愛爾蘭曝谷歌等公司將用戶數據提供給廣告商

愛爾蘭曝谷歌等公司將用戶數據提供給廣告商，總體而言，美國網絡用戶的網絡瀏覽記錄和位置信息每年被追蹤和共享107萬億次，歐洲每年爲71萬億次，愛爾蘭曝谷歌等公司將用戶數據提供給廣告商。

愛爾蘭曝谷歌等公司將用戶數據提供給廣告商1

近日，愛爾蘭公民自由委員會（Irish Council for Civil Liberties，ICCL）公佈了一份報告，對其認定的一起“史上最大規模數據泄露事件”進行了披露。

報告顯示，如谷歌、微軟等公司會利用實時競價系統將用戶的網絡瀏覽記錄和地理位置信息提供給廣告商，美國用戶每天被分享747次，歐洲用戶376次。谷歌迴應稱，其一直對與廣告商共享用戶數據進行嚴格限制，並要求在投放個性化廣告前取得用戶同意。

何爲實時競價系統（簡稱RTB）？公開資料顯示，RTB是一種利用第三方技術，在數以百萬計的網站上針對每一個用戶展示行爲進行評估以及出價的競價技術。簡而言之，可理解爲讓廣告商通過瀏覽記錄和地理位置信息來鎖定潛在用戶並針對目標廣告位進行出價的過程，目的是爲了實現精準營銷。

根據ICCL發佈的報告，谷歌、微軟等公司使用RTB系統實時追蹤並分享用戶的網絡瀏覽記錄和地理位置信息給廣告商，以便廣告商選擇有潛在用戶瀏覽的網頁精準投放廣告。在美國其每天分享上述用戶信息2940億次，平均每人被曝光747次；在歐洲每天分享1970億次，平均每人被曝光376次，並且“沒有任何辦法可以控制這些數據的用途”。

用戶數據的被分享次數在不同地區或國家也有所差別。具體而言，美國科羅拉多州的網絡用戶平均每人每天被分享數據987次，加利福尼亞州爲804次，華盛頓哥倫比亞特區則爲486次。在歐洲，英國的網絡用戶平均每人每天被分享數據462次。

報告指出，美國網絡用戶被分享網絡瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點推測，該情況與美國和歐洲的隱私法規差異較大有關，在規定嚴格而全面的數據保護框架《通用數據保護條例》（GDPR）的“保駕護航”下，歐洲監管機構多年來一直針對濫用的廣告技術採取措施。

報告推測，總體而言，美國網絡用戶的網絡瀏覽記錄和位置信息每年被追蹤和共享107萬億次，歐洲每年爲71萬億次，並稱這些用戶數據會被髮送至全球各地的公司。值得一提的是，報告強調上述數據都十分保守，因爲此次ICCL僅選擇了在線廣告生態系統的“巨頭”之一谷歌參與統計，並未關注Facebook和亞馬遜。

報告指出，谷歌是最大限度利用RTB系統的“罪魁禍首”，其向高達4698家公司提供美國用戶的相關數據，向1058家公司提供歐洲用戶的相關數據，而微軟可向1647家公司提供。由於這些用戶數據是通過互聯網傳播的，它們還面臨着被“非官方合作伙伴”攔截和利用的風險。

事實上，這並非RTB系統的信息安全問題首次引發關注。2019年5月，在收到用戶針對谷歌RTB系統的隱私投訴後，愛爾蘭數據保護委員會（DPC）對谷歌展開法定調查，試圖確定其對用戶個人數據的處理是否適當，然而該調查至今沒有結果。

因此，今年3月，ICCL的資深研究員約翰尼·瑞安（Johnny Ryan）將DPC告上了法庭，理由是其未能對谷歌的大規模數據泄露行爲採取行動，目前愛爾蘭高等法院已同意進行審理。同時，他還向歐盟監察專員投訴，稱歐盟委員會（European Commission）未能妥善監督GDPR的實施。

ICCL始終認爲RTB本質上是不安全的——通過在互聯網上與成千上萬的廣告商進行大規模的用戶個人數據交易來實現廣告的精準投放，這種做法風險很大，個人信息無法得到充分保護。因此，ICCL將此定義爲“史上最大規模的數據泄露”。

據悉，針對該報告，谷歌發言人作出了迴應，稱其在使用RTB系統時採取了行業領先的保護措施，並對與廣告商共享用戶數據進行了嚴格限制。“我們不會分享個人身份信息，也不會展示基於健康、種族或宗教等敏感信息而投放的廣告，多年來我們一直要求廣告商在展示任何個性化廣告之前取得用戶的同意。”另外，微軟方面則拒絕對此置評。

愛爾蘭曝谷歌等公司將用戶數據提供給廣告商2

愛爾蘭公民自由委員會（簡稱 ICCL）編撰的一份報告提到，在美國，類似谷歌這樣的廣告技術公司會每天向廣告主分享你的在線行爲和位置，人均每天高達 747 次；在歐洲每天則爲 376 次。該組織將這種行爲描述爲“世界上最大的隱私泄露”。

報告提到，谷歌和其他類似公司、也就是基於“用戶觀察”的廣告系統的參與者每天處理和傳遞人們的數據達數十億次。而谷歌是最大的違規者，它使用一種叫做實時競價（簡稱 RTB）的系統，讓廣告商通過瀏覽行爲和位置來鎖定互聯網用戶。

“RTB 是有記錄以來最大的數據泄露事件，” ICCL 說，“它每天跟蹤和分享人們在網上瀏覽的內容，以及他們在現實世界中的位置，美國是 2940 億次，歐洲是 1970 億次。”

當你在一個網站上看到一個廣告，其實它可能在你打開頁面前幾秒就知道自己該出現了。

這種“精準廣告”被認爲是無害的。假設你訪問了一個關於在波士頓什麼有意思的網站，谷歌簽訂了那個網站上銷售廣告的合同。你訪問這個網站的事實意味着谷歌知道你有興趣來波士頓。你的 IP 地址也可以用來確定你的位置。因此，谷歌的自動廣告銷售軟件可以宣佈，“我們有來自美國西海岸的 10 萬人有興趣來波士頓玩，你願意付多少錢給他們展示一個廣告？”

對這些受衆感興趣的廣告主已經在谷歌的廣告銷售系統中輸入了各種細節，說明了他們願意爲各種目標羣體支付的廣告費用。谷歌會找到這家公司，然後展示他們的廣告。

雖然廣告商不知道你的具體身份，但廣告技術公司可以從你的瀏覽器收集信息，這些信息比你的位置和你正在訪問的特定網站透露的更多。

正如英國《金融時報》在 2019 年報道的那樣，隱私監管機構表達了擔憂，即 cookies （在瀏覽網絡時保存有關你的某些信息），被用於收集人們訪問的所有網站的數據，而這些數據可用於創建詳細的個人資料 —— 在某些國家，這可能是非法的`。

爲了收集更多的數據，公司通常會將瀏覽器數據發送給第三方以豐富數據，從而能夠爲廣告商建立一個個人的潛在價值檔案。

但問題是，“在（實時競價）中創建和共享個人數據資料的規模似乎不成比例、具有侵犯性和不公平，特別是在許多情況下，用戶，也就是數據主體並不知道這種處理過程正在進行，”報告稱。也就是說，雖然沒有人知道你的名字 —— 但它可以與代表個人的配置文件相關聯。

ICCL 說，谷歌最大限度地利用了 RTB，而微軟是另一個大玩家。至於 Facebook 和亞馬遜，ICCL 沒有數據。

RTB 系統的最大玩家谷歌（Google）允許 4698 家公司接收有關美國人相關數據，而微軟（Microsoft）表示，可能會向 1647 家公司發送數據。去年 12 月，微軟從 at&t 手中收購了廣告技術公司 Xandr，從而加強了對 RTB 的參與。

愛爾蘭曝谷歌等公司將用戶數據提供給廣告商3

近日，愛爾蘭民間組織ICCL揭露了谷歌、微軟等科技公司是如何獲得用戶數據，並以此推給廣告商的商業行爲。ICCL在一份報告中強調，這是有記錄以來最大的數據泄漏事件。

本次指控主要源自實時競價系統Real-Time Bidding （以下簡稱“RTB”）跟蹤收集用戶數據，併發送到大量公司手中。其中，谷歌在RTB系統中參與程度最深。

21世紀經濟報道記者5月19日從愛爾蘭ICCL官網獲悉，在RTB系統中，歐洲和美國互聯網用戶的私人數據被髮送到全球各地，且目前沒有任何手段能夠控制這些數據的處理方式。

有記錄以來最大的數據泄漏

實時競價系統Real-Time Bidding （以下簡稱“RTB”）通過在網站和應用程序進行幕後運作，跟蹤互聯網用戶正在查看的內容，並記錄用戶接下來將會查看哪些網站。

科技公司在拿到這些隱私數據以後，能夠建立相應的用戶畫像，以此來了解用戶需要什麼，正在瞭解什麼，並推給相應的廣告商以實現精準的廣告投放。令人擔憂的是，這種廣告跟蹤模式可能會暴露個人數據並用於識別個人信息，造成隱私泄漏。2021年，RTB產業在美國和歐洲創造了1170多億美元的收入。

ICCL發佈的報告顯示，在歐洲，RTB 每天公開 376 次人們的數據；平均而言，美國一個人的在線活動和位置每天被 RTB 行業曝光 747 次。RTB跟蹤和分享美國和歐盟居民在網上留下的數據，包括用戶在查看什麼以及用戶上網時的真實位置，合計共跟蹤分享178萬億次。

報告中還顯示，RTB系統中最大的參與者谷歌，爲數千家公司（包括1058家歐洲公司和4698家美國公司）提供RTB數據。而另一重要參與者微軟則在2021年12月 AT&T 收購廣告技術公司 Xandr 後，大幅增加在RTB上的投資。

谷歌發言人對此作出聲明：“谷歌使用RTB時設置了行業領先的保護措施，並嚴格限制了與廣告商共享數據的方式。我們不會分享個人身份信息，也不會展示基於敏感信息（例如健康、種族或宗教）的廣告。我們要求發佈商在展示任何個性化廣告之前，證明他們已經獲得人們的同意。”

向歐洲法院提出訴訟

多年來，人們一直在關注 RTB 的隱私和安全問題，並採取相應措施來防止人們的網絡隱私信息被隨意濫用。在這一方面，歐洲已經率先採取行動：出臺被稱爲“史上最嚴”的數據保護法《通用數據保護條例》（GDPR）。

報告顯示，現在，越來越多的廣告商依靠RTB向網站和應用軟件投放廣告，其中美國和歐盟的廣告商每年將投放約一千億美元在RTB系統上。

目前，ICCL正着力關注與解決RTB數據泄露問題，並已經多次向歐洲法院提出訴訟。

2021年6月15日，ICCL向谷歌、Facebook、亞馬遜等公司乃至整個廣告行業提出挑戰，對當時的廣告商提出訴訟，因爲在線廣告獲得並追蹤用戶數據的行爲，嚴重侵犯了用戶的隱私數據。ICCL強調，這是一個“里程碑式的訴訟”，並承諾將會在法庭上解決這個問題。

2022年2月，以比利時數據保護局爲首的 28 個歐盟數據保護機構發現，在線廣告行業的貿易機構“IAB Europe”存在多項違反GDPR的行爲。ICCL對此提出相應的訴訟，最終確認了IAB Europe的違法行爲。

此外，今年3月，ICCL起訴愛爾蘭數據保護委員會DPC 未能對大規模谷歌數據泄露採取行動，投訴中強調DPC在3年半前收到了關於Google 實時出價數據泄露的投訴，但DPC 未能對此投訴採取行動。