(Bilde: Per Ervland)

Facebook-annonsører får vite alt om brukerne

Tjenesten lover bot etter systematiske brudd på grunnleggende regler for personvern.

Facebook og andre sosiale nettjenester er utstyrt med personvernplakater der de blant annet lover at annonsører skal ikke gis tilgang til personlige data om brukerne, uten spesifikk tillatelse fra brukeren.

Det er nå avslørt at dette løftet har vært brutt både langvarig og systematisk. Facebook erkjenner forholdet, og sier de allerede er i ferd med å skrive om koden i ordningen som overfører informasjon til annonsøren når noen klikker på en annonse på en Facebook-side.

Det er også påvist at Facebook har visst om det systematiske bruddet på egne og selvsagte regler for personvern i månedsvis. De reagerte først nå, etter et oppslag i går kveld i den innflytelsesrike avisa Wall Street Journal.

Bruddet ble avdekket i august 2009 da to akademikere, henholdsvis forsker Balachander Krishnamurthy ved AT&T Labs og professor Craig Wills ved Worcester Polytechnic Institute la fram en utredning, On the Leakage of Personally Identifiable Information Via Online Social Networks (pdf, seks sider) på et Sigcomm-seminar i Barcelona, Workshop on Online Social Networks (WOSN).

Bilde: Per Ervland

De to forskerne påviste at når noen klikker på en annonse i Facebook og en rekke andre sosiale tjenester, mottar annonsøren hele nettadressen (URL-en) som klikket stammer fra. I mange tilfeller inneholder denne URL-en to brukernavn, det vil si både til den som klikker, og til den som har siden det klikkes på. Med utgangspunkt i dette er det mulig for en annonsør å hente inn informasjon som begge brukerne har angitt som offentlig tilgjengelig i sine brukerprofiler. Det innebærer at annonsøren får minst tilgang til navn, og gjerne også alder og bopel med mer.

Facebook bekrefter at de ble underrettet om forskernes utredning. I en motvillig innrømmelse gitt til Mediapost allerede i september i fjor, nedtoner Facebooks talsperson at det er snakk om et alvorlig brudd på grunnleggende personvern.

For noen dager siden ble saken reaktualisert i et essay publisert som blogginnlegg av lektor Ben Edelman ved Harvard Business School.

Her viser Edelman eksempler på hva som skjer når noen klikker på en annonse på sin egen eller en annen persons Facebook-side. I begge tilfeller får Facebook direkte overført annonseklikkerens brukernavn, oppholdssted (by), kjønn og aldersgruppe.

Edelman peker på at annonsøren allerede vet en del om brukeren som klikker, siden det ligger i kortene at annonsen bare vises overfor brukere som passer til en bestemt profilering. Facebooks avtaler gir dessuten annonsører tilgang til ytterligere profilopplysninger, på betingelse av at de er i stand til å oppgi brukernavnet, noe de får gjennom URL-en.

Siden Facebook krever at brukere skal oppgi fullt navn, innebærer det at du oppgir overfor annonsøren hvem du er, straks du klikker på en annonse.

Facebook erkjente alt dette da Wall Street Journal tok kontakt med dem, og sa at de nå har endret koden slik at brukernavnet strykes fra URL-en som overføres til annonsøren.

Dette innebærer langt fra noen overgang til det europeere er vant til av personvernforpliktelser.

Slik beskriver Facebook sin nåværende praksis overfor avisa:

– [Vi overfører] bruker-ID-en til siden, men ikke til personen som klikket på annonsen. Vi betrakter ikke dette som personlig identifiserbar informasjon. Vi tillater ikke annonsører å samle brukerinformasjon uten tillatelse fra brukeren.

Ifølge Facebook er dette fast praksis også hos konkurrentene: Ingen betrakter brukernavn som «personlig identifiserbar informasjon».

En rundspørring hos andre tjenester – Twitter, MySpace, Hi5, Digg, Xanga og Live Journal – bekrefter at det er slik de forholder seg. Å overføre brukernavn til annonsører er fast praksis.

En talsperson for MySpace sier at de vil vurdere å endre denne praksisen.

Blant annonsørtjenestene som mottar klikkinformasjon fra Facebook og andre sosiale tjenester, er DoubleClick (Google) og Right Media (Yahoo).

Disse bedyrer at de overser all brukerinformasjon de mottar fra de sosiale tjenestene.

– Google søker ikke på noen måte å gjøre noen form for bruk av verken brukernavn eller ID-er som inngår i URL-ene vi mottar, heter det i en offisiell uttalelse.

– Vi forbyr kunder å sende oss personlig identifiserbar informasjon. Vi har sagt til dem at vi ikke ønsker det og at de ikke bør sende oss slikt. Skulle det være der, leter vi det ikke opp, sier personvernsjef Anne Toth til avisa.

Men hvor mye er den siste uttalelsen verdt, siden bruker-ID ikke oppfattes som «personlig identifiserbar informasjon»?

Til toppen