圖片來源:翻攝自https://twitter.com/DPCIreland/status/1131243627601117186

繼今年法國判罰5000萬歐元後,愛爾蘭資料保護委員會本周宣佈,針對Google廣告即時競價服務 Ad Exchange/Authorized Buyers的個資處理方式,是否違反歐盟個資法GDPR進行調查。

瀏覽器廠商Brave政策長Johnny Ryan研究Google廣告業務單位DoubleClick Ad Exchange/Authorized Buyers的作法後,於2018年9月投訴愛爾蘭主管機關的結果。Google於2007年買下DoubleClick Ad Exchange,去年改名為Authorized Buyers。它是一種即時廣告競價服務,讓廣告主出價以挑選要在您的網站上顯示的廣告。

Ryan指出,Authorized Buyers透過在出版商網站投放廣告,並將用戶資訊廣播給廣告商以獲利。這項服務已安裝於全球超過840萬個網站,它把網站用戶個資公布給2000多家公司,一天內高達上千億次。被公布的資料包括用戶所在地點、可能的宗教、性別、政治偏好、用戶線上閱讀、收視和音樂喜好,以及有助於形塑個人長期資料側寫(profile)的獨特資訊等。而用戶對於這項服務的所做所為並不知情,而且一旦資料被廣播出去後會被做什麼用途,也無從控制。Ryan認為這是「有紀錄以來規模最龐大的個資外洩案」。

愛爾蘭資料保護委員會目前正在調查Google「疑似違反GPDR的行為」。GDPR要求廠商應該嚴格控管用戶個資,在發生蒐集個資行為時,業者也應充份告知用戶。委員會想要了解Google廣告交易每個階段對個資的處理是否遵循GDPR的相關規定。該委員會也將依據GDPR的透明度、資料最小化,對Google的資訊保存作法進行調查。

一旦調查發現指控屬實,Google將被迫停止Ad Exchange/Authorized Buyers業務所有個資處理行為,可能被判處最高全年營收4%的罰金。

除了Ryan外,英國公開人權主任Jim Killock及倫敦大學學院教授Michael Veale,以及波蘭人權非營利機構Panoptykon Foundation,也先後對Google提出類似的指控。

Google對此表示將全力配合調查,也歡迎有機會可以進一步釐清歐洲對即時廣告拍賣的資料保護法律。

今年一月Google已經遭法國資料主管機關CNIL,以未充份告知消費者個資處理方式及未取得用戶明顯同意,遭判罰5000萬歐元

這也突顯網路廣告和用戶隱私保護的兩難。本周蘋果才公布將為Safari新增隱私工具,只有投放廣告及用戶點擊廣告第一方網站得以儲存用戶點擊的資訊,第三方搜尋網站或零售商本身都拿不到資訊,且不涉及消費者身份、地址或其他敏感資訊,有助於防止跨站追蹤。


Advertisement

更多 iThome相關內容