Gigabírság fenyegeti a Metát: újabb adatvédelmi botrány a „rejtett követés” miatt

Titokban követte a böngészést a Meta az Android telefonokon

2025 júniusában adatvédelmi és biztonsági kutatók egy új technikai megoldást tártak fel, amelyet a Meta alkalmazott Android telefonokon a felhasználók böngészési tevékenységének követésére. A módszer lényege, hogy a Facebook és az Instagram mobilalkalmazásai rejtett kommunikációs csatornát használtak a készülékeken a böngésző és az app összekötésére. Így a böngészőben végzett tevékenységet akkor is a felhasználói fiókhoz lehetett kapcsolni, ha a felhasználó a böngészőbe nem volt bejelentkezve. 

A technika localhostalapú követés néven vált ismertté, mivel az eszközön belüli (localhost) kommunikációt használta ki: a weboldalakba ágyazott Meta Pixel követőkód nemcsak a Meta szervereire küldte a méréseket, hanem egy eredetileg hang- és videókapcsolatra tervezett technológia (WebRTC) módosított használatával a készüléken belül a háttérben futó Facebook vagy Instagram app felé is továbbította a böngészési azonosítókat. A gyakorlat nem szerepelt a nyilvános fejlesztői dokumentációkban, a webhely-üzemeltetők és a felhasználók sem kaptak róla érdemi tájékoztatást. 

A védelem megkerülése

A rendszer egy süti (cookie) segítségével azonosította a böngészőt, majd az azonosítót a háttérben futó app felé továbbította. Mivel az alkalmazásban a felhasználó már be volt jelentkezve, a Meta a böngészési adatokat akkor is a fiókhoz tudta kapcsolni, ha a felhasználó a böngészőbe nem jelentkezett be. A felhasználók így inkognitó mód, rendszeres sütitörlés vagy más adatvédelmi eszközök használata mellett is nyomon követhetők maradtak. A megoldás olyan eszközön belüli összeköttetést használt, amelyet nem böngésző–app adatmegosztásra terveztek, és ezzel megbontotta az Android és a böngészők adatvédelmi kontrolljainak hatását: a natív alkalmazás a böngésző-azonosítókhoz is hozzáférhetett. Az azonosítómegosztás ráadásul akkor is létrejöhetett, ha a felhasználó nem járult hozzá a cookie-bannerben a követéshez, mert az azonosítási híd nem a hagyományos, sütikre épülő útvonalat használta. A módszer jellegéből adódóan az átadott adatokat elvileg bármely másik, a készüléken futó alkalmazás is gyűjthette.

Az ügy hatóköre

A követési technika 17 223 amerikai weboldalon volt aktív, ezek közül 15 677 az EU-ban is működik. Miután nyilvánosságra került az ügy, a Meta leállította a 2024 szeptembere óta zajló adatküldést. Az orosz Yandex szintén megszüntette a saját – részben 2017 óta létező – localhost csatornáját. Bár ez megakadályozza a további jogsértéseket, az eddigi adatgyűjtés felelősségi kérdése nyitva marad. A kutatók szerint a feltárt „rejtett követés” Android-felhasználók milliárdjait érinthette, iOS-en és asztali platformokon nem találtak bizonyítékot hasonló gyakorlatra.

Mely uniós szabályok sérülhettek?

Az uniós digitális jogrend több pillére is sérülhetett a „rejtett követés” során. Az általános adatvédelmi rendelet (GDPR) előírja, hogy a személyes adatok kezelése csak érvényes jogalappal történhet, hozzájárulás esetén annak a GDPR szerinti feltételeknek kell megfelelnie (önkéntes, egyértelmű, megfelelő előzetes tájékoztatáson alapuló akaratnyilvánítás, amely bármikor visszavonható). Az ePrivacy-irányelv ún. cookie-szabálya szerint a felhasználó végberendezésében információt tárolni vagy ahhoz hozzáférni főszabály szerint előzetes, GDPR szerinti hozzájárulással lehet. Ez technológiasemleges kötelezettség, ami a localhoston keresztül történő azonosításra is vonatkozik. A digitális szolgáltatásokról szóló rendelet (DSA) tiltja a különleges személyes adatokon (pl. egészség, vallás, politikai vélemény, szexuális orientáció) alapuló, profilozásra épülő hirdetések megjelenítését online platformokon. Végül a digitális piacokról szóló rendelet (DMA) kimondja, hogy a nagy platformszolgáltatók („kapuőrök”) csak GDPR szerinti hozzájárulás esetén kapcsolhatják össze a különböző szolgáltatásaikból származó személyes adatokat.

Mekkora lehet a bírság?

A DSA, a DMA és a GDPR külön-külön is jelentős szankciókat tesz lehetővé: a DSA plafonja 6 százalék, a DMA-é 10 százalék (ismételt jogsértésnél 20 százalék), a GDPR-é 4 százalék a megelőző pénzügyi év globális árbevételére vetítve. Ezek elvileg halmozódhatnak, ha elkülönült jogsértésekre külön eljárásokban kerül sor, a gyakorlatban azonban a konkrét tényállás és az esetek közötti átfedés dönt. A Meta 2024-es árbevétele 164,5 milliárd dollár volt, ennek 20 százaléka mintegy 30 milliárd dollár. Vagyis elméletileg több tízmilliárdos bírság is elképzelhető.

Elindultak a perek

Az Egyesült Államokban 2025. június 3-án csoportos kereset indult a Meta ellen, amely szerint 2024. szeptember és 2025. június között a vállalat a localhost csatornát kihasználva kapcsolta össze a mobilwebes böngészési adatokat a felhasználói profilokkal. Emellett egy másik, néhány nappal később benyújtott csoportos kereset a Metát, valamint a Google-t és anyavállalatát, az Alphabetet is perli, azt állítva, hogy az Android kialakítása és a Google elégtelen fellépése lehetővé tette a web–alkalmazás között megvalósuló azonosító-összekapcsolást. A felperes szerint mindez ellentétes a Google felhasználóinak és az Android készülékek vásárlóinak tett biztonsági és adatvédelmi ígéretekkel.

Bár az uniós adatvédelmi hatóságok, valamint a digitális szabályok végrehajtásáért felelős szervek még nem jelentettek be hivatalos vizsgálatot, szakértők szerint ez csak idő kérdése, főként a Meta korábbi jogsértései fényében. 2025. április 23-án az Európai Bizottság a DMA alapján 200 millió euróra bírságolta a Metát a „hozzájárulás vagy fizetés” modell alkalmazása miatt, és június végén jelezte, hogy elégtelen korrekció esetén napi bírságot is kiszabhat. Ez ugyan egy külön ügy, de jelzi a szabályozói szigor fokozódását.

Piaci és felhasználói tanulságok

A harmadik feles sütik visszaszorítása óta az online reklámpiaci szereplők alternatív mérési és azonosítási megoldásokat keresnek. A most feltárt web–alkalmazás közötti azonosítási híd azt mutatja, hogy a kreatív technikai megoldások könnyen átléphetik a felhasználói elvárások és a jogi garanciák határait, különösen, ha rejtett csatornákon férnek hozzá a végberendezéshez. Az ilyen nehezen észlelhető adatáramlások nemcsak adatvédelmi, hanem komoly megfelelőségi és reputációs kockázatot is jelentenek a weboldalak és a hirdetők számára. Közben a Meta – és általában a célzott hirdetésből élő platformok – üzleti ösztönzői változatlanok: a pontos profilozáshoz minél több adat szükséges. Még ha ezt a konkrét módszert le is állították, újabb megoldások fognak megjelenni, amíg a transzparencia, az érdemi hozzájárulás, a technikai korlátok és a világos platformszabályok, valamint ezek következetes érvényesítése együtt ki nem kényszerítik a tisztább gyakorlatot.