Irlandzka grupa Praw Obywatelskich uważa, że z powodzeniem ujawniła tak zwane fikcje prawne, które leżą u podstaw branży reklamy internetowej. Irlandzka Rada Wolności Obywatelskich (ICCL) twierdzi, że europejskie organy regulacyjne ds. ochrony danych wkrótce uznają obecny reżim za nielegalny. Sednem tej skargi jest zarówno to, w jaki sposób branża prosi o pozwolenie, a następnie jak serwuje reklamy użytkownikom online. Opisując tę sytuację jako” największe naruszenie danych na świecie”, konsekwencje orzeczenia mogą mieć oszałamiające konsekwencje dla wszystkiego, co robimy w Internecie.
“Największe naruszenie danych na świecie”
Licytacja w czasie rzeczywistym (RTB) jest mechanizmem, za pomocą którego większość reklam online jest dziś serwowana i leży w centrum problemu. Odwiedź stronę internetową, a w dzisiejszych czasach zauważysz ułamek sekundy opóźnienia między ładowaniem treści, a reklamami, które ją otaczają. Być może czytasz wiersz w artykule, tylko po to, aby tekst nagle przeskoczył w połowie strony, ponieważ nowa reklama zajmuje swoje miejsce na twoich oczach. To opóźnienie, jakkolwiek niewielkie, mieści labiryntowy proces, w którym niezliczone firmy starają się umieścić swoją reklamę przed twoimi oczami. Omri Kedem, z agencji marketingu cyfrowego Croud, wyjaśnił, że cały proces trwa mniej niż 100 milisekund od początku do końca.
Reklama jest siłą napędową Internetu, zapewniając platformom mediów społecznościowych i organizacjom prasowym sposób na zarabianie pieniędzy. Reklamodawcy czują się bardziej pewni płacenia za reklamy, jednak, jeśli mogą być racjonalnie pewni, że osoba po drugiej stronie znajduje się na rynku docelowym. Ale, aby upewnić się, że to działa, platforma hostująca reklamę musi wiedzieć wszystko, co może o Tobie, Użytkowniku.
W ten sposób, powiedzmy, sklep sneaker jest w stanie sprzedawać swoje produkty lokalnym sneakerheadom lub wegańska restauracja szuka wegan i wegetarian w swojej okolicy. Firmy takie jak Facebook osiągnęły ogromne zyski ze swojej zdolności do laserowego skupienia kampanii reklamowych w imieniu reklamodawców. Ale ten proces ma ciemną stronę, a to mikro-targetowanie może, na przykład, być wykorzystane do umożliwienia nienawistnego zachowania. Najbardziej godnym uwagi przykładem jest rok 2017, kiedy ProPublica okazało się, że możesz skierować na kohortę użytkowników uznanych za antysemickie z tagiem ” Jew Hater.”
Za każdym razem, gdy odwiedzasz stronę internetową, wiele faktów o tobie jest przesyłanych do właściciela witryny, w tym twój adres IP. Ale te dane mogą również obejmować dokładną długość i szerokość geograficzną (jeśli masz wbudowany GPS), operatora i typ urządzenia. Odwiedź stronę z wiadomościami każdego dnia i jest prawdopodobne, że zarówno Wydawca, jak i pośrednik ad-tech będą śledzić, które sekcje spędzasz więcej czasu na czytaniu.
Informacje te mogą być łączone z materiałami, które dobrowolnie przekazałeś wydawcy na żądanie. Subskrybuj publikację taką jak Financial Times lub Forbes na przykład zostaniesz zapytany o swój tytuł zawodowy i branżę. Stamtąd wydawcy mogą jasno określić Twoje roczne dochody, klasę społeczną i interesy polityczne. Połącz te informacje-znane w branży jako dane deterministyczne – z wnioskami dokonanymi na podstawie historii przeglądania — znanych jako dane probabilistyczne — i możesz zbudować dość obszerny profil użytkownika.
“Im więcej masz ofert na coś, co próbujesz sprzedać, teoretycznie, tym lepiej”, mówi dr Johnny Ryan. Ryan jest Senior Fellow w ICCL ze specjalizacją Information Rights i od lat prowadzi postępowanie przeciwko licytacji w czasie rzeczywistym. Aby reklama oparta na śledzeniu działała, wydawca i pośrednik reklamowy skompresują twoje życie w serię kodów: dane Bidstream. Ryan mówi, że jest to lista “kodów identyfikacyjnych [które] są bardzo unikalne dla Ciebie” i jest przekazywana do wielu serwisów aukcyjnych.
“Najbardziej oczywistą identyfikacją jest używana aplikacja, która może być bardzo kompromitująca, lub konkretny adres URL, który odwiedzasz”, mówi Ryan. Dodał, że adres URL strony, który może być zawarty w tych informacjach, może być “POTWORNIE żenujący”, jeśli widzi go osoba trzecia. Jeśli szukasz informacji o stanie zdrowia lub materiałach związanych z Twoją seksualnością i preferencjami seksualnymi, możesz to również dodać do danych. Nie ma łatwego i czystego sposobu na edycję lub zredagowanie tych danych, ponieważ są one transmitowane do niezliczonych giełd reklamowych.
Aby zharmonizować te dane, Interactive Advertising Bureau, Organ branżowy branży reklam online, tworzy standardową taksonomię. (IAB, jak wiadomo, ma samodzielną jednostkę działającą w Europie, podczas gdy sama Taksonomia jest produkowana przez nowojorskie Laboratorium technologiczne.) Taksonomia IAB Audience (później zmieniona do wersji 1.1) skodyfikuje Cię, na przykład, jako sztukę i rzemiosło (Kodeks 1472) lub obserwację ptaków (435). Alternatywnie, może oznaczać Cię jako zainteresowanego islamem (602), nadużywania substancji (568) lub jeśli masz dziecko ze specjalnymi potrzebami edukacyjnymi (357).
Ale nie każdy oferent na tych aukcjach chce umieścić reklamę, a niektórzy są znacznie bardziej zainteresowani udostępnianymi danymi. A Płyta główna historia z początku tego roku ujawniła, że społeczność Wywiadowcza Stanów Zjednoczonych nakazuje stosowanie blokerów reklam, aby uniemożliwić agencjom RTB identyfikację personelu obsługującego, dane, które mogą trafić w ręce rywalizujących krajów. Wcześniejsze wersje IAB Zawartość Taksonomia zawierała nawet tagi identyfikujące użytkownika jako potencjalnie pracującego dla amerykańskiej armii.
To właśnie ta specyfika danych, w połączeniu z faktem, że mogą być udostępniane szeroko i tak regularnie, skłoniło Ryana do nazwania tego “największym naruszeniem danych na świecie.”Przytoczył przykład francuskiej firmy Vectuary, która została zbadana w 2018 r.przez francuskiego regulatora ochrony danych, CNIL. Urzędnicy odkryli listy danych dla prawie 68 milionów ludzi, z których większość została zebrana przy użyciu przechwyconych danych RTB. W tym czasie, TechCrunch poinformował, że sprawa Vectaury może mieć konsekwencje dla rynku reklamowego i jego wykorzystania banerów zgody.
Kwestia zgody
W 2002 roku Unia Europejska opracowała dyrektywę o prywatności i łączności elektronicznej, kartę określającą, w jaki sposób firmy muszą uzyskać zgodę na wykorzystywanie plików cookie do celów reklamowych. Zasady i sposób ich definiowania ewoluowały, ostatnio wraz z ogólnymi przepisami o ochronie danych (RODO). Jedną z konsekwencji tego napędu jest to, że użytkownicy w UE otrzymują wyskakujący baner z prośbą o zgodę na śledzenie. Jak wyjaśnia większość zasad dotyczących plików cookie, śledzenie to jest wykorzystywane zarówno do wewnętrznych analiz, jak i do włączania reklam opartych na śledzeniu.
Aby ujednolicić i zharmonizować ten proces, IAB Europe stworzyło Transparency and Consent Framework (TCF). Zasadniczo pozwala to wydawcom kopiować ramy ustanowione przez organ przy założeniu, że stworzylistanowi podstawę prawną do przetwarzania tych danych. Gdy ktoś nie wyraża zgody na śledzenie, zapis tej decyzji jest rejestrowany w informacji znanej jako ciąg TC. I to tutaj ICCL (pozornie) odniósł zwycięstwo po złożeniu skargi do belgijskiego Organu Ochrony Danych, APD, mówiąc, że ten rekord to dane osobowe.
Projekt orzeczenia został udostępniony IAB Europe i ICCL, i podobno powiedział, że APD stwierdził, że ciąg TC stanowią dane osobowe. 5 listopada IAB Europe opublikowało oświadczenie, w którym stwierdza, że regulator prawdopodobnie “zidentyfikuje naruszenia RODO przez IAB Europe”, ale dodał, że “naruszenia te powinny być możliwe do usunięcia w ciągu sześciu miesięcy od wydania ostatecznego orzeczenia.- Zasadniczo, ponieważ IAB Europe nie traktowała tych ciągów z taką samą starannością jak dane osobowe, musi zacząć to robić już teraz i / lub ponieść potencjalne kary.
W tym samym czasie dr Ryan z ICCL oświadczył, że kampania “wygrała” i że cały “system zgody” IAB Europe zostanie “uznany za nielegalny.”Dodał, że IAB Europe stworzyło fałszywy system zgody, który każdego dnia spamował wszystkich i nie służył żadnemu celowi poza cienką przykrywką prawną dla masowego naruszenia danych w samym sercu reklamy internetowej.”Ryan zakończył swoje oświadczenie, mówiąc, że ma nadzieję, że ostateczna decyzja, kiedy zostanie wydana, w końcu zmusi branżę reklamy internetowej do reformy.”
Ta reforma może potencjalnie zależeć od drażliwego pytania, czy użytkownik może w rozsądny sposób polegać na zgodzie na śledzenie. Czy wystarczy, aby użytkownik kliknął “Akceptuję” i w związku z tym napisał do pośrednika ad-tech puste czeki? To pytanie, którym interesuje się ekspert ad-tech i prawnik Sacha Wilson, partner Harbottle and Lewis. Wyjaśnił, że w prawie “zgoda musi być osobna, konkretna, informowana [i] jednoznaczna”, co “ze względu na złożoność technologii reklamowej jest bardzo trudne do osiągnięcia w środowisku czasu rzeczywistego.”
Wilson wskazał również, że coś, co jest często zawyżone jest jakość danych gromadzonych przez tych brokerów. “Jakość danych jest ogromnym problemem”, powiedział, ” znaczna część danych profilowych, które istnieją, jest rzeczywiście niedokładna – i to ma problemy z zgodnością same w sobie, niedokładność danych.”(Jest to odniesienie do artykułu 5 RODO, gdzie osoby przetwarzające dane powinny zapewnić ich dokładność.) W 2018 r. Analiza Engadget danych przechowywanych przez znaną firmę danych Acxiom wykazała, że informacje przechowywane na temat osoby mogą być często szalenie niedokładne lub sprzeczne.
Jednym z kluczowych elementów europejskiego prawa ochrony prywatności jest to, że wycofanie zgody musi być na tyle łatwe, aby było możliwe. Ale nie wydaje się, że jest to tak proste, jak mogłoby być, jeśli musisz podejść do każdego dostawcy indywidualnie. Odwiedź ESPN na przykład, a otrzymasz listę dostawców (wymienionych przez platformę OneTrust), które liczą się do kilkuset. MailOnline ‘ s na liście sprzedających znajduje się 1476 wpisów. (Engadget, jeśli to coś warte, obejmuje 323 partnerów” technologie reklamowe”.) Niekoniecznie jest tak, że wszyscy ci sprzedawcy będą zaangażowani przez cały czas, ale sugeruje to, że użytkownicy nie mogą po prostu wycofać zgody u każdego brokera bez dużo czasu i effort.
Przejrzystość i zgoda
Townsend Feehan jest dyrektorem generalnym IAB Europe, organu oczekującego obecnie na decyzję ze strony APD dotyczącą praktyk ochrony danych. Mówi, że rzecz, której brakuje krytykom branży, to to, że “nic z tego [śledzenia] nie dzieje się, jeśli użytkownik mówi nie.”Dodała, że” w momencie, w którym otwierają stronę, użytkownicy mają kontrolę. [Mogą] albo wstrzymać zgodę, albo mogą skorzystać z prawa do sprzeciwu, jeśli podstawą prawną jest uzasadniony interes ,wtedy żadne przetwarzanie nie może się zdarzyć.”Dodała, że użytkownicy wyrażają lub nie wyrażają zgody na dyskretne wykorzystanie ich danych do listy “ujawnionych administratorów danych”, mówiąc, że” ci administratorzy danych nie mają prawa udostępniać Twoich danych nikomu innemu”, ponieważ byłoby to niezgodne z prawem.
[Uzasadniony interes to ramy w ramach RODO umożliwiające firmom gromadzenie danych bez zgody. Może to obejmować, gdy jest to w uzasadnionym interesie organizacji lub strony trzeciej, przetwarzanie nie powoduje nadmiernej szkody lub szkody dla osoby zaangażowanej.]
Podczas gdy rodzaj udostępniania opisany przez ICCL i dr Ryan nie jest niemożliwy, z technicznego punktu widzenia Feehan wyjaśnił, że jest to niezgodne z prawem europejskim. “Jeśli tak się stanie, jest to naruszenie prawa”, powiedziała, ” i to prawo musi być egzekwowane.”Feehan dodał, że w momencie, gdy dane są gromadzone po raz pierwszy, wszyscy administratorzy danych, którzy mogą mieć dostęp do tych informacji, są wymieniani.
Feehan powiedział również, że IAB Europe wdrożyło praktyki i procedury postępowania z członkami uznanymi za naruszające jej zobowiązania. Może to obejmować zawieszenie na okres do 14 dni w przypadku stwierdzenia naruszenia, a dalsze zawieszenia mogą podlegać odpowiedzialności, jeśli naruszenia nie zostaną naprawione. IAB Europe może również trwale usunąć firmę, która nie wywiązała się ze swoich polityk, do których się zapisuje, gdy przystępuje do TCF. Dodała, że organ pracuje obecnie nad dalszą automatyzacją procesów audytu w celu zapewnienia, że może aktywnie monitorować naruszenia, a użytkownicy, którzy są zaniepokojeni potencjalnym naruszeniem, mogą skontaktować się z organem, aby podzielić się swoimi podejrzeniami.
Trudno spekulować, co ten wyrok oznaczałby dla IAB Europe i obecnego systemu ad-tech szerzej. Feehan powiedział, że dopiero po wydaniu ostatecznego orzeczenia będziemy wiedzieć, jakie zmiany będzie musiała wprowadzić branża reklamowa. Zapewniła, że IAB Europe jest w rzeczywistości jedynie wyznacznikiem standardów, a nie administratorem danych. “Nie mamy dostępu do żadnych danych osobowych, nie przetwarzamy żadnych danych, jesteśmy tylko stowarzyszeniem handlowym.- Jeśli jednak okaże się, że organ narusza RODO, będzie musiał przedstawić jasny plan działania, aby rozwiązać ten problem.
To nie tylko zmęczenie zgodą
Kwestia zbierania danych o ofertach w czasie rzeczywistym nie jest po prostu kwestią chciwości firm lub luki w naszych informacjach. Proces RTB oznacza, że zawsze istnieje ryzyko, że dane zostaną przekazane firmom, które nie uwzględniają swoich zobowiązań prawnych. A jeśli broker danych jest w stanie zarobić trochę gotówki na Twoich danych osobowych, może to zrobić bez większego dbania o Twoje indywidualne prawa lub Prywatność.
The Wall Street Journal niedawno poinformowano, że Mobilewalla, firma ad-tech z Atlanty, umożliwiła bezwarunkową inwigilację poprzez sprzedaż swoich danych RTB. Mobilewalla Ogromna skarbnica informacji, z których niektóre został pobrany z RTB, został sprzedany firmie o nazwie Gravy Analytics. Z kolei Gravy przekazał te informacje swojej spółce zależnej Venntel, która następnie sprzedała te informacje wielu agencjom federalnym i powiązanym partnerom.
Ta skarbnica informacji może nie miała dołączonych prawdziwych nazwisk, ale Dziennik mówi, że łatwo jest powiązać adres z miejscem, w którym telefon danej osoby jest umieszczony przez większość wieczorów. A te informacje były przynajmniej przekazywane i wykorzystywane przez Departament Bezpieczeństwa Wewnętrznego, Internal Revenue Service i US Army. Wszystkie trzy rzekomo śledziły osoby zarówno w USA, jak i za granicą bez nakazu umożliwiającego im to.
W lipcu 2020 Mobilewalla znalazła się pod ostrzałem po tym, jak podobno ujawniła, że oznakowała i śledziła tożsamość demonstrantów Black Lives Matter. W tym czasie, The Wall Street Journal raport dodał, że dyrektor generalny firmy w 2017 r. chwalił się, że firma może śledzić użytkowników podczas odwiedzania miejsc kultu, aby umożliwić reklamodawcom sprzedaż bezpośrednio grupom religijnym.
Ten rodzaj szpiegowania i mikro-targetowania nie jest jednak ograniczony do USA, a ICCL znajduje raport sporządzony przez brokera danych OnAudience.com. badanie, którego kopia znajduje się na swojej stronie internetowej, omawia wykorzystanie baz danych do stworzenia kohorty około 1,4 miliona użytkowników. Osoby te były kierowane w oparciu o przekonanie, że są” zainteresowane LGBTQ+”, zidentyfikowane, ponieważ szukały odpowiednich tematów w poprzednich dniach 14. Biorąc pod uwagę zarówno nieprzyjemny historyczny precedens wymieniania ludzi po ich seksualności, jak i trwający atak na prawa LGBT w kraju, łatwość, z jaką miało to miejsce, może dotyczyć niektórych.
Patrząc w przyszłość
25 listopada APD ogłosiła, że przesłała swój projekt decyzji swoim odpowiednikom w innych częściach Europy. Jeśli procedura nie zostanie zablokowana, orzeczenie zostanie upublicznione około czterech tygodni później, czyli w pewnym momencie pod koniec grudnia. Biorąc pod uwagę święta, możemy nie zobaczyć prawdopodobnego następstwa-jeśli w ogóle-aż do stycznia. Ale jest możliwe, że albo to nie zmienia krajobrazu reklamowego, albo może być dramatyczne. Prawdopodobne jest jednak, że problemy dotyczące tego, na ile użytkownik może wyrazić zgodę na wykorzystanie swoich danych w ten sposób, nie znikną z dnia na dzień.
Aktualizacja, Dec 3rd, 2021 12: 30 ET: Poprawiono odniesienie do taksonomii kontekstowej IAB, która powinna odnosić się do taksonomii odbiorców. Poprawiono pisownię Venntel.
Wszystkie produkty polecane przez Engadget są wybierane przez nasz zespół redakcyjny, niezależnie od naszej firmy macierzystej. Niektóre z naszych historii zawierają linki partnerskie. Jeśli kupisz coś za pośrednictwem jednego z tych linków, możemy zarobić prowizję partnerską.