By Råd delar information om användare av sina webbplatser — även när de söker hjälp med en förmån, eller med funktionshinder eller alkoholism — med dussintals privata företag.
Mer än 400 lokala myndigheter tillät minst ett tredjepartsföretag att spåra personer som besöker deras webbplatser, en undersökning har avslöjat.
Vissa råd visade sig låta företag spåra användningen av känsliga delar av sina webbplatser, till exempel när människor sökte ekonomisk hjälp eller stöd för missbruk.
Data från cookies spårning där användare går online kan säljas av datamäklare för vinst.
Kritiker har hävdat att rådets webbplatser tjänar ett allmänt syfte och bör inte låta utomstående företag övervaka användarnas verksamhet, särskilt med tanke på att vissa besök är känsliga.
Wolfie Christl, en tekniker och forskare som har undersökt annonsteknikindustrin, sade: ”Offentliga webbplatser och appar bör inte använda invasiv spårning från tredje part alls.”
Johnny Ryan, chefen policychef på den anonyma webbläsaren Brave, som analyserade rådets webbplatser och delade resultaten med Guardian, sade: ”Privata företag inbäddade på rådets webbplatser lära sig om dig. Detta händer även vid de känsligaste tillfällen, när du kanske söker hjälp från ditt råd.”
Annonsering
Modiga verktyg med öppen källkod för att se vilka företag som fanns på vissa webbsidor. De hittade 409 rådets webbplatser i Storbritannien gjorde det möjligt för privata företag att ta emot data om sina besökare.
Undersökningen har funnit:
Tjugotre råd låter datamäklare — företag som samlar in personlig information om konsumenter och säljer den informationen till andra organisationer — lära sig när någon besökte deras webbplats.
På Enfield borough Council webbplats, en sida för människor som behöver ekonomiskt stöd för boende och mat tillåts 21 företag, inklusive Google, för att se vem som besökte.
En sida på Sheffields kommunfullmäktige hemsida för personer som söker hjälp för drogmissbruk delade data om besökare med minst 20 företag, inklusive sju datamäklare.
Ealings särskilda utbildningsbehov och handikappsida gjorde det möjligt för minst 21 företag att få tillgång till data om besökare.
Nästan 7 miljoner människor betjänas av råd som tillåter en datamäklare, LiverAmp, att spåra människor på sina webbplatser. Företaget var en del av Acxiom, en grupp som sålde valprofiler till Cambridge Analytica.
Företag spårar online-aktivitet genom cookies, pixlar och andra trackers. När de är inbäddade i en webbläsare kan dessa bitar av kod låta användare spåras runt på webben. Även om de inte identifierar personuppgifter som namn eller adress, identifierar de en användares visningsvanor — till exempel vilken sida som lästes in vid en viss tidpunkt.
Annonsering
Medan många webbplatser, inklusive Guardian, använder cookies, föreslog Ravi Naik, en dataadvokat på AWO, att deras användning på rådets webbplatser var problematisk på grund av arten av detaljerna som delas. Han sa: ”Vi har de flesta av våra samtal med staten genom lokala myndigheter och på grund av detta involverar mer känslig och personlig information.”
Det är nu förbjudet för företag att dela uppgifter om skyddade kategorier utan uttryckligt medgivande. Detta innebär att innan information om hälsa, sexuell läggning, ras och politiska åsikter samlas in måste användaren godkänna det specifika utbytet av deras ”särskilda kategori” uppgifter.
Företag säger att de har samtycke via personer som accepterar cookies. Brave rapport fann dock att även om vissa webbplatser kan ha uppgett att de använde cookies, så klickade inga användare på några knappar för att acceptera eller välja bort denna process.
Få Society Weekly: vårt nyhetsbrev för professionella allmännyttiga tjänster
Läs mer
Lagen säger samtycke måste informeras och baseras på en uttrycklig jakande åtgärd. Informationskommissionärens kontor (ICO) sade: ”För att vara giltigt måste samtycke ges fritt, specifikt och informerat. Det måste innebära någon form av entydiga positiva åtgärder — till exempel kryssa i en ruta eller klicka på en länk — och personen måste förstå att de ger dig samtycke.”
Ryan sa: ”Vi använde ett automatiskt system för att ladda varje råds hemsida. Allt det gör är att ladda webbplatsen. Det går inte att klicka på knappar. All spårning som avslöjas i vår forskning hände utan samtycke.”
Mark Gannon, chef för affärsförändring och informationslösningar vid Sheffield kommunfullmäktige, sade cookies användes på sin webbplats, ”och vi kräver samtycke från alla kunder att lagra eller hämta data på en comper, bärbar dator, smartphone eller surfplatta”.
Annonsering
Rapporten säger att när Sheffield Council webbplats laddades kunde företag spåra någon utan att klicka på någonting.
Sheffield rådet sade att det använde en Internet Advertising Bureau (IAB) öppenhet och samtycke ramverktyg som tillhandahålls av rådet Advertising Network. Nätverket sade: ”Inga cookies alls är installerade för data mäkleri ändamål — detta tyder på att data som samlas in från webbplatsen säljs på, och det är det inte.”
Ealing rådet sade att det trodde att dess strategi var ”förenlig med kraven i GDPR”. Det noterade dock: ”Detta är ett komplext och ständigt föränderligt område som måste ses över.”
Enfield borough rådet i norra London inte ge en kommentar.
LiverAmp sade att det inte längre var en del av Acxiom och det hade aldrig ”sålt brittiska valprofil information till Cambridge Analytica”. Det sade att det fungerade i enlighet med jurisdiktionslagar och arbetade ”flitigt för att upptäcka och förhindra missbruk av data”.
Ytterligare 198 råd använder realtidsbudgivning (RTB) — när en webbanvändare laddar en sida bjuder tusentals potentiella annonsörer på att ge dem en annons på ett ögonblick. Det betyder att människors data sänds över internet till hundratals företag. ICO har undersökt praktiken.
Naik sa att det fanns två huvudfrågor. ”Mikrofrågan är: Är råd verkligen informera människor om vad som händer? Makrogrejen är annonsbranschen i realtid. Det finns ett pågående klagomål till informationskommissionärens kontor om denna praxis. De har redan sagt att de anser praxis olagligt.”
Naik sa att det var svårt att avgöra om råd tjänade pengar på det. ”Men jag föreställer mig att råd verkar det som en win-win-situation.”
En Google-talesman sade att det inte byggde annonsprofiler ”från känsliga intressekategorier, inklusive från webbplatser som erbjuder hjälp för att ta itu med personliga svårigheter, och vi har strikta policyer som hindrar annonsörer från att använda sådana data för att rikta annonser”.
De berättade för Guardian att cookies från tredje part kunde användas för att bättre möjliggöra grundläggande webbplatsfunktioner eller för att tjäna och mäta reklam.
När 2020 börjar…
… vi ber läsarna, precis som du, att göra ett nytt års bidrag till stöd för Guardian öppna, oberoende journalistik. Detta har varit ett turbulent decennium över hela världen — protest, populism, massmigration och den eskalerande klimatkrisen. The Guardian har varit i varje hörn av världen och rapporterat med uthållighet, noggrannhet och auktoritet om de mest kritiska händelserna i vår livstid. I en tid då faktauppgifter är både knappare och viktigare än någonsin anser vi att var och en av oss förtjänar tillgång till korrekt rapportering med integritet i hjärtat.
Fler människor än någonsin läser och stöder vår journalistik, i mer än 180 länder runt om i världen. Och detta är bara möjligt eftersom vi gjorde ett annat val: att hålla vår rapportering öppen för alla, oavsett var de bor eller vad de har råd att betala.
Vi har försvarat vår redaktionella självständighet inför upplösningen av traditionella medier — med sociala plattformar som ger upphov till felaktig information, den till synes ostoppbara ökningen av big tech och oberoende röster krossas av kommersiellt ägande. Väktarens självständighet innebär att vi kan fastställa vår egen agenda och uttrycka våra egna åsikter. Vår journalistik är fri från kommersiell och politisk partiskhet — aldrig påverkad av miljardärägare eller aktieägare. Detta gör oss annorlunda. Det betyder att vi kan utmana de mäktiga utan rädsla och ge en röst till de mindre hörda.
Inget av detta skulle ha varit möjligt utan våra läsares generositet — ert ekonomiska stöd har inneburit att vi kan fortsätta att undersöka, disentangla och förhöra. Det har skyddat vårt oberoende, som aldrig har varit så kritiskt. Vi är så tacksamma.
När vi går in i ett nytt decennium behöver vi ert stöd så att vi kan fortsätta leverera högkvalitativ journalistik som är öppen och oberoende. Och det är här på lång sikt. Varje läsarbidrag, hur stort eller litet, är så värdefullt. Stöd The Guardian från så lite som CA$1 — och det tar bara en minut. – Tack.
