谷歌被指控向数千名广告客户泄露个人数据
Brave是一家基于Chromium的谷歌浏览器竞争对手的制造商,该公司表示,它有新的证据表明谷歌正在向广告商泄露个人信息,并违反欧洲有关数据控制和透明度的隐私法律。
Brave首席政策和行业关系官员Johnny Ryan已将他的调查结果提交给爱尔兰数据保护委员会,这是谷歌在欧洲的主要监管机构。
5月,DPC 开始调查谷歌的授权买家实时出价(RTB)广告交易,该广告交易将广告买家与数百万销售其广告资源的网站联系起来。
瑞恩于2018 年在英国和爱尔兰通过谷歌的RTB系统提起GDPR 投诉,认为谷歌和广告公司在使用谷歌行为广告的网站上的RTB投标请求中公开个人数据。
与上下文广告相反,更高价值的行为广告依赖于使用cookie和其他方式跨网站跟踪设备的行为。
谷歌的授权买家广告系统被用于840万个网站,瑞安估计谷歌正在向数百个谷歌广告技术合作伙伴 “广播”个人数据,这些合作伙伴在谷歌的RTB系统中竞标用户。
“人们无法知道这些公司对此采取了什么措施,因为Google一旦发送数据就失去了对我的数据的控制权。其政策无法保护,”瑞安说。
Ryan的最新声明集中在谷歌所谓的“推送页面”或“google_push”上,他称之为用户标识符和GDPR限制的解决方法。除了名为“google_gid”的现有标识符外,它还可供RTB投标人使用。
他认为推送页面允许多个广告商在一个人加载网页时共享用户个人资料身份。
根据Ryan的说法,每个推送页面都是唯一的,它通过在公共URL的末尾添加一个标识符并与Google cookies结合使用,以允许公司匿名识别该人。
“Google邀请访问推送页面的所有公司都会为被配置人员提供相同的标识符。这个'google_push'标识符允许他们交叉引用他们的个人资料,然后他们可以互相交换个人资料数据,”瑞安写道。
为了测试Google与广告客户共享的数据,Ryan使用了干净安装的Chrome,它没有登录,Cookie或浏览历史记录,然后分析了计算机上的网络流量日志。
在网上冲浪的一小时内,Ryan浏览器的'google_gid'在来自10家赢得RTB拍卖的公司的网络流量中使用了318次。然后,公司可以使用烹饪匹配过程来检查用户是否是他们之前分析过的人,然后更新用户的个人资料。
然而,瑞恩指出,谷歌也可能与其列为欧盟广告技术合作伙伴的数百家公司共享该标识符。
“就像'google_gid'标识符一样,谷歌先前已经向这些公司提供'google_push'标识符来识别数据主题,”Ryan写道。
“但是,这两个标识符之间存在重要差异。'google_gid'标识符特定于每个接收它的公司。这意味着这些公司不太可能交叉引用他们从数据主题中学到的内容。谷歌相互之间。但是,'google_push'标识符对于收到它的多家公司来说很常见。“
谷歌发言人在向ZDNet发表的一份声明中表示,未经用户同意,该公司不会投放有针对性的广告。
“未经用户同意,我们不会向投标人提供个性化广告或投标请求。爱尔兰DPC - 作为Google的主要DPA - 以及英国ICO已经在考虑实时竞标以评估其对GDPR的合规性。我们欢迎这项工作和正在全力合作,“发言人说。
尽管如此,英国信息委员会办公室在其6月份关于RTB生态系统审查的报告中也看到了谷歌的授权买家,他分享了瑞恩对RTB数据供应链的一些担忧。
总的来说,ICO发现“adtech行业对数据保护要求的理解还不成熟”。
它还指出,单个RTB请求可能导致数百个组织处理个人数据,每个组织都有自己的隐私政策。
“多方收到有关用户的信息,但只有一方会”赢得“拍卖,以便为该用户提供广告。对其他方处理个人数据没有任何保证或技术控制,例如保留,安全等,” ICO写道。
“从本质上讲,一旦数据不在一方手中,基本上该方无法保证数据仍然受到适当的保护和控制。”