- PVSM.RU - https://www.pvsm.ru -
Регуляторы в Европе столкнулись с потоком жалоб на компании, работающие в сфере рекламных технологий. Обсуждаем ситуацию — причины и потенциальные последствия.
[1]
Фото — ev [2] — Unsplash
Обращения связаны с технологией RTB (Real-Time Bidding). Она нужна для проведения аукционов рекламных объявлений и основана на протоколе OpenRTB [3]. К его разработке причастны [4] такие организации, как IAB [5], Google, MediaMath и DataXu. Для показа целевой рекламы RTB-система идентифицирует посетителей [6] сайтов по браузерам, аккаунтам в социальных сетях и cookies. Представители крупных европейских организаций и вузов отмечают [7], что механизмы RTB нарушают требования Общего регламента по защите данных (GDPR) и могут привести к массовым утечкам ПД.
В конце мая жалобы получили регуляторы Испании, Нидерландов, Бельгии и Люксембурга. Их направили [8] представители некоммерческой организации Eticas Foundation, фонда Bits of Freedom, а также Амстердамского и Левенского университетов.
В начале года аналогичные жалобы зарегистрировали [9] регуляторы в Великобритании, Польше и Ирландии. Их направили разработчики браузера Brave, сотрудники Лондонского университета и представители организации Open Rights Group, занимающейся вопросами соблюдения прав и свобод человека в цифровом мире.
Когда пользователь открывает страницу сайта, система RTB (и аналогичные ей площадки) анализирует его персональные данные (cookies и др.) и направляет их сотням рекламодателей. Далее, специальные алгоритмы на стороне компаний решают, показывать рекламу этому человеку или нет, и устанавливают цену за показ баннера. Посетитель сайта увидит баннер той компании, которая предложила наибольшую сумму.
Подобные «аукционы» ежедневно обрабатывают огромное количество транзакций. Система Authorized Buyers, принадлежащая Google, работает [8] с 8 млн веб-сайтов и 2 тыс. организаций. Второй по популярности сервис AppNexus от AT&T совершает 130 млрд транзакций с персональными данными ежедневно. При этом, по оценкам The New Economics Foundation, одна страница может передавать информацию о пользователе еще 164 сайтам (стр.4 [10]).
Эксперты отмечают, что вся эта ситуация противоречит пятой статье GDPR. Она разрешает [11] обрабатывать ПД только в том случае, если обеспечена надежная защита от их утери или компрометации. Пользователь должен знать, кто и почему использует его данные. В текущих условиях гарантировать выполнение этих требований невозможно.
Уже есть прецеденты — в мае Twitter обнаружили [12] баг в AdTech-системе. Компания случайно раскрыла данные о местоположении некоторых iOS-пользователей через механизмы RTB (хотя никаких санкций за это нарушение к компании не применили).
Фото — Franki Chamaki [13] — Unsplash
Еще одна проблема — невозможность контролировать содержимое поведенческих профилей, которые составляет рекламная платформа. Некоторые теги, которые система «прикрепляет» к пользователям, могут раскрывать [14] информацию, которая не предусматривалась как публичная самим пользователем — например, данные о потенциальных проблемах со здоровьем. Сейчас у AdTech-индустрии нет специальных механизмов, с помощью которых можно ограничить сбор данных или запретить их обработку на стороне физических лиц, как того требует 18 статья GDPR [15].
В IAB говорят [16], что жалобы на работу компаний, предоставляющих AdTech-инструменты, лишь вредят развитию цифровой индустрии и не имеют под собой оснований. По их словам, принципы работы RTB полностью соответствуют GDPR — чтобы удовлетворить требования законодательства ассоциация IAB еще в прошлом году разработала [17] специальный фреймворк. С его помощью посетители сайтов могут узнать, какими сайтами обрабатываются их персональные данные. В Google используют [8] список правил и регуляций [18] для защиты ПД, которые обязательны к выполнению самой организацией и партнерами, работающими в сфере программатик-маркетинга.
Но в начале года анонимный источник в IAB сообщил [19], что руководство компании знает о нарушениях программатик-рекламой требований Общего регламента. По их словам, исправить ситуацию «технически невозможно». Юристы и общественные деятели назвали эту новость доказательством многочисленных нарушений европейского законодательства AdTech-компаниями.
Эксперты ожидают, что регуляторы из Испании, Бельгии и Люксембурга, которые получили жалобы на RTB в этом году, вскоре начнут выписывать штрафы.
Несколько разбирательств уже ведется. В мае ирландский регулятор начал расследование [20] в отношении Quantcast. Компанию обвиняют в незаконном сборе персональных данных и составлении поведенческих профилей. Хотя представители Quantcast говорят [21], что с их стороны нарушений нет, и все бизнес-процессы выполняются в соответствии с законодательством. Также под следствием находится [22] Google из-за утечек ПД в сервисе Authorized Buyers — компания рискует [23] получить еще один штраф [24] в размере 4% от годового оборота.
Скорее всего Комиссия по защите данных Ирландии и другие регуляторы признают нарушения GDPR. Помимо этого, могут быть приняты меры на уровне Еврокомиссии, что осложнит работу AdTech-компаний во всем Евросоюзе.
Дополнительное чтение из наших блогов и социальных сетей:
Досмотр электронных устройств на границе — необходимость или нарушение прав человека? [25]
Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент [26]Как защитить виртуальный сервер в интернете [27]
Минимизация рисков: как не потерять ваши данные [28]Снэпшоты: зачем нужны «снимки» [29]
Бэкапы: коротко о резервном копировании [30]
Автор: 1cloud
Источник [31]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/kontekstnaya-reklama/321590
Ссылки в тексте:
[1] Image: https://habr.com/ru/company/1cloud/blog/457128/
[2] ev: https://unsplash.com/photos/gpjvRZyavZc
[3] OpenRTB: https://github.com/google/openrtb
[4] причастны: https://www.globenewswire.com/news-release/2010/12/13/924834/0/en/Industry-Leaders-Team-to-Drive-New-Open-RTB-Standards.html
[5] IAB: https://en.wikipedia.org/wiki/Interactive_Advertising_Bureau
[6] идентифицирует посетителей: http://rtb-media.ru/wiki/
[7] отмечают: https://techcrunch.com/2019/05/20/gdpr-adtech-complaints-keep-stacking-up-in-europe/
[8] направили: https://fixad.tech/ad-tech-gdpr-complaint-is-extended-to-five-more-european-regulators/
[9] зарегистрировали: https://brave.com/update-rtb-ad-auction-gdpr/
[10] стр.4: https://neweconomics.org/uploads/files/NEF_Blocking_Data_Stalkers.pdf
[11] разрешает: http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.htm
[12] обнаружили: https://techcrunch.com/2019/05/13/twitter-bug-disclosed-some-users-location-data-to-an-unnamed-partner/
[13] Franki Chamaki: https://unsplash.com/photos/1K6IQsQbizI
[14] могут раскрывать: https://brave.com/wp-content/uploads/2019/01/Google-publisher-verticals-marked-up.pdf
[15] 18 статья GDPR: http://www.privacy-regulation.eu/en/article-18-right-to-restriction-of-processing-GDPR.htm
[16] говорят: https://www.iabeurope.eu/all-news/press-releases/iab-europes-press-statement-openrtb-and-eu-data-protection-law/
[17] разработала: https://medium.com/lift-letters/gdpr-and-openrtb-736e9339f0e2
[18] правил и регуляций: https://www.google.com/doubleclick/adxbuyer/guidelines.html
[19] сообщил: https://videoadnews.com/2019/02/20/the-iab-privately-believed-rtb-would-violate-gdpr-claim-privacy-campaigners/
[20] начал расследование: https://www.cpomagazine.com/data-privacy/adtech-giant-quantcast-facing-gdpr-investigation-into-breach-of-privacy/
[21] говорят: https://www.campaignlive.co.uk/article/first-year-gdpr-saw-carrot-next-comes-stick/1585816
[22] находится: https://brave.com/dpc-google/
[23] рискует: https://www.bbc.com/news/technology-48371440
[24] еще один штраф: https://gdpr.report/news/2019/05/23/irish-data-protection-investigates-google-over-ad-exchange/
[25] Досмотр электронных устройств на границе — необходимость или нарушение прав человека?: https://habr.com/ru/company/1cloud/blog/456872/
[26] Как проверить cookies на соответствие GDPR — поможет новый открытый инструмент: https://habr.com/ru/company/1cloud/blog/452668/
[27] Как защитить виртуальный сервер в интернете: https://1cloud.ru/blog/kak-zaschitit-server-v-internete?utm_source=habrahabr&utm_medium=cpm&utm_campaign=adtech&utm_content=blog
[28] Минимизация рисков: как не потерять ваши данные: https://1cloud.ru/blog/minimizazia-it-riskov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=adtech&utm_content=blog
[29] Снэпшоты: зачем нужны «снимки»: https://www.facebook.com/1cloudru/posts/2352597941729379
[30] Бэкапы: коротко о резервном копировании: https://www.facebook.com/1cloudru/posts/2350103871978786
[31] Источник: https://habr.com/ru/post/457128/?utm_campaign=457128&utm_source=habrahabr&utm_medium=rss
Нажмите здесь для печати.