信息來源:安全內(nèi)參
近日,愛爾蘭公民自由委員會(huì)(Irish Council for Civil Liberties,ICCL)公布了一份報(bào)告,對其認(rèn)定的一起“史上最大規(guī)模數(shù)據(jù)泄露事件”進(jìn)行了披露。
報(bào)告顯示,如谷歌、微軟等公司會(huì)利用實(shí)時(shí)競價(jià)系統(tǒng)將用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息提供給廣告商,美國用戶每天被分享747次,歐洲用戶376次。谷歌回應(yīng)稱,其一直對與廣告商共享用戶數(shù)據(jù)進(jìn)行嚴(yán)格限制,并要求在投放個(gè)性化廣告前取得用戶同意。
何為實(shí)時(shí)競價(jià)系統(tǒng)(簡稱RTB)?公開資料顯示,RTB是一種利用第三方技術(shù),在數(shù)以百萬計(jì)的網(wǎng)站上針對每一個(gè)用戶展示行為進(jìn)行評估以及出價(jià)的競價(jià)技術(shù)。簡而言之,可理解為讓廣告商通過瀏覽記錄和地理位置信息來鎖定潛在用戶并針對目標(biāo)廣告位進(jìn)行出價(jià)的過程,目的是為了實(shí)現(xiàn)精準(zhǔn)營銷。
根據(jù)ICCL發(fā)布的報(bào)告,谷歌、微軟等公司使用RTB系統(tǒng)實(shí)時(shí)追蹤并分享用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息給廣告商,以便廣告商選擇有潛在用戶瀏覽的網(wǎng)頁精準(zhǔn)投放廣告。在美國其每天分享上述用戶信息2940億次,平均每人被曝光747次;在歐洲每天分享1970億次,平均每人被曝光376次,并且“沒有任何辦法可以控制這些數(shù)據(jù)的用途”。
用戶數(shù)據(jù)的被分享次數(shù)在不同地區(qū)或國家也有所差別。具體而言,美國科羅拉多州的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)987次,加利福尼亞州為804次,華盛頓哥倫比亞特區(qū)則為486次。在歐洲,英國的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)462次。
報(bào)告指出,美國網(wǎng)絡(luò)用戶被分享網(wǎng)絡(luò)瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點(diǎn)推測,該情況與美國和歐洲的隱私法規(guī)差異較大有關(guān),在規(guī)定嚴(yán)格而全面的數(shù)據(jù)保護(hù)框架《通用數(shù)據(jù)保護(hù)條例》(GDPR)的“保駕護(hù)航”下,歐洲監(jiān)管機(jī)構(gòu)多年來一直針對濫用的廣告技術(shù)采取措施。
報(bào)告推測,總體而言,美國網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)瀏覽記錄和位置信息每年被追蹤和共享107萬億次,歐洲每年為71萬億次,并稱這些用戶數(shù)據(jù)會(huì)被發(fā)送至全球各地的公司。值得一提的是,報(bào)告強(qiáng)調(diào)上述數(shù)據(jù)都十分保守,因?yàn)榇舜蜪CCL僅選擇了在線廣告生態(tài)系統(tǒng)的“巨頭”之一谷歌參與統(tǒng)計(jì),并未關(guān)注臉書和亞馬遜。
報(bào)告指出,谷歌是最大限度利用RTB系統(tǒng)的“罪魁禍?zhǔn)住?,其向高達(dá)4698家公司提供美國用戶的相關(guān)數(shù)據(jù),向1058家公司提供歐洲用戶的相關(guān)數(shù)據(jù),而微軟可向1647家公司提供。由于這些用戶數(shù)據(jù)是通過互聯(lián)網(wǎng)傳播的,它們還面臨著被“非官方合作伙伴”攔截和利用的風(fēng)險(xiǎn)。
事實(shí)上,這并非RTB系統(tǒng)的信息安全問題首次引發(fā)關(guān)注。2019年5月,在收到用戶針對谷歌RTB系統(tǒng)的隱私投訴后,愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)(DPC)對谷歌展開法定調(diào)查,試圖確定其對用戶個(gè)人數(shù)據(jù)的處理是否適當(dāng),然而該調(diào)查至今沒有結(jié)果。
因此,今年3月,ICCL的資深研究員約翰尼·瑞安(Johnny Ryan)將DPC告上了法庭,理由是其未能對谷歌的大規(guī)模數(shù)據(jù)泄露行為采取行動(dòng),目前愛爾蘭高等法院已同意進(jìn)行審理。同時(shí),他還向歐盟監(jiān)察專員投訴,稱歐盟委員會(huì)(European Commission)未能妥善監(jiān)督GDPR的實(shí)施。
ICCL始終認(rèn)為RTB本質(zhì)上是不安全的——通過在互聯(lián)網(wǎng)上與成千上萬的廣告商進(jìn)行大規(guī)模的用戶個(gè)人數(shù)據(jù)交易來實(shí)現(xiàn)廣告的精準(zhǔn)投放,這種做法風(fēng)險(xiǎn)很大,個(gè)人信息無法得到充分保護(hù)。因此,ICCL將此定義為“史上最大規(guī)模的數(shù)據(jù)泄露”。
據(jù)悉,針對該報(bào)告,谷歌發(fā)言人作出了回應(yīng),稱其在使用RTB系統(tǒng)時(shí)采取了行業(yè)領(lǐng)先的保護(hù)措施,并對與廣告商共享用戶數(shù)據(jù)進(jìn)行了嚴(yán)格限制?!拔覀儾粫?huì)分享個(gè)人身份信息,也不會(huì)展示基于健康、種族或宗教等敏感信息而投放的廣告,多年來我們一直要求廣告商在展示任何個(gè)性化廣告之前取得用戶的同意?!绷硗?,微軟方面則拒絕對此置評。