近日,爱尔兰公民自由委员会(Irish Council for Civil Liberties,ICCL)公布了一份报告,对其认定的一起“史上最大规模数据泄露事件”进行了披露。
报告显示,如谷歌、微软等公司会利用实时竞价系统将用户的网络浏览记录和地理位置信息提供给广告商,美国用户每天被分享747次,欧洲用户376次。谷歌回应称,其一直对与广告商共享用户数据进行严格限制,并要求在投放个性化广告前取得用户同意。
何为实时竞价系统(简称RTB)?公开资料显示,RTB是一种利用第三方技术,在数以百万计的网站上针对每一个用户展示行为进行评估以及出价的竞价技术。简而言之,可理解为让广告商通过浏览记录和地理位置信息来锁定潜在用户并针对目标广告位进行出价的过程,目的是为了实现精准营销。
根据ICCL发布的报告,谷歌、微软等公司使用RTB系统实时追踪并分享用户的网络浏览记录和地理位置信息给广告商,以便广告商选择有潜在用户浏览的网页精准投放广告。在美国其每天分享上述用户信息2940亿次,平均每人被曝光747次;在欧洲每天分享1970亿次,平均每人被曝光376次,并且“没有任何办法可以控制这些数据的用途”。
用户数据的被分享次数在不同地区或国家也有所差别。具体而言,美国科罗拉多州的网络用户平均每人每天被分享数据987次,加利福尼亚州为804次,华盛顿哥伦比亚特区则为486次。在欧洲,英国的网络用户平均每人每天被分享数据462次。
报告指出,美国网络用户被分享网络浏览记录和位置信息的频率比欧洲用户高57%。有观点推测,该情况与美国和欧洲的隐私法规差异较大有关,在规定严格而全面的数据保护框架《通用数据保护条例》(GDPR)的“保驾护航”下,欧洲监管机构多年来一直针对滥用的广告技术采取措施。
报告推测,总体而言,美国网络用户的网络浏览记录和位置信息每年被追踪和共享107万亿次,欧洲每年为71万亿次,并称这些用户数据会被发送至全球各地的公司。值得一提的是,报告强调上述数据都十分保守,因为此次ICCL仅选择了在线广告生态系统的“巨头”之一谷歌参与统计,并未关注脸书和亚马逊。
报告指出,谷歌是最大限度利用RTB系统的“罪魁祸首”,其向高达4698家公司提供美国用户的相关数据,向1058家公司提供欧洲用户的相关数据,而微软可向1647家公司提供。由于这些用户数据是通过互联网传播的,它们还面临着被“非官方合作伙伴”拦截和利用的风险。
事实上,这并非RTB系统的信息安全问题首次引发关注。2019年5月,在收到用户针对谷歌RTB系统的隐私投诉后,爱尔兰数据保护委员会(DPC)对谷歌展开法定调查,试图确定其对用户个人数据的处理是否适当,然而该调查至今没有结果。
因此,今年3月,ICCL的资深研究员约翰尼·瑞安(Johnny Ryan)将DPC告上了法庭,理由是其未能对谷歌的大规模数据泄露行为采取行动,目前爱尔兰高等法院已同意进行审理。同时,他还向欧盟监察专员投诉,称欧盟委员会(European Commission)未能妥善监督GDPR的实施。
ICCL始终认为RTB本质上是不安全的——通过在互联网上与成千上万的广告商进行大规模的用户个人数据交易来实现广告的精准投放,这种做法风险很大,个人信息无法得到充分保护。因此,ICCL将此定义为“史上最大规模的数据泄露”。
据悉,针对该报告,谷歌发言人作出了回应,称其在使用RTB系统时采取了行业领先的保护措施,并对与广告商共享用户数据进行了严格限制。“我们不会分享个人身份信息,也不会展示基于健康、种族或宗教等敏感信息而投放的广告,多年来我们一直要求广告商在展示任何个性化广告之前取得用户的同意。”另外,微软方面则拒绝对此置评。