Fexyn
Fexyn
All posts

Data brokers e seu histórico de navegação

Fexyn Team··10 min read

A indústria de data brokers gera aproximadamente US$ 300 bilhões em receita global. O data broker médio mantém 1.500+ pontos de dado por adulto americano. A maior parte disso é invisível para as pessoas cujos dados estão sendo negociados.

A maior parte do conteúdo de VPN trata data brokers como nota lateral. Eles são centrais para o motivo de privacidade de rede importar. Aqui está o que a indústria faz de fato, onde dados de navegação do ISP se encaixam na cadeia de suprimento, e o que uma VPN muda e não muda.

A indústria

Os principais data brokers americanos:

Acxiom (matriz da LiveRamp). ~2,5 bilhões de perfis de consumidor. Dados demográficos, comportamentais, financeiros, de estilo de vida. Vende para anunciantes, profissionais de marketing e pesquisadores.

CoreLogic. Dados de propriedade e consumidor. Originalmente focado em imobiliário; expandiu para perfilamento de consumidor mais amplo.

Oracle Data Cloud (anteriormente BlueKai, desde então um pouco encerrado após controvérsias de privacidade). Audiências agregadas de consumidor para publicidade.

LiveRamp. Plataforma de identity-resolution; amarra identificadores offline e online. Padrão da indústria para casamento de identidade em ad-tech.

Experian. Bureau de crédito mais negócios separados de dados de marketing de consumidor.

Equifax. Mesma estrutura dual.

TransUnion. Mesmo.

Epsilon (Publicis Groupe). Dados de marketing; grande presença em ad-tech.

Verisk Analytics. Focado em seguro mas com dados de consumidor mais amplos.

Mais dezenas de brokers menores, especialistas em dados de localização (X-Mode, Cuebiq, Veraset historicamente), especialistas em dados de navegação, especialistas em dados de app móvel.

Fora dos EUA, a indústria existe mas é mais limitada por leis de privacidade. Data brokers da UE operam sob GDPR; Reino Unido sob equivalente pós-Brexit; outros variam. No Brasil, a LGPD impõe limites mais explícitos sobre coleta e uso de dados pessoais, mas a fiscalização efetiva ainda é desigual.

De onde data brokers obtêm os dados

Vários canais:

Registros de navegação de ISP (EUA). ISPs americanos desde 2017 (pós-revogação da neutralidade de rede) têm legalmente podido vender dados de navegação sem opt-in. AT&T, Verizon e outros operam programas explícitos de monetização de dados. Os dados fluem do ISP para o data broker para o anunciante.

SDKs de app. Apps móveis embutem SDKs de redes de publicidade e provedores de analytics. Os SDKs coletam identificadores de dispositivo, localização, comportamento, às vezes contatos e outros dados sensíveis. Vendors agregam entre apps. As permissões de app do usuário teoricamente fazem o gating do acesso; na prática muitos usuários concedem permissões amplas.

Registros públicos. Registros de tribunal, registros de propriedade, registro de eleitor, licenças profissionais. A agregação de broker torna a busca barata.

Programas de fidelidade. Cartões de fidelidade de supermercado, programas de recompensa de cartão de crédito, programas de milhagem de companhia aérea. O comerciante coleta dados de compra; vende para brokers.

Tracking de browser. Cookies, pixels, fingerprinting. Agregação de broker entre sites.

Dados de localização. Apps móveis com permissão de localização (apps de clima, navegação, sociais) coletam rastros de localização. Vendidos para brokers; combinados com outros pontos para construir perfis abrangentes.

O canal importa. Dados de navegação de ISP fluem especificamente de ISPs para brokers. Dados de app fluem especificamente de desenvolvedores de app para brokers. Fontes diferentes, completude diferente, frameworks éticos e legais diferentes.

O que tem num perfil de data broker

Um perfil típico de adulto americano inclui:

  • Demografia: idade, gênero, raça, estado civil, composição domiciliar
  • Renda, patrimônio, score de crédito (regulado separadamente)
  • Casa: histórico de endereços, valor da propriedade, posse
  • Veículo: posse, marca/modelo, leasing/financiamento
  • Empregador: setor, cargo, tempo de casa
  • Comportamental: categorias de compra, afinidades de marca, doações
  • Adjacente a saúde: certos dados de farmácia (mais limitados sob HIPAA), padrões de fitness tracker quando compartilhados
  • Político: filiação partidária, frequência de voto, histórico de doação
  • Navegação: sites visitados, tópicos de busca, conteúdo consumido (onde derivável de cookies, dados de app ou feeds de ISP)

A agregação faz com que o todo seja maior que as partes. Pontos de dado individuais estão disponíveis em vários lugares; o valor agregado do broker é correlacioná-los num único perfil ligado a uma única identidade.

Como brokers amarram identificadores

O problema de "identity resolution". Plataformas diferentes veem identificadores diferentes — seu e-mail aqui, seu telefone ali, seu cookie ID em outro lugar, seu endereço residencial numa solicitação de crédito. Brokers amarram isso em "personas" representando o mesmo indivíduo entre fontes.

Técnicas:

  • Casamento por e-mail. Quando o mesmo e-mail aparece em várias fontes, o broker amarra.
  • Casamento por telefone. Mesmo.
  • Casamento por endereço. Menos confiável (residências compartilham endereços).
  • Casamento probabilístico. Mesma fingerprint de browser mais mesma localização aproximada mais mesmo comportamento online aproximado provavelmente é a mesma pessoa.
  • Casamento por device-graph. Identificadores de um dispositivo específico (Apple ID, Google ID, advertising IDs) seguem você entre apps.

O resultado: perfil unificado ligado entre fontes. Brokers vendem acesso a esses perfis para targeting de publicidade, detecção de fraude, verificação de identidade, analytics de marketing e cada vez mais para campanhas políticas.

Para que os dados são usados

Os usos que soam legítimos:

  • Targeting de anúncio: mostrar anúncios relevantes em vez de irrelevantes
  • Detecção de fraude: sinalizar transações suspeitas com base em anomalias demográficas / comportamentais
  • Decisões de crédito: data brokers alimentam o sistema de crédito
  • Precificação de seguro: modelos atuariais usam inputs de broker
  • Analytics de marketing: entender coortes de cliente

Os usos mais preocupantes:

  • Precificação diferencial: cobrar valores diferentes com base em disposição-a-pagar percebida derivada de broker
  • Triagem de emprego: pesquisa pré-contratação sobre candidatos usa dados de broker
  • Microtargeting político: mensagens de campanha sob medida para perfis políticos derivados de broker
  • Compra de dados por agências de aplicação da lei: agências comprando dados que de outra forma precisariam de mandado para obter (isso foi documentado ativamente, particularmente em torno de dados de localização)
  • Agregação para vigilância: agências de inteligência estrangeiras comprando dados de brokers americanos foi documentado em investigações jornalísticas

A linha entre "marketing legítimo" e "vigilância preocupante" é mais turva do que a indústria tipicamente reconhece.

A pipeline ISP-para-broker especificamente

A pipeline mais relevante para VPN. Concretamente:

  • Seu ISP registra suas queries DNS, SNI, IPs de destino, padrões de tráfego
  • O ISP empacota esses dados em coortes anonimizadas (em teoria) ou dados individuais pseudonimizados (na prática, dependendo da política do ISP)
  • O ISP vende para data broker
  • O broker correlaciona com perfis existentes usando casamento IP-para-residência
  • O broker vende para anunciante, que mira anúncios com base em comportamento inferido

O enquadramento "anonimizado" é frequentemente mais fraco do que o marketing sugere. Com pontos de dado suficientes, identificação individual é possível a partir de perfis "anonimizados". Pesquisa acadêmica vem mostrando consistentemente que dados de navegação rotulados como anonimizados podem ser re-identificados com relativamente poucos pontos adicionais.

O que uma VPN de fato muda

Uma VPN cifra tráfego entre seu dispositivo e o provedor de VPN. Da perspectiva do ISP:

  • Eles veem tráfego cifrado para um provedor de VPN
  • Não conseguem ver o domínio que você visitou (sem SNI para ler)
  • Não conseguem ver o que você consultou (sem queries DNS para logar)
  • Não conseguem inferir serviços específicos (formato de tráfego ofuscado)

Resultado: o ISP não consegue vender seus dados de navegação para brokers porque não tem dados específicos de navegação para vender. O volume e timing que CONSEGUEM observar é muito menos comercialmente valioso que destinos específicos.

O que uma VPN NÃO muda:

  • Coleta de dados em nível de app. Apps continuam coletando o que coletam; SDKs continuam mandando para brokers. VPN não alcança dentro de aplicações.
  • Fingerprinting de browser. Pixels de tracking e cookies continuam funcionando. VPN muda o IP, não a identidade do browser.
  • Tracking em serviços logados. Google, Facebook, Amazon ainda sabem quem você é quando você loga. VPN não anonimiza atividade autenticada.
  • Registros públicos e dados offline. Registros de propriedade, registros de tribunal, programas de fidelidade — nenhum afetado por cifragem em camada de rede.
  • Dados já coletados. Uma VPN de hoje em diante não apaga dados que brokers já têm sobre você.

Uma VPN fecha a pipeline ISP-para-broker. É uma peça de uma postura de privacidade em camadas.

A stack completa de privacidade

Para usuários que se importam com o ecossistema mais amplo de brokers:

  • VPN (camada de rede) — fecha a pipeline do ISP
  • Browser que respeita privacidade (Firefox + uBlock Origin + Privacy Badger; Brave; Tor Browser para apostas altas) — reduz tracking em camada de browser
  • DNS cifrado (DoH ou DoT para resolver no-logs como Cloudflare 1.1.1.1, Quad9) — proteção adicional em camada DNS
  • Permissões seletivas de app — minimizar o que apps podem coletar
  • Alternativas focadas em privacidade — DuckDuckGo ou Kagi em vez de Google; ProtonMail em vez de Gmail
  • Opt-out de data broker — empresas como Privacy Duck, Optery, DeleteMe automatizam o opt-out para os brokers principais
  • Uso consciente de programas de fidelidade — registre com e-mail separado, minimize dados voluntariados
  • Cuidado com apps grátis — eles monetizam de algum jeito; geralmente dados

Qualquer camada única é parcial. A stack é o que produz privacidade significativa. VPN é uma camada.

Frequentemente perguntado

Posso descobrir o que data brokers sabem sobre mim?

Em geral, sim. Os brokers principais (Acxiom, Experian, Equifax, TransUnion) oferecem acesso a dados do consumidor sob várias leis de proteção ao consumidor (CCPA da Califórnia, GDPR na UE, LGPD no Brasil). Solicitar seu arquivo é grátis, mas trabalhoso. Serviços como Optery automatizam isso.

Posso ter meus dados deletados de data brokers?

Sim, mas é batalha contínua. Brokers precisam atender pedidos de deleção na Califórnia (CCPA), na UE (GDPR), no Brasil (LGPD) e num número crescente de outras jurisdições. Os dados tendem a voltar a fluir de outras fontes, então re-deleção periódica é necessária.

Usar uma VPN remove meus dados de brokers?

Não. VPN de hoje em diante interrompe nova transferência de dados ISP-para-broker para tráfego cifrado pela VPN. Não apaga dados históricos que brokers já coletaram de qualquer fonte.

Alguns provedores de VPN são eles mesmos data brokers?

Alguns foram pegos. Serviços de VPN grátis frequentemente monetizam por venda de dados de usuário. Provedores reputados pagos explicitamente não fazem isso (Mullvad, ProtonVPN, IVPN, Fexyn). Ao avaliar, a alegação "no-logs" mais histórico de auditoria é o teste relevante.

O GDPR me protege de data brokers?

Na UE, sim (muito mais forte que nos EUA). Data brokers na UE operam sob limites legais explícitos sobre coleta e uso de dados. Usuários americanos têm CCPA na Califórnia; menos proteção em outros lugares. No Brasil, a LGPD oferece base legal para pedidos de acesso e deleção, embora a fiscalização contra brokers ainda esteja amadurecendo.

Meus dados já estão lá fora?

Provavelmente sim. Mesmo que você use VPN desde 2017, seus dados foram coletados antes disso, seus apps continuam coletando, sua atividade offline (cartões de fidelidade, registros públicos) gera dados. Privacidade é uma postura que você toma de hoje em diante; não é algo que se conquista e termina.

Experimente o Fexyn grátis por 7 dias — fecha a pipeline ISP-para-broker, sem cartão exigido para o trial. O que seu provedor vê cobre vigilância em nível de ISP especificamente; Como escolher uma VPN cobre a decisão de compra.

Última revisão 2026-05-09.

Data brokers e seu histórico de navegação | Fexyn VPN