Решение в конце октября о малоизвестной французской фирме adtech, появившейся на веб-сайте национального наблюдателя в этом месяце в начале этого месяца, вызывает волнение от волнения, которое может пройти через наблюдателей за соблюдением конфиденциальности в Европе, которые считают, что это означает начало конца для жуткие онлайн-объявления.
Волнение ощутимо.
Впечатляюще, поэтому, учитывая сухое решение CNIL против мобильной «платформы со стороны спроса», Vectaury был опубликован только в родном плотном французском адвокате регулятора.
Цифровая рекламная торговая пресса AdExchanger вчера приняла решение.
Вот абзац убийцы из постановления CNIL — переведенный на «грубый английский» моего коллеги из коллектива Ромена Дилле:
Требование, основанное на упомянутой выше статье 7, не выполняется с договорной оговоркой, которая гарантирует достоверно собранное первоначальное согласие. Компания VECTAURY должна быть в состоянии показать для всех данных, которые она обрабатывает, действительность выраженного согласия.
В более понятном английском языке это интерпретируется экспертами по данным, поскольку регулирующий орган заявляет, что согласие на обработку персональных данных не может быть достигнуто с помощью каркасного соглашения, которое связывает несколько применений за одной кнопкой «Я согласен», которая, щелкнув, передает согласие партнерам по договорным отношениям.
Решение CNIL предполагает, что объединение согласия на обработку партнеров в контракте само по себе не является действительным соглашением в рамках Основного положения о защите данных (ВВП) Европейского союза .
Согласие в рамках этого режима должно быть конкретным, информированным и свободно предоставляемым. Он говорит так же в тексте GDPR.
Но теперь, кроме того, постановление CNIL предполагает, что контроллер данных должен иметь возможность продемонстрировать срок действия согласия — поэтому он не может просто согласиться в договорной «ковровой сумке», которая получает доступ ко всем остальным в своей цепочке, как только пользователь нажимает «Я согласен».
Это важно, потому что многие широко используемые рамки разрешения рекламы на цифровом рекламе, выпущенные на веб-сайтах в Европе в этом году — в заявленном соответствии с GDPR — используют контрактный маршрут для получения согласия и связывают обработку партнеров за часто отвратительно лабиринтными потоками согласия.
Опыт веб-пользователей в ЕС сейчас невелик. Но это может привести к значительно лучшему интернету в будущем.
Содержание статьи
Где согласие на обработку партнеров?
Даже на уровне поверхности текущий урожай запутанных лабиринтов согласия выглядит проблематичным.
Однако постановление CNIL предполагает, что более глубокие и более структурные проблемы скрываются и внедряются внутри. А так как регуляторы выкапывают и начинают расстраивать противоречия adtech, это может заставить изменить мышление по всей экосистеме.
Как всегда, когда речь идет о согласии и онлайн-рекламе, основной проблемой, которую следует помнить, является то, что ни один потребитель, которому дано полное полное раскрытие информации о том, что делается с их личными данными во имя поведенческой рекламы, свободно соглашалось на то, торгуются по сети, так что куча третьих лиц может суммировать прибыль.
Вот почему, несмотря на то, что в настоящее время действует ВРР (с 25 мая), в игре все еще так много мучительно запутанных «потоков согласия».
Многолетний онлайн-трюк T & Cs с запутыванием и социальным инженерным согласием остается, к сожалению, стандартным учебником. Но, менее шести месяцев в ВВП, мы все еще очень сильно переживаем фазу «фальшивой войны». Для установления правил необходимо применять более регулятивные постановления, фактически применяя закон.
И недавняя деятельность CNIL предлагает еще больше.
В деле Vectaury фирма мобильной рекламы использовала шаблонную основу для своего потока согласия, созданного отраслевой ассоциацией и органом по стандартизации IAB Europe.
Он сделал некоторые из своих собственных вариантов, используя свою собственную формулировку на экране первоначального согласия и предварительно указывая цели (другой большой ВВП без-нет). Но объединение целей данных за одной кнопкой включения / выключения — это основной проект IAB Europe. Таким образом, решение CNIL предполагает, что для других пользователей шаблона могут возникнуть проблемы.
Генеральный директор IAB Europe Таунсенд Фихан сказал нам, что он работает над реакцией с заявлением на решение CNIL, но предположил, что Vectaury нарушил регулятор, потому что он, возможно, не реализовал платформу управления соглашением «Прозрачность и согласие», CMP) — как это извращенно известно — правильно.
. Таким образом, либо «CMP», который они реализовали, не соответствовали нашей Политике, или выбор, который они могли бы сделать при реализации их CMP, которые бы облегчили соблюдение GDPR, не были сделаны », — предложила она нам через по электронной почте.
Несмотря на то, что это обостряет контрактный крутой момент, который действительно вызывает увлечение защитой частной жизни, и заставляя их указывать на CNIL, как захлопнув первую из многих несвязанных дверей.
В последние месяцы французская сторожевая компания сделала несколько других решений, в том числе привлечение фирм по сбору геолокации, а также для обработки данных без согласия.
Таким образом, нормативная активность на фронте adprec GDPR + была тикающей.
Его решение опубликовать эти решения предполагает, что он имеет более широкую озабоченность по поводу масштабов и рисков конфиденциальности существующих программных рекламных практик в мобильном пространстве, чем может быть привязан к любому игроку.
Итак, предложение состоит в том, что просто публикация постановлений выглядит направленной на то, чтобы индустрия была уведомлена …
Между тем, adtech giant Google также стал непопулярным с «партнерами» издателя над своим подходом к ВВП, заставив их получить согласие от его имени. И в мае группа европейских и международных издателей жаловалась, что Google налагает на них несправедливые условия.
Решение CNIL могло бы обострить эту жалобу — поднимая вопросы о том, будет ли проверкой издателей, что Google сказал, что это будет выполняться, будет достаточно для того, чтобы организация приняла нормативный сбор.
Для платформы спроса, такой как Vectaury, которая выступала от имени более чем 32 000 партнерских мобильных приложений с пользовательскими глазными яблоками для обмена наличными на рекламу, достижение соответствия требованиям ВНП будет означать либо запрос пользователей на подлинное согласие, либо большое количество контрактов, на которых он проводит фактическую проверку.
Однако, на самом деле, Google на порядок больше.
Файл Vectaury дает нам увлекательный маленький взгляд на adtech «как обычно». Бизнес, который также не был, по мнению регулятора, законным.
Фирма собирала кучу персональных данных (включая местоположение людей и идентификаторы устройств) на мобильных пользователях своих партнеров через SDK, встроенный в свои приложения, и получая заявки для глазных яблок этих пользователей через другую стандартную часть рекламной рекламы каналы обмена сообщениями и сторонние платформы, которые также передают персональные данные, чтобы они могли широко транслировать его через систему ставок реального времени онлайн-рекламы (RTB). То есть, чтобы запросить ставки потенциальных рекламодателей для внимания отдельного пользователя приложения … Чем шире распространены личные данные, тем больше потенциальных рекламных ставок.
Эта шкала — это то, как работает программа. Это также выглядит ужасно от точки зрения «неприкосновенность частной жизни по дизайну и дефолту»
Разрастающийся процесс программирования объясняет очень длинный список «партнеров», вложенных не прозрачно за средний поток интерактивного согласия издателя. Промышленность, как она сейчас формируется, буквально торгует персональными данными.
Итак, если ковер-согласие, с которым он сидит на корточках в течение многих лет, внезапно вырывается из-под него, необходимо будет радикально изменить правила ad-targeting, чтобы избежать попирания фундаментального права граждан ЕС.
Важным изменением ВВП было превышение штрафов. Поэтому игнорировать закон будет очень дорого.
О хай в реальном времени!
В деле Vectaury CNIL обнаружил, что компания держала личные данные ошеломляющих 67,6 миллиона человек, когда она провела инспекцию на месте компании в апреле 2018 года.
Это уже звучит как много данных для небольшого мобильного adtech-плеера. Тем не менее, на самом деле это была небольшая часть личных данных, которые компания регулярно обрабатывала — учитывая, что собственный веб-сайт Vectaury утверждает, что 70 процентов собранных данных не хранится.
В решении не было штрафа, но CNIL приказал фирме удалить все данные, которые она еще не удалила (если судить о незаконном полученном соглашении, это недействительно); и прекратить обработку данных без согласия.
Но, учитывая привязку к персональным данным программного adtech текущего поколения, это по сути выглядит как заказ, чтобы выйти из бизнеса. (Или, по крайней мере, из этого бизнеса.)
И теперь мы переходим к другой интересной жалобе на рекламу GDPR, которая еще не была разрешена двумя соответствующими DPA (Ирландия и Великобритания), но которая выглядит еще более убедительной в свете решения CNIL Vectaury, поскольку она выбирает adtech парша еще более смело.
Поданный в прошлом месяце с Ирландской комиссией по защите данных и ICO U.K, эта жалоба adtech — работа трех человек, Джонни Райана из частного веб-браузера Brave; Джим Киткок, исполнительный директор группы по цифровым и гражданским правам, группа Open Rights Group; и исследователь университета Лондона по защите данных, Майкл Вейл — нацелены на систему RTB.
Вот как Райан, Килкок и Вейл подытожили жалобу, когда объявили об этом в прошлом месяце:
Каждый раз, когда человек посещает веб-сайт и на веб-сайте отображается «поведенческое» объявление, интимные личные данные, описывающие каждого посетителя, и то, что они просматривают в Интернете, транслируются десятками или сотнями компаний. Компании, занимающиеся рекламными технологиями, широко транслируют эти данные, чтобы запрашивать заявки потенциальных рекламодателей для внимания конкретного человека, посетившего веб-сайт.
Произошло нарушение данных, потому что эта трансляция, известная как «запрос заявки» в онлайн-индустрии, не защищает эти интимные данные от несанкционированного доступа. В соответствии с GDPR это незаконно.
В соответствии с пунктом 1 статьи 5 пункта 1 статьи 5, «персональные данные» должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери ». Если вы можете не защищать данные таким образом, тогда GDPR говорит, что вы не можете обрабатывать данные.
Райан сообщает TechCrunch, что суть жалобы не связана с правовой основой обмена данными, а скорее фокусируется на обработке [1945901] сама — утверждая, что она сама не является адекватно защищенной … что они " re не являются адекватными средствами контроля ».
Хотя он говорит, что есть и элемент согласия, и поэтому видит решение CNIL, поддерживающее жалобу RTB. (При этом помните, что CNIL судимо, что Vectaury не должен был содержать данные RTB из 67,6 млн человек, поскольку он не имел действительного согласия.)
«Мы поднимаем вопрос о согласии в жалобе. И это конкретное решение CNIL имеет отношение к обоим этим вопросам », — утверждает он. «Это демонстрирует в конкретном примере, что вовлечение исследователей в физические помещения и проверку машин — это демонстрирует, что даже одна небольшая компания получала десятки миллионов персональных данных этого незаконным способом.
«Итак, прорыв очень реальный. И это демонстрирует, что неразумно предполагать, что согласие в любом случае бессмысленно. »
Добившись удобного визуального объяснителя, он продолжает: «Если я останусь с портфелем, полным личных данных, в середине станции Чаринг-Кросс в 11 утра, и он действительно занят, это нарушение. Это было бы пролом еще в 1970-х годах. Если моя бизнес-модель должна доехать до станции Чаринг-Кросс с грузовиком-самосвалом и сбрасывать портфели на улицу в 11 утра, полностью осознавая, что мои деловые партнеры все будут сражаться и попытаться схватить их, а затем появиться в 11.01 и делаю то же самое. А затем 11 февраля. И каждую микросекунду между ними. Это все еще чертов пробой данных!
«Не имеет значения, думаете ли вы, что у вас есть согласие или что-то еще. Вы должны [comply with GDPR Article 5, paragraph 1, point f]чтобы иметь возможность запросить юридическую основу. Есть много других проблем, но это самый большой, который мы выделили. Это наша причина сказать, что это нарушение ».
«Теперь CNIL сказал, что эта компания, Vectaury, обрабатывает персональные данные, которые она не имела на законных основаниях, — и она получила их через RTB», — добавляет он, называя это замечанием. «Итак, вернемся к GDPR — GDPR говорит, что вы не можете обрабатывать данные таким образом, чтобы не обеспечить защиту от несанкционированной или незаконной обработки».
Другими словами, RTB как воронка для обработки персональных данных выглядит по-настоящему шаткой, потому что она по сути ставит все эти личные данные там и подвергается риску …
Что плохо для брокеров данных …
В другом цикле назад Райан говорит, что регулирующие органы были в контакте, так как их жалоба на RTB была подана, чтобы предложить им представить дополнительную информацию.
Он говорит, что решение CNIL Vectaury будет включено в дальнейшие материалы, предсказывая: «Это будет отброшено вокруг нескольких регуляторов».
Трио стремится произвести дополнительный отскок, работая с НПО, чтобы привлечь других людей для подачи подобных жалоб в других государствах-членах ЕС — сделать акцию пан-европейским толчком, как и сама программная реклама.
«Теперь у нас есть возможность связать нашу жалобу с отличной работой, которую сделала Privacy International, показывая, где находятся эти данные, и с отличной работой, которую CNIL сделала, показывая, как это действительно действует. И это решение от CNIL занимает, по сути, мой отчет, который пошел с нашей жалобой и показывает, как это применимо в реальном мире », — продолжает он.
«Я писал в реферате — CNIL теперь принял решение, которое очень не абстрактно, это в реальном мире, затрагивающее миллионы людей … Это будет жалоба в Европе».
Но что на самом деле выглядит программная реклама, которая не влечет за собой торговлю на людях, получавших личные данные ? Если в запросах ставок не было персональных данных, Райан полагает, что многое произойдет. Такие, как, например, гибель клинбейта.
«Не было бы возможности взять вашу аудиторию TechCrunch и купить ее дешевле на каком-нибудь дерьмовом сайте. Больше не будет такого арбитражного дела. Clickbait умрет! Все эти неприятные вещи исчезнут », — предполагает он.
(И, ну, полное раскрытие: мы TechCrunch — так что мы можем подтвердить, что это действительно здорово для нас!)
Он также считает, что значения объявлений будут повышаться. Что также будет хорошей новостью для издателей. («Потому что единственное место, где вы могли бы купить аудиторию TechCrunch, было бы на TechCrunch — это действительно большое дело!»)
Он даже предполагает, что мошенничество с рекламой может сократиться, потому что стимулы будут меняться. Или, по крайней мере, они могли бы до тех пор, пока «достойные» издатели, способные выжить в новом рекламном мире, в конечном итоге не станут соучастниками бот-мошенничества.
В его нынешнем виде издатели завязаны между двумя тарелками доминирующих платформ adtech (Google и Facebook), где им приходится отказаться от большей части своего рекламного дохода, — оставив медиа-отрасль с сокращением кусочек доходов от рекламы (это может быть примерно на 30 процентов).
Это то, что стучит о влиянии на финансирование редакций и качественную журналистику. И, ну, в более широкой сети тоже — учитывая все странные стимулы, которые действуют в сегодняшнем высокотехнологичном социальном медиа-платформе, доминирующем в Интернете.
В то время как программный монстр, защищающий конфиденциальность, является чем-то лишь теневым брокером фоновых данных, которые не имеют каких-либо значимых отношений с людьми, чьи данные, которые они кормят зверя, действительно могут любить.
И, ну, Google и Facebook.
По мнению Райана, причина существования дуополии adtech сводится к тому, что «утечка аудитории» включена RTB. Утечка, которая, по его мнению, также не соответствует законам ЕС о конфиденциальности.
Он считает, что исправление этой проблемы в равной степени прост: продолжайте делать RTB, но без каких-либо персональных данных.
Система ставок объявлений в режиме реального времени, которая лишена личных данных, не означает, что таргетированные объявления не будут отображаться. Он может по-прежнему поддерживать таргетинг объявлений на основе факторов реального времени, таких как приблизительное местоположение (например, в регионе города) и / или общие и агрегированные данные.
Принципиально он не будет использовать уникальные идентификаторы, которые позволят привязывать ставки объявления ко всему цифровому отпечатку пальца человека и истории запросов ставок — как сейчас. Это, по существу, означает: права на защиту RIP.
Райан утверждает, что RTB без личных данных по-прежнему будет предлагать рекламодателям много «ценности» — которые все еще могут общаться с людьми в зависимости от общих местоположений и интересов в реальном времени. (Это модель, которая очень похожа на то, что делает система DuckDuckGo в поисковой системе, а также растет.)
Действительно большая проблема, однако, заключается в том, чтобы повернуть рекламный танкер. Учитывая, что экосистема внедрена, даже когда дуополия доит ее.
Вот почему Райан так обнадеживает, хотя, проанализировав решение CNIL.
Его чтение — это регуляторы, которые сыграют решающую роль в продвижении триггера рекламной индустрии — и заставят через столь необходимые изменения в их таргетинге.
«Если вся индустрия не будет двигаться вместе, никто не сможет первыми удалить личные данные из заявок на участие в торгах, но если регуляторы вступят в силу … и скажу, что вы собираетесь выйти из бизнеса, если вы продолжите помещая персональные данные в запросы ставок, тогда все соберутся вместе — как музыкальная индустрия была вынуждена в конечном итоге под руководством Стива Джобса », — утверждает он. «Каждый может вместе принять решение о новых краткосрочных невыгодных, но долгосрочных очень выгодных изменениях».
Конечно, такая радикальная перестройка не произойдет в одночасье. Регуляторные триггеры имеют тенденцию к замедлению движения в лучшие времена. Вы также должны учитывать неумолимые юридические проблемы.
Но посмотрите внимательно, и вы увидите как импульс, насыщающий конфиденциальность, так и нормативное письмо на стене.
«Мы собираемся увидеть, что программные средства вынуждены быть неличными и, следовательно, лучше для каждого гражданина мира (за исключением, скажем, если они работают для брокера данных)», добавляет Райан, ставя свой собственный заключительный вопрос. «Будут ли эти масштабные изменения, которые помогут обществу и сети … это изменение произойдет до Рождества? Нет. Но стоит поработать. И это займет некоторое время.
«Прошло два года с того момента, когда мы закончим. Но финала будет. Детройт так долго мог бороться с регулированием. Это приходит. "
Кто бы мог «взять обратно контроль», может ли так звучать так хорошо?
Загрузка...
