[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

1. 以下內容摘錄⾃「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」 https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/ • Regulation (法規)、Articles (條款，條⽂)、Recital (釋義) • Directive (⾏政命令?) • ePrivacy 是針對電⼦通訊相關的隱私資料保護， o ePrivacy Directive (officially known as the Privacy and Electronic Communications Directive, 2002/58/EC) o ePrivacy Regulation 還在⽴法過程中 GDPR Chapter 1 • 認識 GDPR 的三種角⾊ ! o DATA SUBJECT - 網站/廣告受眾 o DATA CONTROLLER - 網站主 o DATA PROCESSOR - 廣告平台  

2. Chapter 2 • GDPR 與 ePrivacy 的四⼤領域 • 從技術角度說明這兩個新法規對 AdTech 有何意義   2.1: 四⼤領域 (1) 個資 Personal Data   • 原本 AdTech / MarTech 廠商的隱私條款建⽴在「沒有蒐集並處理個資」(因為多數瀏覽⾏為都是匿名的狀態） • 個資 Personal Data • 匿名資料 Anonymous Data o 無法⽤來識別「⾃然⼈（natural person）」的資料 o 不受 GDPR 規範 (Recital 26 GDPR) • 化名資料 Pseudonymous Data o 透過雜湊(Hash)或加密⽅式處理過的資料 o Article 4 (5) GDPR • 敏感資料 Sensitive Data o 宗教信仰、種族、政治⽴場、交易會員、健康資訊、性⽣活、性取向 o 需要額外的保護型態個資匿名資料化名資料裝置資訊 IDFA 識別碼 Apple iPhone 7 hash(IDFA 識別碼) 電⼦郵件 gdpr@example.com example.com hash(gdpr@example.com) 瀏覽⾏為來源 IP 到訪數 500 次 hash(造訪歷史,URL1,URL2,URL3) 地址台北市XXX區XXX路 XXX號ＸＸ樓郵遞區號 200 台北市年齡⽣⽇ 1971-11-24 年齡區間 45-54 出⽣年 1971

3. • 數位廣告投放會踩到 GDPR 的個資 o Cookie IDs (visitor identifiers stored in cookies) o 位址 IP addresses o 裝置廣告識別碼 Device IDs o 裝置指紋 Device fingerprints • 蒐集以上個資必須採取「去識別化、化名」或「加密」的動作   2.2: 四⼤領域 (2) ⽤⼾同意與⽤⼾權益 User Consent and User Rights   — 2.2.1: ⽤⼾同意 User Consent   • ⽤⼾同意 User Consent o 網站主與廣告平台都需要載明「資料蒐集的⽬的、資料處理的流程、資料分享的對象、資料保存的期限」 o 網站主在偵測到擋廣告軟體時，阻⽌訪客繼續讀取的做法是否違反，⽬前還狀況不明。  • 在 2018-05-25 ⽣效前，需要做的事情 o 對網站主來說：  根據 GDPR Recital 171 ，過去⽤⼾同意的隱私權聲明，不能視為同意 GDPR 隱私聲明，因此網站主（如電商平台）必須透過 e-mail (GDPR 認可的⽅式) 要求重新同意使⽤歷史資料。 o 對廣告平台來說：  因為是間接取得訪客個資（如 cookie matching），所以相對難解 GDPR 這個難題，做法從⼤量刪除歷史資料到完全不做處理，後者可能會造成財務上的損失。   TODO 1 — [ ] 廣告平台必須盤點 DMP, DSP, SSP 資料庫中蒐集到的 Cookie, IP

4. • 對網站主 (Publisher) 來說，取得⽤⼾同意的建議⽅式 o 使⽤Popup 對話框來詢問是否同意蒐集 ! o 依照 GDPR 的規範，徵求同意的內容必須包含以下幾項： ▪ (1) 網站主名稱將與哪些廣告平台名稱共享資料 ▪ (2) 蒐集資料的⽬的 ▪ (3) 資料保存的期限 ▪ (4) 諮詢窗⼜與隱私聲明連結 ▪ (5) 不同意或 (6) 同意 o 可能會有以下三種狀況 ▪ 取得「同意」 ▪ 取得「不同意」 ▪ 沒有取得回應（No answer given）→ 不可視為「同意」

5. ! • 根據⽬前 ePrivacy 的草案，未來將不能再使⽤ Cookie wall 或 Cookie Banner 的⽅式  「假定」使⽤者同意蒐集資料。 !

6. —— 2.2.1.1: 對程序化購買⽣態圈⽽⾔，取得⽤⼾同意是⼀個難題 User Consent via Browser Settings   • 對網站主(Publisher) ⽽⾔，埋越多程式碼，因為不可能逐⼀詢問使⽤者的同意，因此很容易違反隱私條款，所以他們最好跟 AdTech Partner 簽署「Data Processing Agreement (DPA)」。 • 網站主可能埋很多不同的追蹤碼，包括廣告 Ad、分析 Analytics、隱私 Privacy、追蹤 Tracker、Widget    例如： https://trackermap.evidon.com/?token=9PIUW1 ! TMZ.com 埋了 425 個 Tag，有兩個回應速度⾼於 500ms

7. • 根據 PageFair 在 2017 年九⽉做的調查「what percentage will consent to tracking for advertising?」，如果網站主彈出以下視窗，有 79% 的調查受訪者認為訪客會選「不同意」!! !   —— 2.2.1.2: 基於瀏覽器設定來取得⽤⼾同意 User Consent via Browser Settings   • ⽬前 ePrivacy 法令草案第 20 條釋義 (Recital 20) 建議從「瀏覽器設定」著⼿，以便於解決網站主(Publisher) 蒐集使⽤者同意的技術困難點。然⽽，還沒有辦法確保各⼤瀏覽器有辦法遵循此釋義。  

8. —— 2.2.1.3: 正當理由 Legitimate Interests   • 在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接⾏銷⽬的 (direct-marketing purposes)」，可構成正當理由 ( Legitimate Interests , 合法利益 ) ! • 因此線上廣告可視為「基於正當理由，在不徵求使⽤者同意的狀況下，蒐集並處理個資 (Ex. cookie,IP)」。但是不代表根據⽤⼾⾏為的「再⾏銷 (Retargeting)」是否同時適⽤此釋義。  • 此外，ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制⼀定要徵求使⽤者同意，舉凡 cookie, IP 位址, GPS 座標，甚至 device fingerprint 等不正當追蹤使⽤者⾏為的技術，都被視為嚴重侵犯使⽤者隱私權。 • 雖然許多廣告與⾏銷遊說團體希望能將正當理由放進 ePrivacy 法案，但⽬前來說在不徵求同意的情形下，還是有蠻⾼的風險。   — 2.2.2: 使⽤者權益 User Right   • 依照 GDPR 第 59 條釋義，使⽤者有權要求公司在⼀個⽉內⾏使以下權益： o 被告知的權益 - The right to be informed o 諮詢的權利 - The right to be informed (現⾏個資法已包含) o 修正的權利 - The right to rectification o 刪除的權利 (被遺忘權) - The right to erasure = right to be forgotten o 限制資料處理的權利 - The right to restrict processing o 調閱的權利 - The right to data portability ( 結構化、通⽤、可供機器讀取的格式 ) o 反對的權利 - The right to object  

9. 2.3: 四⼤領域 (3) 個資外洩 Data Breaches   • 定義：個資被不具授權的第三者讀取、複製或使⽤。 — GDRP 第 4 條 (12)   • 由於個資外洩已被視為無法避免，因此 GDPR 第 33 條規定必須在 72 ⼩時內通報  「主管機關」(Supervisory Authority)，也就是 principal EU regulator • 備註：GDPR 提到不需要告知使⽤者，如果已經對資料進⾏加密。 On a more positive note, the GDPR states that companies aren't required to inform data subjects about a breach if the appropriate technical and organizational protection measures, such as encryption, have been put in place and applied to the data.   2.4: 四⼤領域 (4) 個資保護 Data Protection by Design and by Default   1. 去識別化並對資料做加密 2. data minimization - 只存必要資訊 3. 不要蒐集不必要的裝置資訊 4. 定義 Data Protection Impact Assessment (DPIA)   Chapter 3   Tier 1   • 罰 Max( ⼀千萬歐元 , 2% 全球年營業額 ) 如果違反以下條款： o GDPR 第 8 條 - 跟兒童取得同意使⽤其資料 o GDPR 第 11 條 - 不正當對資料進⾏處理 o GDPR 第 39 條 - 沒設⽴資料保護長 (data-protection officer, DPO) o GDPR 第 41, 42, 43 條 o GDPR 第 25 條 - 沒做資料保護 ( Data protection by design and by default )  

10. Tier 2   • 罰 Max( ⼆千萬歐元 , 4% 全球年營業額 ) 如果違反以下條款： o GDPR 第 7 條 - 違反使⽤者同意的條件 o GDPR 第 9 條 - 處理敏感個資 o GDPR 第 12~22 條 - 違反使⽤者權益 o GDPR 第 44~49 條 - 將資料轉予第三國 