谷歌追踪用户高度隐私信息发广告 在欧洲遭多起诉讼

2019-01-29 16:40:14来源:新浪科技  

北京时间1月29日消息,据美国科技媒体TechCrunch报道,谷歌通过追踪得来的数据,给用户加注标签,并向数千家第三方企业分享,帮助他们投放广告。而这些标签中不乏一些高度敏感的个人隐私信息,因此多个欧洲组织向谷歌和在线广告行业协会——互联网广告局(IAB)提出诉讼,指控谷歌违反欧盟近期出台的新规《一般数据保护条例》(GDPR)。

“男性阳痿”、“滥用药物”、“右翼政治”、“左翼政治”、“性传播疾病”、“癌症”、“心理健康”……这些不过是谷歌广告技术基础架构给用户所贴广告标签的一小部分。为准确投放精准行为广告,谷歌广告技术会一直监测并追踪用户的在线行为。

通过编程式在线广告系统支持的实时广告拍卖流程,像上述这些私密以及高度敏感的标示会被系统性地传播并分享给数千家第三方企业。从本质上来说,这便是这些令人毛骨悚然的广告在幕后运作的方式。

在欧洲,人们已根据GDPR新规,针对此类行为提出了多起诉讼。

去年秋天,网络浏览器Brave的首席政策和产业关系官约翰尼·瑞安(Johnny Ryan)、开放权利组织的前主任吉姆·基洛克(Jim Killock)以及伦敦大学学院的数据和政策研究人员迈克尔·韦勒(Michael Veale)提出了实时竞价(RTB)诉讼,称“行为广告行业内,谷歌等公司大范围且系统性地违反了数据保护制度”。

诉讼称个性化广告行业“催生了一种大规模数据传播机制”,它会收集相关广告所需信息以外的大量个人数据。此外,它还会将“这些信息提供给许多第三方企业用于多种用途”。

“这种为牟利而普遍侵入个人数据的行为没有任何法律依据。”诉讼中写道。

提出诉讼的个人都已经提交了额外证据来证明,谷歌以及IAB使用的广告类别列表中包含的敏感性标示都是系统性生成的。

TechCrunch发现,这些文件是去年英国ICO以及爱尔兰DPC提交的两份原始诉讼的补充证据。

波兰反监视非政府组织Panoptykon Foundation也加入了这起诉讼,并向当地DPA报道称存在“大范围违反GDPR条例的行为”。

“广告拍卖系统在设计上很模糊。”非政府组织主席卡塔兹尼亚·西米耶维茨(Katarzyna Szymielewicz)在一份声明中说道,“缺乏透明度导致用户无法依照GDPR条例行使自己的权利。目前也没有办法证明、核实或删除分配给我们的营销类别,即便我们正在讨论的内容是我们自己的个人数据。IAB以及谷歌需要重新设计自己的系统来解决这一问题。”

ITN律师事务所合伙人拉维·奈克(Ravi Naik)也在一份声明中补充道:Panoptykon Foundation提交的诉讼增加了大众对于实时竞价的关注。这些控诉建立在英国ICO和爱尔兰DPC之前的工作基础上。我们预见会有大量控诉在欧洲范围内接连出现,并估测欧盟监管机构会做出回应。”

这三份内容分类文件都已经作为证据上交,其中一份文件是谷歌使用的文档,另外两份则是IAB编纂以便向广告商提供广告类别列表的文档。

谷歌以及IAB还公开了这些列表以供广告商下载,不过它们并未建议普通互联网用户去查看自己的在线活动是如何进行分类,而其注意力又是如何被出售给出价更高的广告商。

虽然许多广告分类看似无害——掀背车、宠物、诗歌等等——但是我们在之前提到的那些标签却是极度私密或敏感的。

在欧洲,这类敏感性数据分类构成了所谓特殊类别的个人数据——指的是个人数据中最为私密的类型,包括医疗信息、政治关系、宗教或哲学观点、性取向以及揭露种族或民族起源的信息。

这些特殊类别数据中的许多类型都包含在我们所查看到的内容分类列表中。

按照GDPR,处理特殊类别数据通常需要得到用户的明确许可——只有非常少的一部分数据可以例外,比如说为保护数据主体的重要利益。

最初的诉讼称互联网用户不太可能会意识到自己身上已经被广告系统贴上了这些标签,更不用说他们的个人数据在多大范围内会被第三方共享。这些第三方企业会参与程序式广告拍卖,而规模便是其中的核心功能。

实时竞价流程并不会为互联网用户提供同意每一次个人数据交易的机会。但如果它们真的愿意这样做的话,那么网页浏览器上就会被诸多诡异的私密信息处理请求所淹没,而这些请求则来源于一些用户并不熟悉的公司。人们想来也是决计不会同意的。

“RTB发生的速度意味着这种特殊类别数据在传播过程中也许未经用户同意或是无法控制。鉴于这类数据很有可能会被传播给无数希望整合各类数据的组织,在数据主体不知情、更别说同意的情况下,这些组织便会针对个人生成非常复杂详细的个人档案。”该组织在原始诉讼申请中这样写道。

“行业也促成了这种行为,且事先没有采取保障措施来确保个人数据(以及特殊类别数据)的完整性。此外,用户也不太可能会知道自己的个人数据被传播得如此之广,除非他们能够以某种方式向诸多公司提交有效访问权限申请。目前尚不清楚这些机构是否会遵守这类要求。在没有监管机构的介入下,我们尚不可能确保整个行业遵守数据保护法规。”

他们还引用了新经济基金会的预测,预测称拍卖公司每天平均传播164次关于英国互联网用户的私密信息。“对于广告投放来说,追踪ID以及其它个人特定信息并不必要,但却可以让其对你每天进行识别和分析。”

如下便是一些贴在网络用户身上的高度敏感性标签,而这些信息则会被拿去与数千个参与竞价的广告公司共享——IAB曾使用过这些标签:特殊需求儿童、内分泌以及代谢疾病、计划节育、不孕不育、糖尿病、伊斯兰教、犹太教、残疾人体育、破产。

这些类别均来源于IAB内容分类法的第二版。

该组织还提交了IAB内容分类法的第一版作为证据,而这份列表还包含了其它一些极度私密的类别,包括“支持乱伦/虐待”。

IAB声称已经减少了第一版分类法的使用,但是诉讼称在IAB最新的广告拍卖系统中依然存在这些类别。

外媒已经联系了IAB欧洲公司要求置评。

在提交新的证据时,诉讼还称这“在广告拍卖过程中凸显了个人数据的私密程度,这是非常不合理的”。

“我们今天所提交的证据表明了IAB以及谷歌广告拍卖系统显然是在传播用户在线观看、聆听或阅读内容的详细细节。特殊类别个人数据应当受到GDPR法规的保护。我相信这将增加诉讼的有力度。”瑞安说道。

“此生态系统中的参与者热衷于让大众相信他们是在以匿名的方式处理数据,或者说他们分享的都是一些非敏感性数据,但事实情况并非如此。大量详细以及侵入性的资料会在实时竞价系统中任意建立或交易,而这种做法似乎成为了线上生活的日常。这是不对的,这种行为需要、也可以被制止。”韦勒在声明中补充说道。

外媒还联系了谷歌要求对诉讼最新进展置评。公司发言人给出如下声明:“我们制定了严格的政策,禁止平台上的广告商利用种族、性取向、健康情况、怀孕情况等私密类别数据来投放广告。如果我们发现平台上有广告违反政策并试图利用敏感性类别数据来针对用户投放广告,我们将立刻采取解决方案。”

有一点要指出,那就是针对实时竞价系统提出的诉讼关键在于,GDPR要求个人数据的处理必须是要保证个人数据的安全。因此,问题其实在于,现有的在线广告拍卖系统会将个人数据置于风险之中。(堆堆)

标签:

相关阅读

相关词

推荐阅读