谷歌追蹤使用者高度隱私資訊發廣告 在歐洲遭多起訴訟

新浪科技訊 北京時間1月29日上午訊息，據美國科技媒體TechCrunch報道， 谷歌 通過追蹤得來的資料，給使用者加註標籤，並向數千家第三方企業分享，幫助他們投放廣告。而這些標籤中不乏一些高度敏感的個人隱私資訊，因此多個歐洲組織向谷歌和線上廣告行業協會——網際網路廣告局（IAB）提出訴訟，指控谷歌違反歐盟近期出臺的新規《一般資料保護條例》（GDPR）。

“男性陽痿”、“濫用藥物”、“右翼政治”、“左翼政治”、“性傳播疾病”、“癌症”、“心理健康”……這些不過是谷歌廣告技術基礎架構給使用者所貼廣告標籤的一小部分。為準確投放精準行為廣告，谷歌廣告技術會一直監測並追蹤使用者的線上行為。

通過程式設計式線上廣告系統支援的實時廣告拍賣流程，像上述這些私密以及高度敏感的標示會被系統性地傳播並分享給數千家第三方企業。從本質上來說，這便是這些令人毛骨悚然的廣告在幕後運作的方式。

在歐洲，人們已根據GDPR新規，針對此類行為提出了多起訴訟。

去年秋天，網路瀏覽器Brave的首席政策和產業關係官約翰尼·瑞安（Johnny Ryan）、開放權利組織的前主任吉姆·基洛克（Jim Killock）以及倫敦大學學院的資料和政策研究人員邁克爾·韋勒（Michael Veale）提出了實時競價（RTB）訴訟，稱“行為廣告行業內，谷歌等公司大範圍且系統性地違反了資料保護制度”。

訴訟稱個性化廣告行業“催生了一種大規模資料傳播機制”，它會收集相關廣告所需資訊以外的大量個人資料。此外，它還會將“這些資訊提供給許多第三方企業用於多種用途”。

“這種為牟利而普遍侵入個人資料的行為沒有任何法律依據。”訴訟中寫道。

提出訴訟的個人都已經提交了額外證據來證明，谷歌以及IAB使用的廣告類別列表中包含的敏感性標示都是系統性生成的。

TechCrunch發現，這些檔案是去年英國ICO以及愛爾蘭DPC提交的兩份原始訴訟的補充證據。

波蘭反監視非政府組織Panoptykon Foundation也加入了這起訴訟，並向當地DPA報道稱存在“大範圍違反GDPR條例的行為”。

“廣告拍賣系統在設計上很模糊。”非政府組織主席卡塔茲尼亞·西米耶維茨（Katarzyna Szymielewicz）在一份宣告中說道，“缺乏透明度導致使用者無法依照GDPR條例行使自己的權利。目前也沒有辦法證明、核實或刪除分配給我們的營銷類別，即便我們正在討論的內容是我們自己的個人資料。IAB以及谷歌需要重新設計自己的系統來解決這一問題。”

ITN律師事務所合夥人拉維·奈克（Ravi Naik）也在一份宣告中補充道：Panoptykon Foundation提交的訴訟增加了大眾對於實時競價的關注。這些控訴建立在英國ICO和愛爾蘭DPC之前的工作基礎上。我們預見會有大量控訴在歐洲範圍內接連出現，並估測歐盟監管機構會做出迴應。”

這三份內容分類檔案都已經作為證據上交，其中一份檔案是谷歌使用的文件，另外兩份則是IAB編纂以便向廣告商提供廣告類別列表的文件。

谷歌以及IAB還公開了這些列表以供廣告商下載，不過它們並未建議普通網際網路使用者去檢視自己的線上活動是如何進行分類，而其注意力又是如何被出售給出價更高的廣告商。

雖然許多廣告分類看似無害——掀背車、寵物、詩歌等等——但是我們在之前提到的那些標籤卻是極度私密或敏感的。

在歐洲，這類敏感性資料分類構成了所謂特殊類別的個人資料——指的是個人資料中最為私密的型別，包括醫療資訊、政治關係、宗教或哲學觀點、性取向以及揭露種族或民族起源的資訊。

這些特殊類別資料中的許多型別都包含在我們所檢視到的內容分類列表中。

按照GDPR，處理特殊類別資料通常需要得到使用者的明確許可——只有非常少的一部分資料可以例外，比如說為保護資料主體的重要利益。

最初的訴訟稱網際網路使用者不太可能會意識到自己身上已經被廣告系統貼上了這些標籤，更不用說他們的個人資料在多大範圍內會被第三方共享。這些第三方企業會參與程式式廣告拍賣，而規模便是其中的核心功能。

實時競價流程並不會為網際網路使用者提供同意每一次個人資料交易的機會。但如果它們真的願意這樣做的話，那麼網頁瀏覽器上就會被諸多詭異的私密資訊處理請求所淹沒，而這些請求則來源於一些使用者並不熟悉的公司。人們想來也是決計不會同意的。

“RTB發生的速度意味著這種特殊類別資料在傳播過程中也許未經使用者同意或是無法控制。鑑於這類資料很有可能會被傳播給無數希望整合各類資料的組織，在資料主體不知情、更別說同意的情況下，這些組織便會針對個人生成非常複雜詳細的個人檔案。”該組織在原始訴訟申請中這樣寫道。

“行業也促成了這種行為，且事先沒有采取保障措施來確保個人資料（以及特殊類別資料）的完整性。此外，使用者也不太可能會知道自己的個人資料被傳播得如此之廣，除非他們能夠以某種方式向諸多公司提交有效訪問許可權申請。目前尚不清楚這些機構是否會遵守這類要求。在沒有監管機構的介入下，我們尚不可能確保整個行業遵守資料保護法規。”

他們還引用了新經濟基金會的預測，預測稱拍賣公司每天平均傳播164次關於英國網際網路使用者的私密資訊。“對於廣告投放來說，追蹤ID以及其它個人特定資訊並不必要，但卻可以讓其對你每天進行識別和分析。”

如下便是一些貼在網路使用者身上的高度敏感性標籤，而這些資訊則會被拿去與數千個參與競價的廣告公司共享——IAB曾使用過這些標籤：特殊需求兒童、內分泌以及代謝疾病、計劃節育、不孕不育、糖尿病、伊斯蘭教、猶太教、殘疾人體育、破產。

這些類別均來源於IAB內容分類法的第二版。

該組織還提交了IAB內容分類法的第一版作為證據，而這份列表還包含了其它一些極度私密的類別，包括“支援亂倫/虐待”。

IAB聲稱已經減少了第一版分類法的使用，但是訴訟稱在IAB最新的廣告拍賣系統中依然存在這些類別。

外媒已經聯絡了IAB歐洲公司要求置評。

在提交新的證據時，訴訟還稱這“在廣告拍賣過程中凸顯了個人資料的私密程度，這是非常不合理的”。

“我們今天所提交的證據表明了IAB以及谷歌廣告拍賣系統顯然是在傳播使用者線上觀看、聆聽或閱讀內容的詳細細節。特殊類別個人資料應當受到GDPR法規的保護。我相信這將增加訴訟的有力度。”瑞安說道。

“此生態系統中的參與者熱衷於讓大眾相信他們是在以匿名的方式處理資料，或者說他們分享的都是一些非敏感性資料，但事實情況並非如此。大量詳細以及侵入性的資料會在實時競價系統中任意建立或交易，而這種做法似乎成為了線上生活的日常。這是不對的，這種行為需要、也可以被制止。”韋勒在宣告中補充說道。

外媒還聯絡了谷歌要求對訴訟最新進展置評。公司發言人給出如下宣告：“我們制定了嚴格的政策，禁止平臺上的廣告商利用種族、性取向、健康情況、懷孕情況等私密類別資料來投放廣告。如果我們發現平臺上有廣告違反政策並試圖利用敏感性類別資料來針對使用者投放廣告，我們將立刻採取解決方案。”

有一點要指出，那就是針對實時競價系統提出的訴訟關鍵在於，GDPR要求個人資料的處理必須是要保證個人資料的安全。因此，問題其實在於，現有的線上廣告拍賣系統會將個人資料置於風險之中。(堆堆)