IoT Cloud Platforms- Players, Vendors and Vertical Segments -20160519
[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響
1. 以下內容摘錄⾃
「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」
https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/
• Regulation (法規)、Articles (條款,條⽂)、Recital (釋義)
• Directive (⾏政命令?)
• ePrivacy 是針對電⼦通訊相關的隱私資料保護,
o ePrivacy Directive (officially known as the Privacy and Electronic Communications
Directive, 2002/58/EC)
o ePrivacy Regulation 還在⽴法過程中
GDPR
Chapter 1
• 認識 GDPR 的三種角⾊
!
o DATA SUBJECT - 網站/廣告受眾
o DATA CONTROLLER - 網站主
o DATA PROCESSOR - 廣告平台
2. Chapter 2
• GDPR 與 ePrivacy 的四⼤領域
• 從技術角度說明這兩個新法規對 AdTech 有何意義
2.1: 四⼤領域 (1) 個資 Personal Data
• 原本 AdTech / MarTech 廠商的隱私條款建⽴在「沒有蒐集並處理個資」(因為多數瀏覽
⾏為都是匿名的狀態)
• 個資 Personal Data
• 匿名資料 Anonymous Data
o 無法⽤來識別「⾃然⼈(natural person)」的資料
o 不受 GDPR 規範 (Recital 26 GDPR)
• 化名資料 Pseudonymous Data
o 透過雜湊(Hash)或加密⽅式處理過的資料
o Article 4 (5) GDPR
• 敏感資料 Sensitive Data
o 宗教信仰、種族、政治⽴場、交易會員、健康資訊、性⽣活、性取向
o 需要額外的保護
型態 個資 匿名資料 化名資料
裝置資
訊
IDFA 識別碼 Apple iPhone 7 hash(IDFA 識別碼)
電⼦郵
件
gdpr@example.com example.com hash(gdpr@example.com)
瀏覽⾏
為
來源 IP 到訪數 500 次 hash(造訪歷
史,URL1,URL2,URL3)
地址 台北市XXX區XXX路
XXX號XX樓
郵遞區號 200 台北市
年齡 ⽣⽇ 1971-11-24 年齡區間 45-54 出⽣年 1971
3. • 數位廣告投放會踩到 GDPR 的個資
o Cookie IDs (visitor identifiers stored in cookies)
o 位址 IP addresses
o 裝置廣告識別碼 Device IDs
o 裝置指紋 Device fingerprints
• 蒐集以上個資必須採取「去識別化、化名」或「加密」的動作
2.2: 四⼤領域 (2) ⽤⼾同意與⽤⼾權益 User Consent and User Rights
— 2.2.1: ⽤⼾同意 User Consent
• ⽤⼾同意 User Consent
o 網站主與廣告平台都需要載明「資料蒐集的⽬的、資料處理的流程、資料分享的
對象、資料保存的期限」
o 網站主在偵測到擋廣告軟體時,阻⽌訪客繼續讀取的做法是否違反,⽬前還狀況
不明。
• 在 2018-05-25 ⽣效前,需要做的事情
o 對網站主來說:
根據 GDPR Recital 171 ,過去⽤⼾同意的隱私權聲明,不能視為同意 GDPR 隱私
聲明,因此網站主(如電商平台)必須透過 e-mail (GDPR 認可的⽅式) 要求重新
同意使⽤歷史資料。
o 對廣告平台來說:
因為是間接取得訪客個資(如 cookie matching),所以相對難解 GDPR 這個難
題,做法從⼤量刪除歷史資料到完全不做處理,後者可能會造成財務上的損失。
TODO 1 — [ ] 廣告平台必須盤點 DMP, DSP, SSP 資料庫中蒐集到的 Cookie, IP
7. • 根據 PageFair 在 2017 年九⽉做的調查「what percentage will consent to tracking for
advertising?」,如果網站主彈出以下視窗,有 79% 的調查受訪者認為訪客會選「不同
意」!!
!
—— 2.2.1.2: 基於瀏覽器設定來取得⽤⼾同意 User Consent via Browser Settings
• ⽬前 ePrivacy 法令草案第 20 條釋義 (Recital 20) 建議從「瀏覽器設定」著⼿,以便於解
決 網站主(Publisher) 蒐集使⽤者同意的技術困難點。然⽽,還沒有辦法確保各⼤瀏覽
器有辦法遵循此釋義。
8. —— 2.2.1.3: 正當理由 Legitimate Interests
• 在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接⾏銷⽬的 (direct-marketing
purposes)」,可構成正當理由 ( Legitimate Interests , 合法利益 )
!
• 因此線上廣告可視為「基於正當理由,在不徵求使⽤者同意的狀況下,蒐集並處理個資
(Ex. cookie,IP)」。但是不代表根據⽤⼾⾏為的「再⾏銷 (Retargeting)」是否同時適⽤此
釋義。
• 此外,ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制⼀定要徵求使⽤者同意,舉
凡 cookie, IP 位址, GPS 座標,甚至 device fingerprint 等不正當追蹤使⽤者⾏為的技術,
都被視為嚴重侵犯使⽤者隱私權。
• 雖然許多廣告與⾏銷遊說團體希望能將正當理由放進 ePrivacy 法案,但⽬前來說在不徵
求同意的情形下,還是有蠻⾼的風險。
— 2.2.2: 使⽤者權益 User Right
• 依照 GDPR 第 59 條釋義,使⽤者有權要求公司在⼀個⽉內⾏使以下權益:
o 被告知的權益 - The right to be informed
o 諮詢的權利 - The right to be informed (現⾏個資法已包含)
o 修正的權利 - The right to rectification
o 刪除的權利 (被遺忘權) - The right to erasure = right to be forgotten
o 限制資料處理的權利 - The right to restrict processing
o 調閱的權利 - The right to data portability ( 結構化、通⽤、可供機器讀取的格式 )
o 反對的權利 - The right to object
9. 2.3: 四⼤領域 (3) 個資外洩 Data Breaches
• 定義:個資被不具授權的第三者讀取、複製或使⽤。 — GDRP 第 4 條 (12)
• 由於個資外洩已被視為無法避免,因此 GDPR 第 33 條規定必須在 72 ⼩時內通報
「主管機關」(Supervisory Authority),也就是 principal EU regulator
• 備註:GDPR 提到不需要告知使⽤者,如果已經對資料進⾏加密。
On a more positive note, the GDPR states that companies aren't
required to inform data subjects about a breach if the appropriate
technical and organizational protection measures, such as encryption,
have been put in place and applied to the data.
2.4: 四⼤領域 (4) 個資保護 Data Protection by Design and by Default
1. 去識別化並對資料做加密
2. data minimization - 只存必要資訊
3. 不要蒐集不必要的裝置資訊
4. 定義 Data Protection Impact Assessment (DPIA)
Chapter 3
Tier 1
• 罰 Max( ⼀千萬歐元 , 2% 全球年營業額 ) 如果違反以下條款:
o GDPR 第 8 條 - 跟兒童取得同意使⽤其資料
o GDPR 第 11 條 - 不正當對資料進⾏處理
o GDPR 第 39 條 - 沒設⽴資料保護長 (data-protection officer, DPO)
o GDPR 第 41, 42, 43 條
o GDPR 第 25 條 - 沒做資料保護 ( Data protection by design and by default )
10. Tier 2
• 罰 Max( ⼆千萬歐元 , 4% 全球年營業額 ) 如果違反以下條款:
o GDPR 第 7 條 - 違反使⽤者同意的條件
o GDPR 第 9 條 - 處理敏感個資
o GDPR 第 12~22 條 - 違反使⽤者權益
o GDPR 第 44~49 條 - 將資料轉予第三國