Исследователи из Испании и Австрии смогли настроить таргетинговые инструменты Facebook таким образом, что их реклама была показана одному конкретному человеку, на которого и была изначально нацелена.

Как отмечает TechCrunch, для такого «индивидуального» использования рекламных инструментов необходимо обладать обширными данными об интересах «цели», но не обязательно использовать ее персональную информацию.


«Деперсонализированные» данные все равно позволяют идентифицировать пользователя

Исследовательская работа под названием «Уникальность на Facebook: формулирование и доказательство (нано)таргетинга на отдельных пользователей с помощью неперсональных данных» описывает возможность довольно точного таргетирования рекламной кампании на одного конкретного человека.

Для этого даже не нужно использовать персональные данные выбранного пользователя — достаточно лишь угадать какие интересы рекламная платформа Facebook приписывает его аккаунту.

«Результаты нашей модели показывают, что 4 самых редких интересов или 22 случайных интересов из набора, которые FB назначает пользователю, делают их уникальными с вероятностью 90%», — пишут исследователи.

Таким образом огромная часть пользователей социальной сети имеет практически уникальный идентификационный номер, выраженный в наборе интересов для таргетирования рекламы. И такие данные не считаются персональной информацией, хоть и позволяют фактически идентифицировать пользователя.

Нанотаргетинг может быть систематически реализован на Facebook

В ходе исследования ученые провели 21 рекламную кампанию, каждая из которых была нацелена на трех авторов статьи и тестировала вариации с  5, 7, 9, 12, 18, 20 и 22 случайно выбранных интересов из списка, назначенных профилю соцсетью.

«В общей сложности с октября по ноябрь 2020 года мы провели 21 рекламную кампанию, чтобы продемонстрировать, что нанотаргетинг уже возможен сегодня. Наш эксперимент подтверждает результаты нашей модели, показывая, что если злоумышленник знает 18+ случайных интересов пользователя, он сможет использовать нанотаргетинг с очень высокой вероятностью. В частности, 8 из 9 рекламных кампаний, в которых использовались 18 и более интересов в нашем эксперименте, были успешно адресованы выбранным пользователям», — отмечают ученые.

Данные об интересе, используемые для анализа, были собраны у 2390 пользователей Facebook с помощью расширения браузера, которое пользователи установили до января 2017 года. Расширение, называемое Data Valuation Tool for Facebook Users, анализировало страницу рекламных предпочтений каждого пользователя в Facebook и предоставляло оценку дохода, который они генерируют для соцсети. Собранных этим расширением данных уже хватило для реализации нанотаргетинга.

Возможность осуществления нанотаргетинга косвенно нарушает GDPR

В ходе всего исследования авторы ссылаются на то, что для нанотаргетинга им не пришлось использовать персональную информацию пользователя (PII — распространенный в США термин, обозначающий данные, которые позволяют идентифицировать пользователя), но в старнах Европейского Союза есть общий регламент по защите данных (GDPR), более широко рассматривающий персональную и не персональную информацию.

«Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо — это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для физических, физиологических, генетических, ментальных, экономических, культурных или социальных принадлежностей этого физического лица», — говориться в статье 4 (1) GDPR.

Таким образом, хоть данные об интересах пользователя не являются персональной информацией с точки зрения Facebook, они могут подпадать под действие GDPR, поскольку позволили исследователям персонально нацелить рекламные кампании.