爱尔兰公民自由委员会 (ICCL) 今天发布的有关实时竞价 (RTB) 系统使用网络用户信息进行跟踪和广告定位的新数据表明,谷歌和其他关键参与者在高速、监控基于广告拍卖的系统每天处理和传递人们的数据数十亿次。
“RTB 是有记录以来最大的数据泄露事件,” ICCL 认为。 “它每天在美国 2940 亿次和在欧洲 1970 亿次跟踪和分享人们在网上查看的内容及其真实世界的位置。”
ICCL 的报告基于该权利组织称其从机密来源获得的行业数据,提供了美国各州和欧洲国家每人每天 RTB 的估计值,这表明科罗拉多州和英国的网络用户属于系统暴露最多——每人每天有 987 和 462 个 RTB 广播。
但根据报告,即使是生活在图表底部的哥伦比亚特区或罗马尼亚的在线个人,他们的信息也分别被 RTB 暴露每天 486 次或每天 149 次。
ICCL 计算得出,居住在美国的人的在线活动和真实世界位置的暴露率比欧洲人高 57%——这可能是由于两个地区的隐私法规存在差异。
ICCL 估计,美国互联网用户的在线行为和位置每年被跟踪和共享 107 万亿次,而欧洲人的数据每年被暴露 71 万亿次。
“平均而言,美国一个人的在线活动和位置每天被 RTB 行业曝光 747 次。在欧洲,RTB 每天暴露人们的数据 376 次,”它还写道,并补充说:“欧洲和美国互联网用户的私人数据被发送到全球各地的公司,包括俄罗斯和中国,而没有任何手段控制当时的情况。数据处理完毕。”
该报告的数据可能是对 RTB 全部范围的保守估计,因为 ICCL 包含以下警告:“[T]他为 RTB 广播提供的数据是一个低估计。我们所依赖的行业数据不包括 Facebook 或亚马逊 RTB 广播。”
根据该报告,RTB 系统中最大的参与者谷歌允许4,698家公司接收有关美国人的 RTB 数据,而微软——去年 12 月从 AT&T 收购了广告技术公司 Xandr 时加大了对 RTB 的参与力度——表示它可能会向1,647 家公司发送数据。
这也可能只是冰山一角,因为 RTB 数据是通过 Internet 广播的——这意味着它已经成熟,可以被非官方列出的 RTB “合作伙伴”拦截和利用,例如数据经纪人,其业务涉及通过编译数据档案来从事农业例如,使用设备 ID、设备指纹、位置等信息将网络活动链接到指定的个人以重新识别和分析个人网络用户以获取利润。
多年来,人们一直在关注 RTB 的隐私和安全问题——尤其是在欧洲,那里有法律可以防止这种系统性地滥用人们的信息。但在发生一系列位置跟踪和数据共享丑闻之后,美国对该问题的认识也在不断提高。
本月早些时候泄露的最高法院意见表明美国最高法院正准备推翻罗诉韦德案——取消宪法对堕胎的保护——进一步引起了人们的关注,并在全国范围内引发了冲击波,一些评论员立即敦促女性删除他们的经期跟踪应用程序,并密切注意他们的数字安全和隐私卫生。
令人担忧的是,广告跟踪可能会暴露个人数据,这些数据可用于识别孕妇和/或寻求堕胎服务的人。
美国许多州已经严格限制堕胎。但是,如果最高法院推翻 Roe v Wade 案,预计许多州将完全禁止堕胎——这意味着可以怀孕的人受到在线监控的风险会增加,因为任何在线搜索堕胎服务或位置跟踪或其他类型的数据对他们的数字活动的挖掘可用于建立针对他们获得或寻求获得非法堕胎的案件。
与此同时,网络用户的高度敏感的个人数据经常被收集和共享以用于广告定位,正如之前的 ICCL 报告中详细描述的那样,令人毛骨悚然。数据经纪人行业还收集有关个人交易和销售的信息——尤其是在美国,人们的位置数据似乎很容易获得。
例如,去年, 据报道,美国一位顶级天主教神父因声称已获得他手机上的数据表明使用了基于位置的同性恋连接应用程序而对他的性取向提出指控后辞职。 , 研磨机。
缺乏在线隐私也可能对女性的健康问题产生负面影响——这使得收集信息以将在后罗伊时代寻求堕胎的孕妇定为犯罪变得更加容易。
“实时出价数据播出后无法限制使用,”ICCL在报告中强调。 “数据经纪人用它来描述 Black Lives Matter 抗议者。美国国土安全部和其他机构将其用于无证电话跟踪。这与一名同性恋天主教神父通过使用 Grindr 进行郊游有关。 ICCL 发现了 RTB 数据的出售,这些数据揭示了可能的性虐待幸存者。”
该报告对欧洲监管机构提出了特别尖锐的问题,因为与美国不同,该地区拥有全面的数据保护框架。自 2018 年 5 月以来,通用数据保护条例 (GDPR) 在整个欧盟生效,监管机构多年来本应针对失控的广告技术实施这些隐私权。
取而代之的是,集体不愿这样做——可能是由于个人跟踪和分析技术已广泛和普遍地嵌入到网络基础设施中,再加上广告技术行业大声声称如果互联网用户无法生存,免费网络将无法生存’隐私受到尊重。 (此类声明忽略了广告定位的替代形式的存在,例如上下文相关,它不需要跟踪和分析个人网络用户的活动即可运行,并且多年来已被证明是有利可图的,例如非跟踪搜索引擎,DuckDuckGo。)
三年前( 2019 年 5 月)爱尔兰数据保护委员会 (DPC) 在收到大量 RTB 投诉后,对 Google 的 adtech 展开调查——表面上——正在进行中。但尚未发布任何决定。
尽管自 2019 年以来公开表示行为广告行业已严重失控,但英国的 ICO 在 2018 年提出投诉后,也一再对 RTB 采取执法行动。去年秋天,即将离任的信息专员伊丽莎白·德纳姆 (Elizabeth Denham) 敦促该行业进行有意义的隐私改革。
从那时起,用于收集网络用户对广告跟踪的同意的旗舰广告技术行业机制——IAB 欧洲自称的透明度和同意框架 (TCF)——本身已被比利时数据保护机构发现违反了 GDPR。
其2022 年 2 月的决定也发现 IAB 本身有过错,给了行业机构两个月的时间来提交改革计划和六个月的时间来实施。 (注意:Google 和 IAB 是为 RTB 制定标准的两个机构。)
该同意问题是根据欧洲 GDPR 对 RTB 的一项(可靠)投诉。然而,ICCL 的关注点一直集中在安全性上——因为它认为通过互联网向成千上万的“合作伙伴”广播人们数据的高速、大规模交易以投放广告(但也存在被拦截和盗用的明显风险)几十个不知名的人)本质上是不安全的。而且,无论同意问题如何,GDPR 都要求人们的信息得到充分保护——因此将 RTB 定义为“有史以来最大的数据泄露事件”。
3 月,ICCL 宣布打算起诉 DPC——指责监管机构多年来对 RTB 投诉无所作为(其中一些是在 GDPR 生效的同一年提出的)。该诉讼仍在审理中。
它还与欧盟监察员联系,抱怨欧盟委员会未能适当监督该法规的实施——这导致前者在今年早些时候开始调查委员会的相反说法。
根据 ICCL,欧盟执行官向监察员提交信息的要求截止日期昨天通过了,但没有提交,据报道,欧盟委员会要求再延长 10 天时间来提供所要求的数据——这表明 GDPR 四周年即将到来与此同时,武力(2018 年 5 月 25 日)将过去(如果监察员能够作出裁决,可能会更安静一些)……
欧盟监察员今天早上告诉我,欧盟委员会通知其答复延迟了 10 天。 https://t.co/M47qMxsaEX
——约翰尼·瑞安 (@johnnyryan) 2022 年 5 月 16 日
“在我们接近 GDPR 四周年之际,我们发布了有史以来最大的数据泄露事件的数据。这是对欧盟委员会,特别是专员 [Didier] Reynders 的起诉,这种数据泄露每天都在重复,”ICCL 高级研究员 Johnny Ryan 告诉 TechCrunch。
“现在是委员会履行职责并迫使爱尔兰正确应用 GDPR 的时候了,”他补充说。
我们还联系了谷歌、微软、DPC 和欧盟委员会,询问有关 ICCL 报告的问题,但在撰写本文时,没有人回复。
Ryan 告诉我们,ICCL 还致函美国立法者,强调“在线广告隐私危机”的规模——并特别敦促参议院竞争政策、反垄断和消费者权利小组委员会确保向 FTC 提供足够的执法资源——因此它可以“针对这一巨大的违规行为”采取紧急行动。
在我们审查过的这封信中,ICCL 指出,美国公民的私人数据被发送到全球各地的公司,包括俄罗斯和中国——“没有任何手段控制这些数据的处理方式”。
欧洲的战争无疑为这个监控广告技术的故事增加了一个维度。
俄罗斯今年早些时候入侵乌克兰加剧了对 adtech 对网络用户的大规模监控的担忧——即公民的数据是否会通过在线跟踪回到敌对的第三国,如俄罗斯及其盟友中国。
早在 3 月,英国《金融时报》就报道称,许多应用程序包含俄罗斯搜索巨头 Yandex 制造的 SDK 技术,该技术被指控将用户数据发送回俄罗斯的服务器,俄罗斯政府可能会在该服务器上访问这些数据。
在欧洲,GDPR 要求欧盟以外的个人数据出口受到保护,其标准与公民信息在欧洲处理或存储时的包装标准相同。
欧盟最高法院在2020 年 7 月做出了一项具有里程碑意义的裁决,该裁决因美国政府大规模监视计划所带来的安全问题而否决了一项旗舰欧盟-美国数据传输协议——因为法院强调,这给流向高风险第三国的国际数据流带来了持续的法律不确定性。欧盟监管机构需要主动监控数据出口并介入以暂停任何数据流向缺乏足够数据保护的司法管辖区。
adtech 的许多主要参与者都位于美国——考虑到欧盟法律要求数据合法出口的高标准,这也引发了对该行业对欧洲数据进行任何处理的合法性的质疑。
原文: https://techcrunch.com/2022/05/16/iccl-rtb-report-google-gdpr/