Персональные данные утекают в открытый доступ не только через взломы. Брокеры данных — компании, которые собирают, агрегируют и перепродают личную информацию, — работают совершенно легально. Источниками служат публичные реестры, аналитика мобильных приложений, архивы социальных сетей. Результат: любой желающий может найти ваш телефон, адрес и список родственников за несколько секунд через обычный поисковик.
Чтобы потребовать удаления данных, нужно обращаться к каждому брокеру отдельно — заполнять формы отказа, проходить верификацию личности (от подтверждения по email до звонка оператору) и отслеживать статус запросов. По оценке Федеральной торговой комиссии США, инструменты отказа «в значительной мере невидимы и неполны». На одну форму уходит около пяти минут, но брокеров — сотни, поэтому процесс легко растягивается на дни.
На уровне законодательства ситуация неоднородна. В США нет единого федерального закона, который обязывал бы коммерческие компании удалять персональные данные по запросу гражданина. Калифорния пошла дальше других штатов: Закон о конфиденциальности потребителей (CCPA) и расширяющий его Закон о правах на конфиденциальность 2020 года (CPRA) дают жителям право знать, какие данные собираются, и требовать их удаления. Дополнительно штат запустил платформу DROP (Delete Request and Opt-out Platform) — единый интерфейс для подачи запросов сразу нескольким зарегистрированным брокерам. Колорадо имеет схожий по силе Colorado Privacy Act, тогда как нью-йоркский SHIELD Act обязывает компании лишь защищать данные, но не удалять их по требованию.
В США нет единого федерального закона о защите персональных данных; наиболее строгие нормы — в Калифорнии (CCPA).
Для самостоятельного удаления данных есть несколько бесплатных инструментов. Сервис Optery ведёт открытый каталог более чем 640 брокеров с пошаговыми инструкциями по отказу. Реестр брокеров штата Калифорния позволяет фильтровать компании по типу собираемых данных — геолокации, номерам социального страхования, гендерной идентичности. Наиболее удобным считается список на GitHub, составленный Яэль Граур, бывшим менеджером по исследованиям кибербезопасности в Consumer Reports: он содержит прямые ссылки на формы отказа и регулярно обновляется.
Процедура у каждого брокера своя. Spokeo, например, требует вставить URL своего профиля в форму отказа и подтвердить email — удаление занимает несколько дней. Whitepages проводит верификацию через телефонный звонок. Чтобы не отправлять запросы по одному, можно воспользоваться приложением Permission Slip от Consumer Reports (доступно на Android и iOS). Оно охватывает не только брокеров данных, но и компании из других отраслей: в списке есть ZipRecruiter, CVS, Taco Bell и The New York Times. Taco Bell, к примеру, может хранить историю заказов, активность в соцсетях, номера телефонов и записи камер в ресторанах.
Практический совет для тех, кто берётся за процесс самостоятельно: с самого начала вести таблицу с названиями сайтов, датами подачи запросов, номерами обращений и статусами. Без такого учёта легко потерять нить — особенно когда запросов накапливается несколько десятков.
