继今年法国判罚5000万欧元后,爱尔兰数据保护委员会本周宣布,针对Google广告即时竞价服务Ad Exchange/Authorized Buyers的个人信息处理方式,是否违反欧盟个人信息法GDPR进行调查。
浏览器厂商Brave政策长Johnny Ryan研究Google广告业务单位DoubleClick Ad Exchange/Authorized Buyers的作法后,于2018年9月投诉爱尔兰主管机关的结果。Google于2007年买下DoubleClick Ad Exchange,去年改名为Authorized Buyers。它是一种即时广告竞价服务,让广告主出价以挑选要在您的网站上显示的广告。
Ryan指出,Authorized Buyers通过在出版商网站投放广告,并将用户信息广播给广告商以获利。这项服务已安装于全球超过840万个网站,它把网站用户个人信息公布给2000多家公司,一天内高达上千亿次。被公布的数据包括用户所在地点、可能的宗教、性别、政治偏好、用户线上阅读、收视和音乐喜好,以及有助于塑造个人长期数据侧写(profile)的独特信息等。而用户对于这项服务的所做所为并不知情,而且一旦数据被广播出去后会被做什么用途,也无从控制。Ryan认为这是“有纪录以来规模最庞大的个人信息外泄案”。
爱尔兰数据保护委员会目前正在调查Google“疑似违反GPDR的行为”。GDPR要求厂商应该严格管控用户个人信息,在发生搜集个人信息行为时,企业也应充分告知用户。委员会想要了解Google广告交易每个阶段对个人信息的处理是否遵循GDPR的相关规定。该委员会也将依据GDPR的透明度、数据最小化,对Google的信息保存作法进行调查。
一旦调查发现指控属实,Google将被迫停止Ad Exchange/Authorized Buyers业务所有个人信息处理行为,可能被判处最高全年营收4%的罚金。
除了Ryan外,英国公开人权主任Jim Killock及伦敦大学学院教授Michael Veale,以及波兰人权非盈利机构Panoptykon Foundation,也先后对Google提出类似的指控。
Google对此表示将全力配合调查,也欢迎有机会可以进一步厘清欧洲对即时广告拍卖的数据保护法律。
今年一月Google已经遭法国数据主管机关CNIL,以未充分告知消费者个人信息处理方式及未取得用户明显同意,遭判罚5000万欧元。
这也突显网络广告和用户隐私保护的两难。本周苹果才公布将为Safari添加隐私工具,只有投放广告及用户点击广告第一方网站得以存储用户点击的信息,第三方搜索网站或零售商本身都拿不到信息,且不涉及消费者身份、地址或其他敏感信息,有助于防止跨站关注。