İrlanda Sivil Özgürlükler Konseyi (ICCL) tarafından bugün yayınlanan, gerçek zamanlı teklif verme (RTB) sisteminin web kullanıcılarının bilgilerini izleme ve reklam hedefleme için kullanımına ilişkin yeni veriler, Google’a ve diğer önemli oyunculara yüksek hız, gözetleme konusunda önerilerde bulunuyor. tabanlı reklam açık artırma sistemi, insanların verilerini günde milyarlarca kez işliyor ve geçiriyor.
ICCL, “RTB, şimdiye kadar kaydedilen en büyük veri ihlalidir” diyor. “İnsanların çevrimiçi olarak gördüklerini ve gerçek dünyadaki konumlarını her gün ABD’de 294 milyar kez ve Avrupa’da 197 milyar kez izliyor ve paylaşıyor.”
ICCL’ler raporHaklar kuruluşunun gizli bir kaynaktan elde ettiğini söylediği sektör rakamlarına dayanan , ABD eyaletleri ve Avrupa ülkelerinde kişi başına günlük tahmini bir RTB sunuyor ve bu da Colorado ve Birleşik Krallık’taki web kullanıcılarının bu bilgilere en çok maruz kalanlar arasında olduğunu gösteriyor. sistem — kişi başına günlük 987 ve 462 RTB yayını ile.
Ancak, çizelgenin en altında, Columbia Bölgesi veya Romanya’da yaşayan çevrimiçi bireyler bile, rapora göre bilgilerini RTB tarafından günde yaklaşık 486 kez veya günde 149 kez ifşa ediyor.
ICCL, ABD’de yaşayan insanların çevrimiçi etkinliklerinin ve gerçek dünyadaki konumlarının Avrupa’daki insanlardan %57 daha sık açığa çıktığını hesaplıyor – muhtemelen iki bölge arasındaki gizlilik düzenlemelerindeki farklılıkların bir sonucu olarak.
Toplu olarak, ICCL, ABD’li İnternet kullanıcılarının çevrimiçi davranışlarının ve konumlarının yılda 107 trilyon kez izlenip paylaşıldığını, Avrupalıların verilerinin ise yılda 71 trilyon kez ifşa edildiğini tahmin ediyor.
“Ortalama olarak, ABD’deki bir kişinin çevrimiçi etkinliği ve konumu, RTB endüstrisi tarafından her gün 747 kez ifşa oluyor. Avrupa’da, RTB insanların verilerini günde 376 kez ifşa ediyor,” diye yazıyor ve ekliyor: “Avrupalıların ve ABD’li İnternet kullanıcılarının özel verileri, o sırada ne olduğunu kontrol etmenin hiçbir yolu olmaksızın Rusya ve Çin de dahil olmak üzere dünyanın dört bir yanındaki firmalara gönderiliyor. verilerle yapılır.”
ICCL şu uyarıyı içerdiğinden, raporun rakamları muhtemelen RTB’nin tam kapsamına ilişkin muhafazakar bir tahmindir: “[T]RTB yayınları için düşük bir tahmin olarak sunulan rakamlar. Güvendiğimiz sektör rakamları Facebook veya Amazon RTB yayınlarını içermiyor.”
Rapora göre, RTB sistemindeki en büyük oyuncu olan Google, 4.698 şirketler ABD’deki insanlar hakkında RTB verilerini alırken, geçen yıl Aralık ayında RTB’yi satın aldığında RTB’ye katılımını artıran Microsoft AT&T’den adtech firması Xandr – 1’e veri gönderebileceğini söylüyor,647 şirket.
RTB verileri İnternet üzerinden yayınlandığından bu da muhtemelen buzdağının görünen kısmıdır – yani, işleri veri dosyalarını derleyerek insanları çiftçilik yapan veri komisyoncuları gibi resmi olarak listelenmemiş RTB “ortakları” tarafından müdahale ve istismar için olgunlaşmıştır. örneğin web etkinliğini adlandırılmış bir bireye bağlamak için cihaz kimlikleri, cihaz parmak izi, konum vb. bilgileri kullanarak bireysel web kullanıcılarını kâr amacıyla yeniden tanımlamak ve profillendirmek.
Yıllardır RTB hakkında gizlilik ve güvenlik endişeleri dile getirildi – özellikle Avrupa’da, insanların bilgilerinin bu kadar sistematik bir şekilde kötüye kullanılmasını önlemesi gereken yasaların olduğu yerlerde. Ancak, bir dizi konum izleme ve veri paylaşımı skandalını takiben ABD’de de konuyla ilgili farkındalık artıyor.
ABD’nin en yüksek mahkemesinin Roe v Wade’i – kürtaj için anayasal korumayı kaldırarak – bozmaya hazırlandığını öne süren bu ayın başlarında sızdırılan Yüksek Mahkeme görüşü, endişeleri daha da artırdı ve ülke genelinde şok dalgaları gönderdi, bazı yorumcular kadınları derhal dönem izleme uygulamalarını silin ve dijital güvenliklerine ve gizlilik hijyenlerine çok dikkat edin.
Buradaki endişe, reklam izlemenin hamile olan ve/veya kürtaj hizmetleri arayan kadınları ve kişileri belirlemek için kullanılabilecek kişisel verileri açığa çıkarabilmesidir.
Birçok ABD eyaleti şimdiden kürtaja erişimi büyük ölçüde kısıtladı. Ancak Yüksek Mahkeme Roe v Wade’i bozarsa, bazı eyaletlerin kürtajı tamamen yasaklaması bekleniyor – bu, hamile kalabilecek kişilerin, kürtaj hizmetleri veya konum takibi veya diğer veri türleri için herhangi bir çevrimiçi arama yaptığı için çevrimiçi gözetimden daha fazla risk altında olacağı anlamına geliyor. dijital etkinliklerinin madenciliği, yasadışı bir kürtaj elde etmek veya elde etmek için onlara karşı bir dava oluşturmak için kullanılabilir.
Bu arada, önceki ICCL raporlarının tüyler ürpertici ayrıntılarla detaylandırdığı gibi, web kullanıcılarına ilişkin son derece hassas kişisel veriler, reklam hedefleme amacıyla rutin olarak emilir ve paylaşılır. Veri komisyoncusu endüstrisi ayrıca ticaret yapmak ve satmak için bireyler hakkında bilgi toplar – ve özellikle ABD’de insanların konum verilerinin elde edilmesi çok kolay görünüyor.
Örneğin, geçen yıl ABD’de üst düzey bir Katolik rahip, istifa ettiği bildirildi Telefonunda, konum tabanlı eşcinsel ilişki uygulaması Grindr’ın kullanıldığını gösteren verilerin elde edildiği iddiasına dayanarak cinselliğiyle ilgili iddialar ortaya atıldıktan sonra.
Çevrimiçi mahremiyetin olmaması, kadınların sağlık sorunlarını da olumsuz yönde etkileyebilir – Karaca sonrası bir dünyada kürtaj isteyen hamileleri suç haline getirmek için bilgi toplamayı kolaylaştırabilir.
“Yayınlandıktan sonra RTB verilerinin kullanımını kısıtlamanın bir yolu yok”, ICCL raporda vurguluyor. “Veri simsarları bunu Black Lives Matter protestocularının profilini çıkarmak için kullandı. ABD İç Güvenlik Bakanlığı ve diğer kurumlar, izinsiz telefon takibi için kullandı. Grindr’ı kullanması yoluyla eşcinsel bir Katolik rahibin dışarı çıkmasıyla ilişkilendirildi. ICCL, cinsel istismara maruz kalmış muhtemel kişileri ortaya çıkaran RTB verilerinin satışını ortaya çıkardı.”
Rapor, ABD’nin aksine bölgenin kapsamlı bir veri koruma çerçevesine sahip olması nedeniyle özellikle Avrupalı düzenleyiciler için önemli bir soru işareti oluşturuyor. Genel Veri Koruma Yönetmeliği (GDPR), Mayıs 2018’den beri AB genelinde yürürlüktedir ve düzenleyicilerin, bu gizlilik haklarını kontrol dışı reklam teknolojilerine karşı yıllardır uygulamış olmaları gerekirdi.
Bunun yerine, bunu yapmak için toplu bir isteksizlik var – muhtemelen bireysel izleme ve profil oluşturma teknolojisinin web altyapısına ne kadar kapsamlı ve yaygın bir şekilde yerleştirildiğinin bir sonucu olarak, reklam teknolojisi endüstrisinin, İnternet kullanıcıları olursa ücretsiz web’in hayatta kalamayacağına dair yüksek sesle iddialarla birleştiğinde. ‘özel hayatın gizliliğine saygı duyulur. (Bu tür iddialar, işlev görmek için bireysel web kullanıcılarının etkinliğinin izlenmesini ve profilinin çıkarılmasını gerektirmeyen ve izleme dışı arama için olduğu gibi yıllardır kârlı olduğu gösterilen bağlamsal gibi alternatif reklam hedefleme biçimlerinin varlığını görmezden gelir. motor, DuckDuckGo.)
İrlanda Veri Koruma Komisyonu (DPC) tarafından birkaç RTB şikayetinin ardından üç yıl önce (Mayıs 2019) Google’ın reklam teknolojisine yönelik açılan bir soruşturma – görünüşe göre – devam ediyor. Ama herhangi bir karar çıkmadı.
Birleşik Krallık’ın ICO’su ayrıca, 2019’dan bu yana davranışsal reklam endüstrisinin çılgınca kontrolden çıktığı yönündeki bir görüşü dile getirmesine rağmen, 2018’de yapılan şikayetlerin ardından RTB’ye karşı yaptırım eylemlerini defalarca aradı. Ve geçen sonbaharda bir ayrılık atışında, giden bilgi komisyoncusu Elizabeth Denham, endüstriyi anlamlı gizlilik reformları yapmaya çağırdı.
O zamandan beri, web kullanıcılarının reklam izlemeye yönelik onayını toplamaya yönelik amiral gemisi bir reklam teknolojisi endüstrisi mekanizmasının — IAB Avrupa’nın kendine özgü Şeffaflık ve Rıza Çerçevesi (TCF) — Belçika’nın veri koruma yetkilisi tarafından GDPR’yi ihlal ettiği tespit edildi.
Şubat 2022 tarihli kararı da IAB’nin kendisini hatalı buldu ve sektör kuruluşuna bir reform planı sunması için iki ay ve bunu uygulaması için altı ay verdi. (Not: Google ve IAB, RTB için standartları belirleyen iki kurumdur.)
Bu rıza sorunu, Avrupa’nın GDPR’si kapsamında RTB’ye karşı (sağlam) bir şikayettir. Bununla birlikte, ICCL’nin endişesi güvenlik üzerine odaklanmıştır – çünkü internet üzerinden binlerce “ortağa” yayınlayarak reklam yerleştirmek için insanların verilerinin yüksek hızda, büyük ölçekli ticaretinin (aynı zamanda, bilinmeyen diğerlerinin puanları) doğası gereği güvensizdir. Ve, rıza sorunlarından bağımsız olarak, GDPR, insanların bilgilerinin yeterince korunmasını gerektirir – bu nedenle, RTB’yi “şimdiye kadarki en büyük veri ihlali” olarak çerçeveliyor.
Mart ayında, ICCL, düzenleyiciyi RTB şikayetleri (bazıları GDPR’nin yürürlüğe girdiği yıl sunulmuş olan) konusunda yıllarca hareketsiz kalmakla suçlayarak DPC’ye dava açmayı planladığını duyurdu. O dava hala devam ediyor.
Ayrıca, AB ombudsmanına, Avrupa Komisyonu’nun düzenlemenin uygulanmasını düzgün bir şekilde izlemediğinden şikayet etmek için başvurdu – bu, öncekinin Komisyonun bu yılın başlarında aksine iddialarına bakmak için bir soruşturma açmasına yol açtı.
ICCL’ye göre, AB yöneticisinin ombudsperson’a bilgi sunması için talep edilen son tarih, dün herhangi bir sunulmadan geçti ve Komisyonun talep edilen verileri sağlamak için 10 gün daha istediği bildirildi – bu da GDPR’nin dört yıllık yıldönümünü gösteriyor. (25 Mayıs 2018) bu arada geçecek (belki de ombudsman bir karar verecek konumda olsaydı yapabileceğinden biraz daha sessiz)…
“GDPR’nin dördüncü yıl dönümüne yaklaşırken, tüm zamanların en büyük veri ihlaline ilişkin verileri yayınlıyoruz. Ve Avrupa Komisyonu’nun, özellikle de komiserin bir iddianamesidir. [Didier] ICCL’nin kıdemli üyesi Johnny Ryan, TechCrunch’a verdiği demeçte, bu veri ihlalinin her gün tekrarlandığını söyledi.
“Komisyonun işini yapmasının ve İrlanda’yı GDPR’yi doğru bir şekilde uygulamaya zorlamasının zamanı geldi” diye ekledi.
Ayrıca Google, Microsoft, DPC ve Avrupa Komisyonu ile ICCL’nin raporuyla ilgili sorularla temasa geçtik, ancak bu raporun yazıldığı sırada hiçbiri yanıt vermemişti.
Ryan bize, ICCL’nin ayrıca “çevrimiçi reklamcılıktaki gizlilik krizinin” ölçeğini vurgulamak için ABD’li milletvekillerine yazdığını ve özellikle FTC’ye yeterli uygulama kaynaklarının sağlandığından emin olmak için Rekabet Politikası, Antitröst ve Tüketici Hakları Senato Alt Komitesine baskı yaptığını söyledi. böylece “bu muazzam ihlale karşı” acil önlem alabilir.
İncelediğimiz mektupta ICCL, ABD vatandaşları hakkındaki özel verilerin Rusya ve Çin de dahil olmak üzere dünyanın dört bir yanındaki firmalara “daha sonra verilerle ne yapıldığını kontrol etmenin herhangi bir yolu olmaksızın” gönderildiğine dikkat çekiyor.
Avrupa’da savaş, bu gözetim reklam teknolojisi hikayesine kesinlikle başka bir boyut katıyor.
Rusya’nın bu yılın başlarında Ukrayna’yı işgali, adtech’in web kullanıcılarını kitlesel gözetimi konusunda ek endişeleri artırdı – örneğin, vatandaşların verilerinin çevrimiçi izleme yoluyla Rusya ve müttefiki Çin gibi düşman üçüncü ülkelere geri dönüş yolunu bulup bulmadığı.
Mart ayında, Finansal Zamanlar Çok sayıda uygulamanın, kullanıcı verilerini Rus hükümetinin erişebileceği Rusya’daki sunuculara geri göndermekle suçlanan Rus arama devi Yandex tarafından yapılan SDK teknolojisini içerdiğini bildirdi.
Avrupa’da GDPR, kişisel verilerin blok dışına ihracatının, Avrupa’da işlenirken veya saklanırken vatandaşların bilgilerinin paketlenmesi gerektiği gibi aynı standartta korunmasını gerektirir.
Temmuz 2020’de çığır açan bir AB kararı, bloğun üst mahkemesinin ABD hükümetinin toplu gözetim programlarına bağlı güvenlik endişeleri nedeniyle amiral gemisi bir AB-ABD veri aktarım anlaşmasını iptal ettiğini gördü – mahkeme, riskli üçüncü ülkelere uluslararası veri akışları konusunda süregelen yasal belirsizlik yarattı. AB düzenleyicilerinin proaktif olarak veri ihracatını izlemesi ve yeterli veri korumasından yoksun yargı bölgelerine herhangi bir veri akışını askıya almak için adım atması ihtiyacı.
Adtech’teki kilit oyuncuların çoğu ABD merkezlidir – verilerin yasal olarak dışa aktarılması için AB yasalarının gerektirdiği yüksek standart göz önüne alındığında, gölet üzerinde de gerçekleşen sektör tarafından Avrupalıların verilerinin herhangi bir şekilde işlenmesinin yasallığı hakkında sorular ortaya çıkarmaktadır.