爱尔兰数据监管机构抨击允许广告技术进行“有史以来最大规模的入侵”

在此之前，爱尔兰数据保护委员会(DPC)已经投诉了两年，指控通过程序化广告实时竞价(RTB)过程非法利用个人数据-包括由谷歌和互联网广告局(IAB)设计的占主导地位的RTB系统。

在约翰尼·瑞安(Johnny Ryan)博士(当时在Brave工作，现在是ICCL高级研究员)于2018年9月提起申诉后，爱尔兰DPC于2019年5月对谷歌的在线广告交易所(Ad Exchange)展开了调查-但这起投诉持续了两年，就像许多重大跨境GDPR案件一样，至今仍未解决。

事实上，RTB已经向欧盟各地的监管机构提交了多起投诉，但没有一起得到解决。这是对欧盟旗舰数据保护框架的一个重大污点。

2020年9月是我就“实时竞价”数据泄露向爱尔兰数据保护委员会提出正式投诉的两年。这份意见书证明了两年来未能执行的后果，“瑞安在报告中写道。

今天，我们发布关于有史以来最大的数据泄露的后果的新数据：实时竞价。在我抱怨RTB隐私危机两年后，@DPC爱尔兰未能结束这一危机。@ICCLtweet https://t.co/4zj476UT3t pic.twitter.com/rvaTloWk4。

一家使用RTB数据对人进行概况分析的数据经纪公司通过瞄准LGBTQ+人影响了2019年波兰议会选举；

一家数据经纪人使用RTB数据建立的个人资料允许谷歌系统的用户将爱尔兰的1200人归入“药物滥用”类别，据报道，同一数据经纪人通过谷歌提供的其他健康状况资料包括“糖尿病”、“慢性疼痛”和“睡眠障碍”；

IAB的RTB系统允许用户根据RTB数据建立的数据经纪人档案，将爱尔兰的1300人归入“艾滋病和艾滋病”类别，而同一数据经纪人的其他类别包括“滥用支持”、“脑瘤”、“大小便失禁”和“抑郁症”；

一家收集即时通讯数据的数据经纪人跟踪了意大利人的行动，看看他们是否观察到了新冠肺炎的封锁；

一家非法描述美国“黑人生活也是命”(Black Lives Matters)抗议者的数据经纪人也被允许收集欧洲人的RTB数据；

个人资料的行业模板包括“不孕不育”、“性传播疾病”和“保守”政治等亲密的个人特征；

根据欧盟数据保护法，涉及高度敏感和隐私话题(如健康、性和政治)的个人信息被称为特殊类别个人数据。处理这类信息通常需要得到用户的明确同意-只有非常有限的例外，比如保护数据主体的切身利益(而提供行为广告显然不符合这样的门槛)。

因此，尽管互联网用户的数据被处理的规模很大，但很难看出定向广告行业目前的做法如何可能符合欧盟法律。

在这份报告中，ICCL估计，在过去的一年里，只有三家广告交易所(OpenX，IndexExchange和PubMatic)进行了大约113.9万亿次RTB广播。

它写道：“与两年前DPC收到通知时相比，谷歌的RTB系统现在向更多的公司发送人们的私人数据，从更多的网站发送人们的私人数据。”使用IAB RTB系统的单个广告交换现在每天发送1200亿个RTB广播，比两年前通知DPC时增加了140%。

“实时竞价在网站和应用程序的幕后运作。它不断地将我们在网上做和看的私人事情，以及我们在现实世界中的位置，广播给无数的公司。因此，我们对数据经纪人公司和其他人都是一本开放的书，他们可以建立关于我们每个人的亲密档案，“它补充道。

我们执行严格的隐私协议和标准来保护人们的个人信息，包括行业领先的使用数据进行实时竞价的保障措施。我们不允许广告商根据敏感的个人数据选择广告，我们也不与广告商共享人们的敏感个人数据、浏览历史或个人资料。我们在谷歌的广告交易平台上对广告买家进行审计，如果发现违反我们的政策，我们会采取行动。

我们还联系了欧洲IAB，请他们对这份报告发表评论。一位女发言人告诉我们，它将在明天做出回应。

在回应ICCL提交的文件时，DPC的副局长Graham Doyle发送了这样的声明：“DPC已经提供了关于这一问题的广泛的最近更新和通信，包括一次会议。调查已经取得进展，并向有关方面提供了下一步行动的全面最新情况。“。

然而，在多伊尔言论的后续行动中，瑞安告诉TechCrunch，当DPC提到“全面更新”时，他“不知道”指的是什么。关于“下一步”，他表示，监管机构通知他，它将在9月15日致信后的四周内出具一份文件，列出它认为的问题所在。

瑞安特别关注的是，DPC的调查似乎不包括安全-这是RTB投诉的症结所在，因为GDPR的安全原则要求处理器有义务确保数据得到安全处理，并保护数据免受未经授权的处理或丢失。(而RTB在互联网上广播个人数据，根据投诉人早先收集的证据，在这个过程中泄露了高度敏感的信息。)。

他告诉TechCrunch，监管机构终于在2020年5月给他发了一封信，回应他要求知道调查范围的请求-当时表示正在调查以下问题：

谷歌是否有合法基础处理个人数据，包括特殊类别数据，以便通过授权买家机制进行定向广告，特别是与其他公司/合作伙伴采购、共享和合并谷歌收集的个人数据；

谷歌如何履行其透明度义务，特别是关于GDPR第5条第(1)款、第12条、第13条和第14条的义务；

谷歌保留在认可买家机制下处理的个人资料的法律依据，以及就保留经认可买家机制处理的个人资料而言，谷歌如何遵守第5(1)(C)条；

我们已经要求DPC确认其对谷歌广告技术的调查是否也在检查GDPR第5(1)f条的遵守情况，并将以任何回应更新本报告。

DPC没有回应我们关于瑞安两年前投诉的任何决定草案的时间问题。但多伊尔也指出，我们今年要围绕cookie和其他跟踪技术开展工作-包括合规使用指导-并补充说，它已经制定了从下个月开始相关执法的意图，届时行业遵守跟踪规则的六个月宽限期将过去。

监管机构还指出了另一项相关的公开调查-对广告技术资深人士Quantcast的调查，也是从2019年5月开始的。(那次调查是在隐私权倡导组织隐私国际(Privacy International)提交意见书之后进行的。)。

DPC表示，Quantcast的调查正在审查为广告定向目的处理互联网用户数据所声称的法律基础，并考虑是否履行了透明度和数据保留义务。目前也不清楚监管机构是否在考虑该案中数据的安全性。*DPC年度报告中对Quantcast调查范围的摘要称：

特别是，DPC正在检查Quantcast是否履行了其在处理和汇总个人数据方面的义务，这些个人数据是为了分析和利用为定向广告生成的个人资料而进行的。此次调查正在审查Quantcast如何履行其义务，以及在多大程度上履行了对个人透明的义务，涉及它对个人数据的处理(包括收集、合并和向客户提供数据的来源)以及Quantcast的个人数据保留做法。调查还将审查进行处理所依据的法律基础。

尽管爱尔兰仍因跨境GDPR调查的缓慢步伐而面临巨大压力，但鉴于爱尔兰是许多主要科技平台的主要监管机构，爱尔兰并不是唯一家被指在执法方面袖手旁观的欧盟监管机构。

英国数据监管机构同样面临着未能对RTB投诉采取行动的愤怒-尽管承认存在系统性违规行为。在该案中，在监管机构几个月来无所作为之后，ICO在今年早些时候宣布，由于新冠肺炎疫情导致业务中断，它已经“暂停”了对该行业处理互联网用户个人数据的调查。