפדפן שתומך בה אוסף מידע על הרגלי הגלישה של המשתמש ואז משתמש בו כדי לצרף אותו לקבוצה של גולשים עם הרגלי דומים. הדפדפן אז ישתף את המספר המזהה, ה-ID, של הקבוצה הזו עם אתרים ומפרסמים ויאפשר להם להציג פרסומות ממוקדות בלי שהם יוצרים פרופיל אישי ייחודי של המשתמש. לפי ההצעה של גוגל, כל קבוצה (או cohort) כזו תכלול לפחות כמה אלפי משתמשים.
כך, לדוגמה, אם אתם מרבים לגלוש באתרים של רשתות אפנה תצורפו לקבוצה של גולשים עם הרגלים דומים. כשתבקרו באתר כלשהו, הוא יקבל את מספר הזהות של הקבוצה הזו וידע להציג לכם פרסומות ממפרסמים שמחפשים גולשים חובבי אפנה ולא, למשל, גולשים שמתעניינים בכלי עבודה. הטריק המשמעותי כאן הוא שפעולת העיבוד והצירוף לקבוצה הרלוונטית מתבצעת באופן מקומי במחשב המשתמש, ולא בענן. הדפדפן הוא זה שמנטר את הרגלי הגלישה, שמבצע את העיבוד האלגוריתמי (שמורכב הרבה יותר מהדוגמה הפשטנית שהבאתי כאן) ושמצוות את המשתמש לקבוצה הרלוונטית.
לשרת מרכזי יש תפקיד בעיקר בכל הנוגע להבטחת הפרטיות. "על מנת למנוע מקבוצה להיות קטנה מדי (כלומר, מזהה מדי), גוגל מציעה ששחקן מרכזי ימנה את מספר המשתמשים שנמצאים בכל קבוצה", הסביר סייפרס. "אם הם קטנים מדי, אפשר לשלב אותם עם קבוצות דומות אחרות עד שיש מספיק משתמשים". הוא הוסיף שהפרטים השונים של האופן שבו תיושם הטכנולוגיה עדיין לא נקבעו. למשל, גוגל מתנסה היום עם מזהים מבוססים 8-ביט, כאשר המשמעות המעשית היא שיש רק 256 קבוצות אפשריות. זה כנראה מספר קטן מדי על מנת לאפשר פרסום ממוקד דיו, והטכנולוגיה מאפשרת מספר קבוצות גדול הרבה יותר. המשמעות של יותר קבוצות, עם פחות משתמשים, היא יותר חשיפה של המשתמשים בקבוצות ויכולת גדולה יותר לזהות אותם. "דבר אחד שכן נקבע הוא התקופה. קבוצות FLoC יחושבו מחדש על בסיס שבועי, כל פעם על בסיס מידע משבוע הגלישה הקודם. זה הופך קבוצות FloC לפחות שימושיות כמזהים ארוכי טווח", הוסיף סייפרס.
לכאורה, פתרון מצוין שמשלב בין הגנה על פרטיות המשתמשים ליכולת להציג להם פרסום ממוקד. ואולם לדברי סייפרס, קשיים מהותיים בטכנולוגיה חושפים אותה לניצול לרעה או לשימוש באופן שמאפשר למפרסמים לזהות משתמשים פרטניים. הוא מזהה שתי סוגיות בעיתיות מרכזיות.
הראשונה, קשורה לפרקטיקה שמכונה Fingerprinting. מדובר ביכולת של אתרים או רשתות פרסום לזהות משתמשים על סמך פיסות מידע שונות שהופכות את הדפדפן שלו לייחודי. אלו כוללות משתנים המשותפים עם כל אתר שבו מבקר המשתמש, כמו סוג הדפדפן ומערכת ההפעלה, התוספים שלו, רזולוציית המסך, שפת המערכת, הפונטים של המערכת, הגדרות שונות ושלל משתנים מתוחכמים וטכניים יותר באופיים. כל אלו מאפשרים לרשתות פרסום לגבש זהות מאוד ממוקדת של הגולש, ולנטר את ביקורות באתרים שונים שעובדים אתן גם ללא צורך בקוקיז צד ג'.
וכשמשלבים Fingerprinting עם FLoC, מתחילות להתעורר בעיות. "גוגל הבטיחה שמרבית הקבוצות יכללו אלפי משתמשים, אז ID של קבוצה לא אמור להבדיל אותך מאלפי אנשים אחרים", כתב סייפרס. "ואולם זה נותן יתרון פתיחה משמעותי ל-Fingerprinting. אם מנטר מתחיל עם קבוצת ה-FLoC שלך, הוא צריך רק להפריד אותך מכמה אלפים אחרים (במקום כמה מאות מיליונים). המידע בהקשר זה עוצמתי במיוחד, מכיוון שיש סבירות נמוכה לדמיון בין המידע שחושף הדפדפן למידע שמתקבל מעצם החברות בקבוצה". כלומר, באמצעות Fingerprinting יכולים מפרסמים להפריד בקלות רבה פרטים מתוך הקבוצה, כי בכל ביקור באתר ישלח הדפדפן את מספר הזהות של הקבוצה ביחד עם שאר הפרטים המזהים של הדפדפן.
הפרקטיקה תאפשר למעשה למפרסם לזהות את המשתמש מדי שבוע, גם אם קבוצת ה-FLoC שלו משתנה, וכך ליצור למעשה פרופיל קבוע של הרגלי הגלישה שלו. למעשה, הטכנולוגיה יכולה להפוך את החיים של המפרסם לקלים יותר: מכיוון שהניטור מתבצע ברמה המקומית הוא מבוסס על כלל הגלישה של המשתמש – כולל אתרים שלמפרסם או לרשת הפרסום אין גישה אליהם – והקבוצה שאליה הוא משויך יכולה לכלול פילוח עמוק יותר מכפי שהמפרסם יכול היה להגיע אליו בעצמו. למשל, הדפדפן יזהה שהמשתמש גלש גם באתרי שופינג וגם באתרי טיולים ויצוות אותו לקבוצה מתאימה, בשעה שייתכן שרשת פרסום לבדה היתה מצליחה לזהות רק פעילות של המשתמש באתרי שופינג (אם, נניח, היא לא פופולרית במיוחד בקרב מפעילי אתרי טיולים). פילוח עמוק יותר בתוספת יכולת לזהות את המשתמש גם כשהוא עובר בין קבוצות מובילה בסופו של דבר ליכולת ליצור פרופיל אישי מדויק יותר.
גוגל אמנם מודעת לבעיה ומבטיחה להתמודד עם הסוגיה במסגרת תוכנית פרטיות רחבה יותר, אך סייפרס מציין שהמאמצים עדיין בתחילת הדרך ומביע ספקנות לגבי היכולת להגיע לפתרון מוצלח. "קשה מאוד לעצור Fingerprinting. דפדפנים כמו ספארי ו-TOR מנהלים מלחמות התשה ארוכות שנים והקריבו חלקים ניכרים מהשימושיות שלהם כדי לצמצם את החשיפה ל-Fingerprinting. גוגל לא צריכה ליצור סיכונים חדשים לפני שהיא מתמודדת עם קיימים", הוא טען.
בבעיה השנייה נגעתי קודם בקצרה, והיא העובדה שקבוצות ה-FLoC חושפות מידע נרחב על המשתשמים, שבאמצעות Fingerprinting או כלי זיהוי אחרים יכולים לשמש להעשרת פרופיל המשתמש לצרכי פרסום. לדברי סייפרס, מדובר בעיקר בשני סוגי מידע: היסטוריית גלישה, שמתקבלת מעצם השיוך לקבוצה מסוימת, ומידע כללי כמו דמוגרפיה ותחומי עניין.
"מפרסמים יכולים ללמוד שיש סבירות גבוהה שחברים בקבוצה מסוימת הם אדם מסוג מסוים", הסביר סייפרס. "לדוגמה, קבוצה מסוימת יכולה לכלות ייצוג יתר של נשים שחורות וצעירות, אחרת מצביעים רפובליקנים בגיל העמידה, שלישית נוער להטב"קי. המשמעות היא שכל אתר שתבקר יידע איזה מן אדם אתה כבר בביקור הראשון, בלי להתאמץ לנטר אותך ברשת. ומכיוון שקבוצת ה-FLoC שלך תתעדכן לאורך זמן, אתרים שיכולים לזהות אותך בדרכים אחרות יוכלו לנטר שינויים בהרגלי הגלישה שלך. קבוצת FLoC היא לא יותר מסיכום של פעילות הגלישה העדכנית".
אלו לא בעיות בלתי פתירות, אבל הן גם לא סוגיות טריוויאליות. מדובר באתגרים שמצריכים מחשבה וחדשנות משמעותיות, והדרך שבו גוגל תתמודד אתם תכריע במידה רבה האם הטכנולוגיה החדשה שלה אכן תאפשר להציג פרסומות ממוקדות תוך שמירה על הפרטיות, או שתהפוך לאמצעי ריגול נוסף, שונה מקוקיז צד ג' אך פולשני לא פחות ממנו, אולי אפילו יותר. גוגל מפסיקה את השימוש בקוקיז צד ג' לאור מה שהיא הגדירה כרצון ליצור מרחב מקוון פרטי ובטוח יותר. אם היא באמת מחויבת לכך, היא חייבת לפתור את הבעיות השונות עם טכנולוגיית FLoC, אחרת כל שיישאר זה הבטחות ריקות ומציאות שבמחינת ההגנה על פרטיות הגולשים אינה שונה משמעותית מהמצב כיום.
סייפרס טוען שהבעיה בכלל עמוקה יותר, ונוגעת לעצם השימוש בפרסום ממוקד, שלאורך השנים שימש לתפיסתו לניצול, אפליה ופגיעה. "יש יכולת לטרגט אנשים על סמך מוצא, דת, מגדר וגיל, יכולת לאפשר אפליה בפרסום מודעות דרושים, דיור ואשראי", הוא אמר. "טרגוט על סמך היסטוריית אשראי אפשר פרסומות להלוואות טורפניות. טרגוט על סמך מאפייניים דמוגרפיים, מיקום או נטייה פוליטית סייע לקידום דיסאינפורמציה ודיכוא הצבעה.
"בעולם עם FLoC אולי יהיה קשה יותר לטרגט משתמשים ישירות, אבל זה לא יהיה בלתי אפשרי. על גוגל לדחות את FLoC וניסיונות אחרים להמציא מחדש את הטרגוט, ולהשקיע משאבים ביצירת רשת ידידותית למשתמש, שבה המשתמשים מחליטים איזה מידע לשתף עם כל אתר שהם מבקרים בו. אף אחד לא צריך לחשוש מכך שהיסטוריית הגלישה שללו תשמש כנגדו כשהוא פותח טאב חדש".
השאיפה של סייפרס אולי נחמדה ונעימה, אך כנראה שאינה ישימה מבחינה מעשית: פרסום ממוקד הוא המנוע של הרשת המודרנית, המודל העסקי של מרבית השירותים הגדולים שבה. קריאה להחליפו, בטח ללא הצעת חלופה הגיונית, תמות מוות בעריסה וספק אם תזכה להתייחסות רצינית. אבל כן אפשר לצפות מענקיות הפרסום הדיגיטלי לפתח כלים ושיטות שלא יפגעו ביכולתן להציג פרסומות ממוקדות, או לפחות לא יפגעו בהן משמעותית, תוך שהם מגינים על פרטיות המשתמשים ומגבילים בצורה משמעותית את המסחור והסחר במידע שלהם. פתרנו כבר אתגרים גדולים מכך.