В США налоговые сайты сливали данные пользователей соцсетям

Маринус ван Реймерсвале. Сборщики податей (фрагмент). XVI
Маринус ван Реймерсвале. Сборщики податей (фрагмент). XVI

Основные сайты, используемые гражданами США для заполения налоговых деклараций, такие как H&R Block, TaxAct и TaxSlayer, незаметно передают конфиденциальную финансовую информацию пользователей в Facebook (организация, деятельность которой запрещена в РФ), сообщил 22 ноября сайт The Verge на основании расследования, проведенного совместно с сайтом The Markup.

Данные, отправляемые с помощью широко используемого кода, называемого метапикселем, включают не только имена людей и адреса их электронной почты, но часто даже более подробную информацию, включая данные о доходах пользователей, статусе подачи ими заявок на возмещение налогов, суммах возмещения и суммах стипендий иждивенцев в колледже.

Информация, отправляемая в Facebook (организация, деятельность которой запрещена в РФ), может использоваться соцсетью для управления своими рекламными алгоритмами и собирается независимо от того, есть ли у лица, использующего службу подачи налоговых деклараций, учетная запись на Facebook (организация, деятельность которой запрещена в РФ) или других платформах, управляемых ее владельцем Meta (организация, деятельность которой запрещена в РФ).

Каждый год Налоговая служба обрабатывает около 150 миллионов индивидуальных деклараций, поданных в электронном виде, и некоторые из наиболее широко используемых служб электронной подачи используют метапиксель.

Например, когда пользователи регистрируются для подачи налоговых деклараций в популярный сервис TaxAct, их просят предоставить личную информацию для расчета их доходов, в том числе о том, сколько денег они зарабатывают и об их инвестициях. Затем пиксель на веб-сайте TaxAct отправлял некоторые из этих данных в Facebook (организация, деятельность которой запрещена в РФ), включая статус регистрации пользователей, их скорректированный валовой доход и сумму возмещения. Доход округлялся до ближайшей тысячи, а возмещение до ближайшей сотни. Метапиксель также отправлял имена иждивенцев в запутанном, но, как правило, обратимом формате.

TaxAct, который говорит, что у него около 3 миллионов «потребителей и профессиональных пользователей», также использует аналитический инструмент Google на своем веб-сайте, и было обнаружено, что финансовые данные пользователей, но не имена, отправляются в Google через этот инструмент.

The Markup также обнаружил код метапикселя на сайте подготовки налоговой декларации, управляемом компанией Ramsey Solutions, занимающейся финансовыми консультациями и программным обеспечением, которая использует версию службы TaxSlayer. На этом сайте собиралось еще больше личных данных со сводной страницы налоговой декларации, включая информацию о доходах и суммах возмещения. Эта информация не отправлялась сразу после посещения страницы, а только тогда, когда посетители нажимали раскрывающиеся заголовки, чтобы увидеть более подробную информацию о своем отчете.

Мета (организация, деятельность которой запрещена в РФ) собирает так много данных, что даже сама компания иногда может не знать, куда они попадают. Ранее в этом году Vice сообщила об утечке документа Facebook (организация, деятельность которой запрещена в РФ), написанного инженерами компании, которые заявили, что компания «не имеет адекватного уровня контроля и объяснения того, как наши системы используют данные», что затрудняет выполнение обещания, что она не будет использовать определенные данные для определенных целей.

Используя метапиксель, The Markup обнаружила, что налоговая служба США направляет налогоплательщиков, пытающихся подать документы бесплатно, в некоторые компании. Несколько услуг по подготовке налоговых деклараций, в том числе TaxAct и TaxSlayer, являются частью соглашения, известного как Free File Alliance. TurboTax и H&R Block в прошлом были частью программы.

Мэнди Мэтлок, преподаватель Гарвардской школы права, специализирующаяся на налоговом праве, сказала, что выводы The Markup показали почти неизбежные последствия использования коммерческих компаний для выполнения требований правительства. По ее словам, это процесс, который не дает пользователям иного выбора, кроме как передать свои данные Facebook (организация, деятельность которой запрещена в РФ), если они хотят соблюдать закон.

«Это расстраивает, потому что налогоплательщики были брошены в объятия этих частных коммерческих компаний просто для того, чтобы выполнить свои обязательства по подаче налоговых деклараций, — сказала она. — У нас действительно нет выбора в этом вопросе».