爱尔兰数据监管机构因让adtech进行史上最大规模入侵而遭抨击

爱尔兰公民自由委员会(ICCL)今天发布了一份文件档案，详细描述了在线广告目标行业如何在未经其知情或同意的情况下描述互联网用户的亲密特征，给该国的数据监管机构施加了更大的压力，要求其采取执法行动投诉人争论的是“有史以来最大的数据泄露”。

该出版物是在爱尔兰数据保护委员会(DPC)提出两年前的投诉后提出的，该投诉要求通过程序化广告实时出价(RTB)非法利用个人数据流程-包括Google和互联网广告局(IAB)设计的主要RTB系统。

爱尔兰DPC对Google的继Johnny Ryan博士(当时是Brave，现为ICCL的高级研究员)于2018年9月提出申诉后，于2019年5月开始在线Ad Exchange交易，但两年后，该申诉就像许多重大的跨境GDPR案件一样，仍未解决。

而且，的确，欧盟各地的监管机构已经提出了多项实时出价投诉，但尚未解决。与欧盟的旗舰数据保护框架相比，这是一个重大的烙印。

“自2020年9月是我正式向爱尔兰数据保护委员会投诉“实时出价”数据泄露事件以来的两年。瑞安在报告中写道。

ICCL档案中的一些突出亮点包括：

Google的实时出价系统将数据发送给968家公司;

一家使用RTB数据进行人物简介的数据经纪公司通过将LGBTQ +人群作为目标对象而影响了2019年波兰议会选举;

由具有实时出价数据的数据经纪人构建的配置文件允许Google系统的用户将“药物滥用”类别中的1200名爱尔兰人作为目标，而同一数据经纪人通过Google提供的其他健康状况配置文件报告说包括“糖尿病” ，“慢性疼痛”和“睡眠障碍”;

是t他IAB的RTB系统允许用户针对1300人在爱尔兰的“艾滋病和艾滋病毒”类异形，基于与RTB的数据建立了一个数据经纪人的个人资料，而其他类别的相同数据经纪人包括“乱伦和虐待的支持， ”“脑瘤”，“失禁”和“抑郁症”;

收集实时出价数据的数据经纪人跟踪了意大利人的动向，以查看他们是否观察到COVID-19锁定;

还允许一家数据经纪人非法描写了美国的“ Black Lives Matters”抗议者，并允许他们收集有关欧洲人的实时出价数据;

个人资料的行业模板包括诸如“不孕症”，“性病”和“保守派”政治之类的亲密个人特征;

根据欧盟数据保护法，与高度敏感和私密主题(例如健康，性和政治)有关的个人信息被称为特殊类别的个人数据。处理此类信息通常需要用户的明确同意-仅有非常狭窄的例外，例如为了保护数据主体的切身利益(并且提供行为广告显然不会达到这样的标准)。

因此，尽管处理互联网用户数据的规模很大，但很难看到目标广告行业的当前做法如何可能符合欧盟法律。

在该报告中，ICCL估计，在过去的一年中，只有三个广告交易平台(OpenX，IndexExchange和PubMatic)进行了大约113.9万亿次RTB广播。

它写道：“与两年前DPC收到通知相比，Google的实时出价系统现在将人们的私人数据发送给更多的公司，并通过更多的网站发送人们的私人数据。”“使用IAB RTB系统的单个广告交换现在每天可以发送1200亿个RTB广播，比两年前DPC收到通知时增加了140%。”

“实时出价在网站和应用程序的幕后进行。它不断向无数公司广播我们在网上进行的私人观看和观看的节目，以及我们在现实世界中的位置。因此，我们都是数据经纪公司和其他公司的公开书，它们可以为我们每个人建立紧密的档案。”

收到对报告的回应后，Google向我们发送了以下声明：

我们执行严格的隐私协议和标准来保护人们的个人信息，包括在使用数据进行实时出价方面的行业领先的安全措施。我们不允许广告客户根据敏感的个人数据来选择广告，并且我们也不会与广告客户共享人们的敏感个人数据，浏览历史或个人资料。我们会在Google的广告交易平台上对广告购买者进行审核，如果发现违反我们的政策的情况，我们将采取行动。

我们还联系了IAB Europe对该报告发表评论。一位女发言人告诉我们，它将在明天发表回应。

DPC副局长Graham Doyle回应ICCL提交的文件时说：“ DPC已提供了关于此事的广泛最新更新和信函，包括开会。调查正在进行中，已向有关方面提供了下一步的完整更新。”

但是，在对Doyle的言论进行跟进时，Ryan告诉TechCrunch，他“不知道” DPC在提到“全面更新”时指的是什么。在“下一步”上，他说，监管机构告知他，它将在9月15日的信函发出后的四个星期内，制作一份文件，阐明其所认为的问题。

Ryan表示特别关注DPC的查询似乎没有涵盖安全性，这是RTB投诉的症结所在，因为GDPR的安全性原则要求处理者有义务确保安全地处理数据并防止未经授权的处理或丢失。(鉴于投诉人收集的早期证据，实时出价工具会在互联网上广播个人数据，从而在此过程中泄露高度敏感的信息。)

他告诉TechCrunch，监管机构终于在2020年5月给他发了一封信，以回应他的要求，以了解调查范围是什么–然后他说它正在研究以下问题：

Google是否有合法基础处理个人数据(包括特殊类别数据)，以通过授权购买者机制进行有针对性的广告宣传，特别是与其他公司/公司进行Google收集的个人数据的采购，共享和合并，伙伴;

Google如何遵守其透明度义务，尤其是关于GDPR第5(1)，12、13和14条的规定;

Google保留在“授权买方”机制下处理的个人数据的法律依据/基础，以及在保留通过“授权买方”机制处理的个人数据方面，它如何遵守第5(1)(c)条。

我们已要求DPC确认其对Google广告技术的调查是否也在审查是否符合GDPR第5(1)f条的规定，并将以任何回应的方式更新此报告。

对于关于瑞安已有两年之久的申诉的任何决定草案的时机，DPC均未回应我们的问题。但是道尔也指出我们工作，今年各地的cookies和其他追踪技术-包括标准的使用指导-补充说，它已经着手打算从下月开始了相关的执法，在六个月的宽限期行业遵守跟踪规则已经过去。

监管机构还指出了另一项相关的公开调查，即对广告技术资深人士Quantcast的调查，该调查也将于2019年5月开始。(该询问是在隐私权倡导组织“隐私国际”提交的。)

DPC表示，Quantcast的调查正在审查为处理广告目标而处理互联网用户数据的合法依据，并考虑是否履行了透明度和数据保留义务。尚不清楚在这种情况下，监管机构是否也在考虑数据的安全性。DPC年度报告中有关Quantcast查询范围的摘要指出：

特别是，DPC正在检查Quantcast是否已履行与处理和汇总个人数据有关的义务，该行为是为了分析和利用针对定向广告而生成的个人资料而进行的。该调查正在研究Quantcast如何以及在何种程度上履行其对个人数据(包括收集来源，合并数据并将其提供给客户的数据)以及Quantcast个人信息的行为对个人透明的义务。数据保留做法。调查还将检查进行处理所依据的合法依据。

尽管爱尔兰对跨境GDPR调查的步伐仍然承受着巨大压力，但鉴于爱尔兰是许多主要技术平台的牵头监管者，但它并不是唯一一个被控执法的欧盟监管者。

尽管承认系统性违规行为，但英国的数据监管机构也因未能对RTB投诉采取行动而面临愤怒。就其案例而言，在几个月的监管不作为之后，ICO在今年早些时候宣布，由于COVID-19大流行对企业造成干扰，因此已“暂停”对该行业对互联网用户个人数据处理的调查。