Tahun lalu, hampir 200 juta orang mengunjungi situs Deliberate Parenthood, sebuah organisasi nirlaba yang banyak dikunjungi orang untuk hal-hal yang sangat pribadi seperti pendidikan seks, akses ke kontrasepsi, dan akses ke aborsi. Apa yang mungkin tidak diketahui oleh pengunjung tersebut adalah bahwa segera setelah mereka membuka planparenthood.org, sekitar dua lusin pelacak iklan yang tertanam di situs tersebut memperingatkan banyak perusahaan yang bisnisnya bukan kebebasan reproduksi tetapi mengumpulkan, menjual, dan menggunakan knowledge penelusuran.
Markup menjalankan situs internet Deliberate Parenthood melalui alat Blacklight kami dan menemukan 28 pelacak iklan dan 40 kuki pihak ketiga yang melacak pengunjung, selain apa yang disebut “perekam sesi” yang dapat menangkap gerakan mouse dan penekanan tombol orang yang mengunjungi beranda dalam penelusuran hal-hal seperti informasi tentang kontrasepsi dan aborsi. Situs ini juga berisi pelacak yang memberi tahu Fb dan Google jika pengguna mengunjungi situs tersebut.
Pemindaian Markup menemukan situs Deliberate Parenthood berkomunikasi dengan perusahaan seperti Oracle, Verizon, LiveRamp, TowerData, dan Quantcast—beberapa di antaranya telah membuat bisnis perakitan dan penjualan akses ke banyak knowledge digital tentang kebiasaan orang.
Katie Skibinski, wakil presiden untuk produk digital di Deliberate Parenthood, mengatakan knowledge yang dikumpulkan di situs webnya “hanya digunakan untuk tujuan inside oleh Deliberate Parenthood dan afiliasi kami,” dan perusahaan tidak “menjual” knowledge ke pihak ketiga.
“Meskipun kami bertujuan untuk menggunakan knowledge untuk mempelajari bagaimana kami dapat menjadi yang paling berdampak, di Deliberate Parenthood, pembelajaran berbasis knowledge selalu dilaksanakan dengan penuh pertimbangan dengan menghormati privasi pasien dan pengguna,” kata Skibinski. “Ini berarti menggunakan platform analitik untuk mengumpulkan knowledge agregat untuk mengumpulkan wawasan dan mengidentifikasi tren yang membantu kami meningkatkan program digital kami.”
Skibinski tidak membantah bahwa organisasi tersebut berbagi knowledge dengan pihak ketiga, termasuk pialang knowledge.
Pemindaian Blacklight dari Deliberate Parenthood Gulf Coast—situs internet yang dilokalkan khusus untuk orang-orang di kawasan Teluk, termasuk Texas, tempat aborsi pada dasarnya dilarang—menghasilkan hasil yang serupa.
Deliberate Parenthood tidak sendirian dalam hal organisasi nirlaba, beberapa beroperasi di space sensitif seperti kesehatan psychological dan kecanduan, mengumpulkan dan berbagi knowledge tentang pengunjung situs internet.
Dengan menggunakan alat Blacklight kami, The Markup memindai lebih dari 23.000 situs internet organisasi nirlaba, termasuk yang dimiliki oleh penyedia aborsi dan pusat perawatan kecanduan nirlaba. Markup menggunakan file induk nirlaba IRS untuk mengidentifikasi organisasi nirlaba yang telah mengajukan pengembalian pajak sejak 2019 dan yang dikategorikan sebagai fokus pada bidang-bidang seperti kesehatan psychological dan intervensi krisis, hak-hak sipil, dan penelitian medis. Kami kemudian memeriksa situs internet masing-masing nirlaba yang terdaftar secara publik di GuideStar. Kami menemukan bahwa sekitar 86 persen dari mereka memiliki cookie pihak ketiga atau permintaan jaringan pelacakan. Sebagai perbandingan, ketika The Markup melakukan survei terhadap 80.000 situs internet teratas pada tahun 2020, kami menemukan 87 persen menggunakan beberapa jenis pelacakan pihak ketiga.
Sekitar 11 persen dari 23.856 situs internet nirlaba yang kami pindai memiliki piksel Fb yang disematkan, sementara 18 persen menggunakan fitur “Pemirsa Pemasaran Ulang” Google Analytics.
Markup menemukan bahwa 439 situs internet nirlaba memuat skrip yang disebut perekam sesi, yang dapat memantau klik dan penekanan tombol pengunjung. Delapan puluh sembilan di antaranya adalah untuk situs internet milik organisasi nirlaba yang dikategorikan oleh IRS sebagai fokus utama pada masalah kesehatan psychological dan intervensi krisis.
“Sebagai pengguna situs internet ini, dengan membagikan informasi Anda kepada mereka, Anda mungkin tidak berasumsi bahwa informasi sensitif ini dibagikan kepada pihak ketiga dan tentu saja tidak berasumsi bahwa penekanan tombol Anda direkam,” Gunes Acar, peneliti privasi yang menerbitkan bersama studi tahun 2017 tentang perekam sesi, kata. “Semakin sensitif situs internet, semakin saya khawatir.”
Tracy Plevel, wakil presiden pengembangan dan hubungan masyarakat di Gateway Rehab, salah satu organisasi nirlaba dengan perekam sesi di situsnya, mengatakan bahwa organisasi nirlaba menggunakan pelacak dan perekam sesi karena perlu tetap kompetitif dengan rekan-rekan nirlaba yang lebih besar.
“Sebagai organisasi nirlaba, kami menghadapi penyedia nirlaba dengan anggaran iklan besar serta dealer perawatan kecanduan yang menarik mereka yang mencari perawatan dengan taktik iklan on-line serupa dan menghubungkan mereka dengan penyedia yang menawarkan kompensasi ‘penjualan’ terbesar. ,” kata Plevel. “Selain itu, kami tahu pengalaman pengguna memiliki dampak besar dalam menindaklanjuti perawatan. Ketika seseorang siap untuk berkomitmen untuk pengobatan, kita perlu memastikannya [is] semudah mungkin bagi mereka sebelum mereka frustrasi atau terintimidasi oleh prosesnya.”
Organisasi nirlaba lain juga memiliki sejumlah besar pelacak yang disematkan di situs mereka. Markup menemukan 26 pelacak iklan dan 50 cookie pihak ketiga di The Clinic di Sharma-Crawford Attorneys at Regulation, sebuah klinik hukum Kansas Metropolis yang mewakili orang-orang berpenghasilan rendah yang menghadapi deportasi.
Rekha Sharma-Crawford, presiden dewan The Clinic, menulis dalam sebuah pernyataan yang dikirim melalui electronic mail, “Kami menangani masalah privasi dan keamanan dengan sangat serius dan akan terus bekerja dengan penyedia internet kami untuk mengatasi masalah yang telah Anda identifikasi.”
Save the Kids, sebuah organisasi bantuan kemanusiaan yang didirikan lebih dari 100 tahun yang lalu, memiliki 26 pelacak iklan dan 49 cookie pihak ketiga. March of Dimes, sebuah organisasi nirlaba yang dimulai oleh Presiden Franklin D. Roosevelt yang berfokus pada perawatan ibu dan bayi, memiliki lebih dari 29 pelacak iklan di situsnya dan 58 cookie pihak ketiga. Metropolis of Hope, pusat penelitian dan pengobatan kanker California, memiliki 25 pelacak iklan dan 47 cookie pihak ketiga.
Paul Butcher, wakil presiden asosiasi strategi digital international di Save the Kids, mengatakan dalam sebuah pernyataan yang dikirim melalui electronic mail bahwa organisasi itu “menganggap sangat serius perlindungan knowledge.” Butcher juga menulis bahwa Save the Kids mengumpulkan beberapa knowledge melalui pelacak iklan “untuk meningkatkan pengalaman pengguna” dan bahwa organisasi tersebut sedang dalam proses pembenahan kebijakan penyimpanan knowledge dan baru-baru ini mempekerjakan kepala knowledge baru.
March of Dimes dan Metropolis of Hope tidak menanggapi permintaan komentar.↩︎ hyperlink
Hukum Privasi Tingkat Negara Bagian Miss Nonprofits
Sementara knowledge kesehatan diatur oleh HIPAA, dan FERPA mengatur catatan pendidikan, tidak ada undang-undang federal yang mengatur bagaimana situs internet melacak pengunjung mereka. Baru-baru ini, beberapa negara bagian—California, Virginia, dan Colorado—telah memberlakukan undang-undang privasi konsumen yang mengharuskan perusahaan untuk mengungkapkan praktik pelacakan mereka dan mengizinkan pengunjung untuk memilih keluar dari pengumpulan knowledge.
Tetapi organisasi nirlaba di dua negara bagian tersebut, California dan Virginia, tidak perlu mematuhi peraturan tersebut.
Senator Ron Wyden (D-OR), yang telah mengusulkan undang-undang privasi federalnya sendiri, mengatakan bahwa organisasi nirlaba mengumpulkan sejumlah besar knowledge yang berpotensi sensitif.
“Nonprofit menyimpan informasi yang sangat pribadi tentang hal-hal yang kami sukai, mulai dari tujuan politik dan pandangan sosial hingga tujuan amal yang kami pedulikan,” kata Wyden dalam pernyataan melalui electronic mail. “Jika pelanggaran knowledge mengungkapkan seseorang menyumbang ke kelompok pendukung kekerasan dalam rumah tangga atau organisasi hak-hak LGBTQ atau nama masjid mereka, semua informasi itu bisa sangat pribadi.”
Namun, para pemimpin nirlaba berpendapat bahwa mereka kekurangan infrastruktur dan pendanaan untuk mematuhi persyaratan undang-undang privasi dan harus mengumpulkan dan berbagi informasi tentang donor agar dapat bertahan.
“Salah satu penggunaan knowledge yang paling substantif dan berdampak oleh organisasi nirlaba adalah penggalangan dana kami,” kata Shannon McCracken, CEO The Nonprofit Alliance, sebuah kelompok advokasi yang terdiri dari organisasi nirlaba dan bisnis. “Tanpa kemampuan untuk menjangkau calon donor baru dan donor saat ini secara hemat biaya, maka organisasi nirlaba tidak dapat terus berdampak seperti sekarang ini.”
Tapi sengaja atau tidak, kata pakar privasi, organisasi nirlaba memberi informasi pribadi kepada pialang knowledge dan raksasa teknologi seperti Fb dan Google.
“Sebuah organisasi nirlaba mungkin membagikan nomor telepon dan nama Anda dengan LiveRamp. Besok, entitas nirlaba kemudian dapat menggunakan kembali knowledge yang sama untuk menargetkan Anda,” kata Ashkan Soltani, pakar privasi dan mantan kepala teknologi di Komisi Perdagangan Federal. “Aliran knowledge yang masuk ke agregator pihak ketiga dan pialang knowledge ini sering kali juga berasal dari organisasi nirlaba.”
Soltani, yang ditunjuk sebagai direktur eksekutif Badan Perlindungan Privasi California pada 4 Oktober, membantu merancang Undang-Undang Privasi Konsumen California, yang awalnya diperkenalkan dengan pengecualian nirlaba.
Banyak organisasi nirlaba besar bekerja dengan pialang knowledge untuk membantu mengatur dan menganalisis knowledge mereka, kata Jan Masaoka, CEO California Affiliation of Nonprofits.
“Orang-orang yang memiliki daftar donor besar menggunakannya secara ekstensif, hampir semuanya menggunakan salah satu layanan tersebut,” kata Masaoka. “Mereka tidak menyimpannya di rumah, hampir semua orang menyimpannya dengan salah satu layanan ini.”
Dia mencatat bahwa Blackbaud adalah perusahaan yang sering menjadi tujuan organisasi nirlaba. Materi pemasaran pialang knowledge yang terdaftar mempromosikan foundation knowledge koperasi yang menggabungkan knowledge donor dari lebih dari 550 organisasi nirlaba dengan informasi publik tentang jutaan rumah tangga.
Blackbaud tidak menanggapi permintaan komentar.
Karena kurangnya dana, organisasi nirlaba juga mengandalkan platform pihak ketiga—yang juga merupakan perantara knowledge—untuk mengelola keamanan dan privasi knowledge mereka, kata McCracken. Tetapi jenis perusahaan ini juga tidak kebal terhadap serangan siber: Blackbaud mengungkapkan serangan ransomware pada tahun 2020 di mana peretas mencuri kata sandi, nomor Jaminan Sosial, dan informasi perbankan, menurut pengajuan Komisi Sekuritas dan Bursa. Ratusan organisasi amal, sekolah, dan rumah sakit terpengaruh, bersama dengan lebih dari 13 juta orang, menurut Pusat Sumber Daya Pencurian Identitas.
“Mereka mengandalkan ekosistem bermasalah semacam ini untuk mencapai pekerjaan mereka, dan sebagai hasilnya, mereka berbagi daftar nomor, alamat electronic mail, atau perilaku menjelajah dengan perusahaan periklanan pihak ketiga dan membuat anggota mereka berisiko,” kata Soltani.
Pengecualian
Tidak seperti pendahulunya di California dan Virginia, undang-undang privasi Colorado tidak memiliki pengecualian untuk organisasi nirlaba.
Di California dan Virginia, pendukung utama RUU itu memberikan pengecualian kepada organisasi nirlaba sebagai manuver politik. Alastair Mactaggart, pengembang actual estat dan pendiri California untuk Privasi Konsumen, yang merupakan kekuatan pendorong di belakang Undang-Undang Privasi Konsumen California, mengatakan proposalnya sudah menghadapi tentangan dari raksasa teknologi dan juga tidak menginginkan pertikaian politik dengan organisasi nirlaba.
“Anda harus mengambil langkah pertama, jadi kami pikir ini adalah langkah yang paling mudah untuk dipantulkan,” kata Mactaggart. “Akhirnya, saya berharap organisasi nirlaba besar juga disertakan.”
David Marsden, senator negara bagian yang memperkenalkan Undang-Undang Perlindungan Information Konsumen Virginia, menggemakan sentimen itu, mencerminkan bahwa undang-undang itu tidak sempurna tetapi masih merupakan awal yang baik.
“Apakah ini mengambil semua orang yang seharusnya, atau membebaskan semua orang yang membutuhkan pengecualian? Mungkin tidak, tapi itu cukup dekat,” kata Marsden. “Kami mampu, dengan RUU ini, untuk mengesahkannya tanpa orang-orang bangun dan keberatan dengan apa yang kami coba lakukan.”
Senator negara bagian Colorado Robert Rodriguez, yang turut mensponsori undang-undang privasi negara bagian, mengatakan dia tidak memasukkan pengecualian untuk organisasi nirlaba karena dia merasa bahwa setiap entitas yang memiliki knowledge lebih dari 100.000 orang harus mengikuti perlindungan privasi. Dia juga tidak mengerti mengapa negara bagian lain memiliki pengecualian.
“Seseorang yang memiliki lebih dari 100.000 catatan adalah ukuran yang baik,” katanya dalam electronic mail. “Mereka harus memiliki beberapa perlindungan atau persyaratan untuk diikuti.”
Catatan Editor: Artikel ini awalnya diterbitkan di The Markup oleh Alfred NG dan Maddy Varner, dan diterbitkan ulang di bawah Artistic Commons Attribution-NonCommercial-NoDerivatives lisensi.
Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke kami Indonesia atau Fb.
