愛爾蘭著手調查Google的Ad Exchange廣告系統是否違反GDPR
隱私瀏覽器Brave政策長Johnny Ryan、開放權利組織執行董事Jim Killock,以及倫敦大學學院的Michael Veale,於去年12月向愛爾蘭及英國的資料保護組織投訴Google及其它廣告公司的作法,違反了歐盟的《通用資料保護規則》(General Data Protection Regulation,GDPR),而愛爾蘭的資料保護委員會則在本周宣布已就此案展開調查。
遭到檢舉的廣告模式為Bid Request,包括Google Ad Exchange在內的廣告平台利用Bid Request進行即時的廣告版位競標。當使用者造訪一個含有廣告版位的網站時,廣告平台會向數萬家廣告主廣播該名用戶的特性,再由眾多廣告主競標爭取廣告版位,競標通常在0.1秒內就會完成,網站可立即呈現得標者的廣告。
Bid Request一來可最大化廣告版位的效益,二來可協助廣告主找到對的目標。而所廣播的內容包括使用者正在閱讀或觀看的網頁、使用者的所在位置、所使用的裝置、追蹤ID及IP位址等。
Ryan認為,在此一廣播與即時競標的過程中,使用者的個人資料完全沒有受到任何的保護,明顯違反GDPR的要求。
資料保護委員會表示,此次的調查目的在於確定Ad Exchange的每個階段所進行個人資料處理是否符合GDPR的規定,也會檢查有關透明度、資料最小化,以及Google保留用戶資料的作法。
Google則說會全面配合愛爾蘭的調查,並強調使用Ad Exchange的廣告主都必須遵守嚴格的政策與標準。
今年初法國的資料主管機關才判決Google違反GDPR並祭出5,000萬歐元的罰款,原因是Google的廣告服務透明度不足且剝奪使用者控管個資能力,但Google已提出上訴。
Google廣告服務面臨GDPR違法調查,恐影響全球840億網站的數位廣告交易
繼今年法國判罰5000萬歐元後,愛爾蘭資料保護委員會本周宣佈,針對Google廣告即時競價服務 Ad Exchange/Authorized Buyers的個資處理方式,是否違反歐盟個資法GDPR進行調查。
瀏覽器廠商Brave政策長Johnny Ryan研究Google廣告業務單位DoubleClick Ad Exchange/Authorized Buyers的作法後,於2018年9月投訴愛爾蘭主管機關的結果。Google於2007年買下DoubleClick Ad Exchange,去年改名為Authorized Buyers。它是一種即時廣告競價服務,讓廣告主出價以挑選要在您的網站上顯示的廣告。
Ryan指出,Authorized Buyers透過在出版商網站投放廣告,並將用戶資訊廣播給廣告商以獲利。這項服務已安裝於全球超過840萬個網站,它把網站用戶個資公布給2000多家公司,一天內高達上千億次。被公布的資料包括用戶所在地點、可能的宗教、性別、政治偏好、用戶線上閱讀、收視和音樂喜好,以及有助於形塑個人長期資料側寫(profile)的獨特資訊等。而用戶對於這項服務的所做所為並不知情,而且一旦資料被廣播出去後會被做什麼用途,也無從控制。Ryan認為這是「有紀錄以來規模最龐大的個資外洩案」。
愛爾蘭資料保護委員會目前正在調查Google「疑似違反GPDR的行為」。GDPR要求廠商應該嚴格控管用戶個資,在發生蒐集個資行為時,業者也應充份告知用戶。委員會想要了解Google廣告交易每個階段對個資的處理是否遵循GDPR的相關規定。該委員會也將依據GDPR的透明度、資料最小化,對Google的資訊保存作法進行調查。
一旦調查發現指控屬實,Google將被迫停止Ad Exchange/Authorized Buyers業務所有個資處理行為,可能被判處最高全年營收4%的罰金。
除了Ryan外,英國公開人權主任Jim Killock及倫敦大學學院教授Michael Veale,以及波蘭人權非營利機構Panoptykon Foundation,也先後對Google提出類似的指控。
Google對此表示將全力配合調查,也歡迎有機會可以進一步釐清歐洲對即時廣告拍賣的資料保護法律。
今年一月Google已經遭法國資料主管機關CNIL,以未充份告知消費者個資處理方式及未取得用戶明顯同意,遭判罰5000萬歐元。
這也突顯網路廣告和用戶隱私保護的兩難。本周蘋果才公布將為Safari新增隱私工具,只有投放廣告及用戶點擊廣告第一方網站得以儲存用戶點擊的資訊,第三方搜尋網站或零售商本身都拿不到資訊,且不涉及消費者身份、地址或其他敏感資訊,有助於防止跨站追蹤。
