Por que aceitamos a vigilância como padrão

 (vivianvoss.net)
1 pontos por GN⁺ 8 일 전 | 1 comentários | Compartilhar no WhatsApp
  • O financiamento da web por publicidade e a segmentação baseada em rastreamento foram amarrados em uma mesma cadeia lógica, fazendo com que o rastreamento entre sites se consolidasse não como uma escolha separada, mas como premissa padrão
  • DoubleClick DART e third-party cookies passaram a permitir o rastreamento do mesmo usuário em vários sites, e essa infraestrutura permaneceu mesmo depois
  • Os 10 mil principais sites carregam, em média, 7 third-party trackers por página, 41,1% do tráfego vem acompanhado de rastreadores e, a cada rastreador adicional, o tempo de carregamento da página aumenta cerca de 2,5%
  • A indústria dos banners de cookies também se consolidou como um mercado próprio e, quando o botão "Reject all" fica escondido, até 90% dos usuários acabam aceitando, numa reação mais próxima de fadiga do que de consentimento
  • O Apple ATT reduziu a taxa de opt-in para 15–25% apenas com um pedido de permissão no nível do sistema operacional e deixou uma estimativa de cerca de US$ 10 bilhões em perda de receita para a Meta em 2022, revelando que o rastreamento ativado por padrão não era uma inevitabilidade técnica, mas uma escolha

Axioma

  • A estrutura atual é justificada pela cadeia lógica de que a publicidade financia a web, o rastreamento viabiliza a publicidade e, portanto, o rastreamento é necessário
    • Banners de cookies são tratados como recibos modernos, e clicar em "Accept" passa a ser considerado consentimento
    • Essa estrutura parece uma lógica limpa, mas a própria premissa precisa ser examinada separadamente
  • Ninguém votou por essa estrutura, e ainda assim ela se estabeleceu
    • Quando a FTC e a UE ainda encerravam debates sobre concorrência de mercado, a estrutura da web já havia silenciosamente se transformado em um sistema de vigilância

Origem

  • A DoubleClick foi fundada em 1996, em Nova York, e seu produto DART operava com base na premissa de seguir o usuário entre sites para entregar anúncios relevantes
    • DART significa Dynamic Advertising, Reporting, and Targeting
    • A ideia central era que anunciantes precisavam conseguir rastrear a mesma pessoa em vários websites
  • A principal inovação técnica foi o third-party cookie, um pequeno arquivo de texto gravado por um servidor que o usuário nunca visitou, acompanhando-o em todos os sites que carregavam aquele pixel
    • O mecanismo técnico em si era comum, mas suas consequências estruturais não eram
    • Num momento em que banners publicitários já existiam, formou-se a base para o rastreamento entre sites para além da exposição aleatória
  • Após a aquisição da Abacus Direct em 1999, foi proposta a combinação de dois bancos de dados, e a FTC dos EUA abriu uma investigação
    • A DoubleClick recuou, mas a Google acabou comprando a empresa em 2007 por US$ 3,1 bilhões
    • A investigação virou passado distante, mas a infraestrutura construída permaneceu
  • A trajetória após os fundadores também continuou
    • Kevin O'Connor deixou a DoubleClick em 2001 e hoje atua na ScOp Venture Capital, investindo em empresas da próxima geração tecnológica
    • Dwight Merriman, após dez anos como CTO da DoubleClick, cofundou a MongoDB em 2007 com outro ex-DoubleClick, Eliot Horowitz
    • Em outras palavras, a mesma equipe que criou um pipeline de vigilância entre sites também construiu o banco de dados documental que sustenta boa parte da web moderna
    • A rede de ex-alunos da DoubleClick é descrita como uma diáspora de talentos muito influente na indústria de tecnologia contemporânea

Um padrão que existia antes da DoubleClick

  • A Prodigy, serviço online que operou de 1984 a 2001, já havia implementado antes uma versão inicial da mesma lógica
    • Para reduzir custos de rede e de servidores, adotou uma forma de cache de dados no computador pessoal do usuário ou perto dele
    • A justificativa era reduzir custos de infraestrutura, mas o efeito colateral foi o acúmulo massivo de dados comportamentais
  • Esse padrão é mais antigo que a própria web e também antecede o third-party cookie
    • O ponto central é a observação de que dados de usuários coletados por motivos operacionais acabam se tornando ativos comercialmente interessantes
  • Caminhos de dados projetados para otimização de custos acabam sendo reutilizados para extração de valor
    • A pergunta que sobra não é quando isso começou, mas por que nenhuma camada do protocolo o impediu

Custos

  • Um website médio atualmente carrega 7 third-party trackers por página, com base nos 10 mil principais sites
    • Esses 10 mil principais sites são definidos como a parte relativamente mais respeitável da internet
    • 41,1% do tráfego nesses sites vem acompanhado de rastreadores
  • O próprio processo de consentimento virou uma indústria à parte
    • 67% dos banners de cookies são fornecidos por Consent Management Platforms
    • Três empresas concentram 37% desse mercado
    • Apenas 15% dos websites atendem ao nível mínimo de conformidade com o GDPR
  • Quando o botão "Reject all" é escondido de forma que exija vários cliques para aparecer, até 90% dos usuários aceitam
    • Isso é caracterizado não como consentimento, mas como fadiga
  • Os custos físicos também são claros
    • Cada rastreador adicional aumenta o tempo de carregamento da página em cerca de 2,5%
    • Sites com muitos rastreadores podem rodar cerca de 10 vezes mais devagar do que a mesma página vista com bloqueio de rastreamento
  • O real-time bidding processa cerca de 600 bilhões de requisições por dia, algo como 6,9 milhões por segundo
    • Cada banner, caixa de diálogo e requisição invisível consome largura de banda, bateria e eletricidade
    • A conta é paga por todos, mas nunca aparece discriminada para ninguém

Evidências

  • O foco do problema não está nos dois fundadores individualmente, mas na resposta lógica a pressões comerciais
    • Redes de anúncios queriam alcance, publishers queriam receita, e o third-party cookie passou a atender às duas demandas
    • Mais do que culpar indivíduos, isso leva à pergunta de por que os navegadores facilitaram esse modelo
  • A questão mais profunda está nas escolhas estruturais
    • Navegadores foram projetados para carregar conteúdo, mas também poderiam ter sido projetados para impedir que usuários fossem perseguidos
    • Também poderiam ter sido projetados para protegê-los da economia fraudulenta de zona cinzenta que cresceu pelo mesmo caminho
  • O Apple ATT é apresentado como prova concreta de que essa escolha era possível
    • Foi introduzido em abril de 2021 no iOS 14.5
    • O sistema exibe um único prompt no nível do sistema operacional perguntando se o app pode rastrear o usuário em outros apps e websites
    • Quando a pergunta foi feita de fato, a taxa de opt-in ficou entre 15% e 25%
    • O CFO da Meta, David Wehner, estimou a perda de receita de 2022 em cerca de US$ 10 bilhões
  • O texto enfatiza que a tecnologia necessária já existia desde o início, e que o rastreamento ativado por padrão foi uma escolha dos fornecedores de navegadores

Pergunta

  • Levanta-se a hipótese de que outro resultado teria sido possível se os navegadores tratassem dados pessoais como sistemas operacionais tratam binários não assinados, bloqueando-os até haver permissão explícita
    • E se o próprio protocolo defendesse os usuários, e não os anunciantes?
    • E se requisições entre sites fossem tratadas com ceticismo, como um estranho num trem pedindo para alguém carregar um pacote?
  • Mesmo 30 anos depois, essa pergunta segue sem resposta
    • A infraestrutura persiste porque, uma vez construída, continua existindo, e porque desfazê-la é incômodo para as organizações que a criaram
  • O fato de um único prompt da Apple ter movimentado US$ 10 bilhões em um ano é apresentado como referência
    • O que teria mudado se fossem doze prompts?
    • O que teria sido diferente se o third-party cookie nem tivesse sido lançado em 1996?
  • Em vez de uma conclusão definitiva, resta apenas isto: ninguém foi consultado

Leituras relacionadas

1 comentários

 
GN⁺ 8 일 전
Comentários no Hacker News

  • Minha impressão é que publicidade personalizada parece bem mais ilusória do que se imagina. Há evidências como o impacto na receita da Meta depois do Apple ATT, mas uns 30% dos anúncios que vejo no Facebook e no YouTube parecem golpes descarados que poderiam ser veiculados mesmo sem perfilamento. Por exemplo, fiquei vendo por uma semana anúncios imitando notificações do Facebook, e ao clicar abria uma página dizendo que eu tinha sido hackeado para me assustar. Achei estranho que tenham sobrevivido tanto tempo mesmo depois de eu denunciar. Quase não vejo anúncios realmente adequados para mim, e só continuam me mostrando retargeting de coisas que eu já comprei, a ponto de eu pensar se sou um usuário tão pouco comercializável assim

    • Eu não acho que algumas pessoas receberem anúncios aleatórios seja prova de que o sistema de vigilância não funciona. A questão central é quanto dinheiro campanhas de segmentação precisa conseguem atrair. O anúncio em si pode ser relativamente inofensivo, mas, se os mesmos dados forem parar nas mãos de agentes estatais, eles passam a ser muito mais importantes como instrumento de repressão contra cidadãos. Podem ser usados para decidir como desenhar distritos eleitorais, onde colocar instalações odiadas ou bibliotecas, quem procurar para deportação e como influenciar determinadas pessoas em campanhas políticas. Mesmo com alguma margem de erro, isso ainda ajuda bastante a reduzir a triagem manual
    • Eu também entendo que dificulto bastante o trabalho dos anunciantes para me segmentarem, porque bloqueio muito rastreamento na web. Mas parece que eles nem conseguem usar direito as informações que deveriam poder usar. Pela minha experiência, as empresas de anúncios fazem segmentação de forma péssima. No YouTube, vivem aparecendo anúncios em turco, vietnamita, árabe, japonês e chinês, línguas que eu não entendo absolutamente nada. As configurações de idioma da minha conta Google, do navegador e do dispositivo estão todas definidas, e eu nem uso VPN, então o Google deveria saber que idioma eu uso e onde estou. Ainda assim, não entendo por que esses anúncios aparecem. Antes eu tinha desativado anúncios personalizados no YouTube, e nessa época quase 100% dos anúncios eram golpes, deepfakes e produtos ilegais, então alguns meses atrás ativei de propósito de novo. Depois disso, anúncios de pornografia ou drogas ilegais diminuíram, mas a maioria ainda é golpe e continua sem qualquer relação com meu perfil demográfico. Anúncios políticos de centenas de milhas de distância ou em idiomas que eu não conheço são tão comuns que, quando aparece um anúncio de um restaurante local, eu até desconfio se foi segmentação de verdade ou coincidência. Eu acredito quase sempre na segunda hipótese
    • Acho que esse fenômeno de ficar vendo anúncios de coisas que você já comprou é justamente o melhor exemplo de como a publicidade segmentada falha
    • Pela minha experiência limitada, acabei inclinando para a ideia de que a segmentação em si não é importante. O Facebook dá ao usuário uma espécie de dependência digital, e o usuário paga com atenção. Vejo isso como uma estrutura em que essa atenção é vendida ao maior lance. O conteúdo do anúncio não importa tanto, e os dados coletados são usados para tornar esse vício ainda mais forte
    • Antigamente eu denunciava com frequência anúncios fraudulentos no Facebook, e a resposta era sempre de que não havia problema. Pelo visto, vídeos falsos de investimento com IA imitando celebridades ou políticos também estão tudo bem pelos padrões do Facebook, o que me deixa furioso

  • Vi certa vez uma reportagem sobre o fim do regime de Ceaușescu, e um dos indicadores do nível de repressão mencionados eram câmeras de vídeo presas aos postes de luz

    • Acho que o que eu vi provavelmente era propaganda. Em 1989, a Romênia não tinha isso. O país não era rico o bastante para instalar um sistema tão avançado, e posso dizer isso como alguém que viveu aquela época
    • Também acho que aquela reportagem era mais uma peça de propaganda sem base. Não há evidência de que o regime romeno dos anos 1980 tenha instalado câmeras de vídeo em postes de luz. Além disso, por que gastariam dinheiro com uma tecnologia tão cara? Na época já havia gente suficiente espionando os outros e dedurando

  • Este texto pareceu escrito por LLM

  • Militarismo, vigilância, propaganda, nacionalismo... isso me faz pensar em uma coisa. Será que agora somos o lado dos vilões?

    • Nesse caso, eu perguntaria o contrário. Pelo meu critério, existe sequer um Estado que funcione direito e não seja vilão?
    • Na minha opinião, sempre foi assim
    • Eu sinto com frequência que algumas pessoas simplesmente não conseguem perceber isso de forma contínua
    • Esse tipo de fala parece uma bajulação para ganhar upvotes que gente de qualquer país gostaria de ouvir

  • No fim das contas, enquanto a forma de ganhar dinheiro na web for publicidade, o Estado de vigilância vai continuar existindo

    • Eu acho que, mesmo se os serviços virarem pagos, a vigilância vai continuar. Por que não continuaria? É uma fonte extra de receita
    • Acho que o problema é ainda pior do que isso. O poder estatal interessado em vigiar e o setor privado interessado em maximizar receita publicitária acabam de mãos dadas. Aí os advogados provavelmente vão argumentar que, na verdade, privacidade e liberdade nunca existiram mesmo
    • Já vi muitos sites sem anúncios também colocarem rastreamento e fingerprinting por causa do próprio marketing ou de funcionalidades de segurança
    • Ainda assim, não acho que a publicidade em si necessariamente exija vigilância
    • Pelo menos a direção da solução parece clara. O caminho para uma web sem anúncios pode não ser fácil, mas me parece claramente uma solução valiosa como bem público

  • Acho que o blog provavelmente tomou um hug of death. Em vez dele, deixo um link do arquivo

  • Isso me parece inviável na UE

  • Quando a Apple lançou o App Tracking Transparency pela primeira vez, eu ativei na hora para bloquear rastreadores, e era tão simples e útil que depois nunca mais pensei no assunto. O contraste com os sites de hoje, que exigem toda uma ginástica de cliques para desativar rastreamentos parecidos, me chamou muito a atenção

    • Ironicamente, a própria Apple é uma das grandes empresas de publicidade que vivem de dados pessoais dos usuários. Só que, ao impedir as outras empresas de anúncios e apontar o dedo para fora, parece ter conquistado quase totalmente a confiança dos usuários. A maioria nem parece saber quanto a Apple ganha em receita publicitária com os dados deles. Artigo sobre o negócio de anúncios de US$ 4 bilhões da Apple
    • Acho que há um mal-entendido comum aqui. O ATT não bloqueia rastreadores por completo. Se você usar um bloqueador de anúncios e rastreamento baseado em DNS e olhar os logs, verá que muitos apps ainda tentam rastrear. Pelo que entendo, o ATT está mais próximo de impedir rastreamento cruzado entre apps e sites. Ele impede que os apps acessem o IDFA, para que não possam usar um identificador comum em vários apps. No começo houve um impacto financeiro grande, mas é bem possível que hoje as empresas de rastreamento já tenham desenvolvido várias outras técnicas de correlação. A solução de verdade seria Apple e Google oferecerem uma opção para desligar completamente rastreadores dentro de apps e expulsarem da App Store quem violar isso. Mas acho que não vão fazer isso, porque ganham muito dinheiro com as próprias redes de anúncios. No fim, Apple e Google não estão do nosso lado nessa questão
    • Ironicamente, o Google talvez nem consiga desativar third-party cookies mesmo que queira. Como isso poderia parecer uma prática anticompetitiva contra outras redes de rastreamento, os tribunais acabaram barrando
    • Eu, na verdade, acho que esse procedimento complexo de cliques necessário para desativar rastreamento deveria ser permitido por lei só no caso de opt-in. O modelo atual, de consentimento padrão enfiado em termos que ninguém lê, precisa mudar
    • No meu caso é o contrário: com Firefox, arkenfox e uBlock Origin em modo avançado, é para ativar esse tipo de rastreamento que seria necessária toda uma ginástica de cliques

  • Este blog parece candidato ao design menos sério que vi este ano

    • Não sei sobre o design, mas em algum lugar ali tinha um texto. Para referência, meu score foi por volta de 3000

  • Toda vez que leio algo desse autor, eu me distraio com o Space Invaders do lado e acabo indo jogar. Talvez seja porque eu tenha traços de ADHD, mas duvido que eu seja o único

    • Eu também joguei por alguns minutos e não consegui terminar o texto. Eu também tenho ADHD, mas, para me defender, o Space Invaders com controle por mouse é bem divertido
    • Se o autor queria realmente dizer algo importante, esse arranjo acaba enfraquecendo a própria mensagem
    • Eu acho que é só ler enquanto joga. Foi uma combinação bem boa
    • Eu estava só passando pelos comentários, vi isso e resolvi não adiar o clique. Agora acho que vou passar a próxima hora no Space Invaders
    • Espera aí, que artigo era esse?