Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

本文內容摘錄自「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」並加入中文翻譯
https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

[筆記] GDPR 與 ePrivacy 法案對線上廣告生態圈的影響

  1. 1. 以下內容摘錄⾃ 「GDPR & ePrivacy: The Effect on AdTech & MarTech From a Technical Perspective」 https://clearcode.cc/blog/gdpr-eprivacy-adtech-martech/ • Regulation (法規)、Articles (條款,條⽂)、Recital (釋義) • Directive (⾏政命令?) • ePrivacy 是針對電⼦通訊相關的隱私資料保護, o ePrivacy Directive (officially known as the Privacy and Electronic Communications Directive, 2002/58/EC) o ePrivacy Regulation 還在⽴法過程中 GDPR Chapter 1 • 認識 GDPR 的三種角⾊ ! o DATA SUBJECT - 網站/廣告受眾 o DATA CONTROLLER - 網站主 o DATA PROCESSOR - 廣告平台 

  2. 2. Chapter 2 • GDPR 與 ePrivacy 的四⼤領域 • 從技術角度說明這兩個新法規對 AdTech 有何意義 
 2.1: 四⼤領域 (1) 個資 Personal Data 
 • 原本 AdTech / MarTech 廠商的隱私條款建⽴在「沒有蒐集並處理個資」(因為多數瀏覽 ⾏為都是匿名的狀態) • 個資 Personal Data • 匿名資料 Anonymous Data o 無法⽤來識別「⾃然⼈(natural person)」的資料 o 不受 GDPR 規範 (Recital 26 GDPR) • 化名資料 Pseudonymous Data o 透過雜湊(Hash)或加密⽅式處理過的資料 o Article 4 (5) GDPR • 敏感資料 Sensitive Data o 宗教信仰、種族、政治⽴場、交易會員、健康資訊、性⽣活、性取向 o 需要額外的保護 型態 個資 匿名資料 化名資料 裝置資 訊 IDFA 識別碼 Apple iPhone 7 hash(IDFA 識別碼) 電⼦郵 件 gdpr@example.com example.com hash(gdpr@example.com) 瀏覽⾏ 為 來源 IP 到訪數 500 次 hash(造訪歷 史,URL1,URL2,URL3) 地址 台北市XXX區XXX路 XXX號XX樓 郵遞區號 200 台北市 年齡 ⽣⽇ 1971-11-24 年齡區間 45-54 出⽣年 1971
  3. 3. • 數位廣告投放會踩到 GDPR 的個資 o Cookie IDs (visitor identifiers stored in cookies) o 位址 IP addresses o 裝置廣告識別碼 Device IDs o 裝置指紋 Device fingerprints • 蒐集以上個資必須採取「去識別化、化名」或「加密」的動作 
 2.2: 四⼤領域 (2) ⽤⼾同意與⽤⼾權益 User Consent and User Rights 
 — 2.2.1: ⽤⼾同意 User Consent 
 • ⽤⼾同意 User Consent o 網站主與廣告平台都需要載明「資料蒐集的⽬的、資料處理的流程、資料分享的 對象、資料保存的期限」 o 網站主在偵測到擋廣告軟體時,阻⽌訪客繼續讀取的做法是否違反,⽬前還狀況 不明。
 • 在 2018-05-25 ⽣效前,需要做的事情 o 對網站主來說:
 根據 GDPR Recital 171 ,過去⽤⼾同意的隱私權聲明,不能視為同意 GDPR 隱私 聲明,因此網站主(如電商平台)必須透過 e-mail (GDPR 認可的⽅式) 要求重新 同意使⽤歷史資料。 o 對廣告平台來說:
 因為是間接取得訪客個資(如 cookie matching),所以相對難解 GDPR 這個難 題,做法從⼤量刪除歷史資料到完全不做處理,後者可能會造成財務上的損失。 
 TODO 1 — [ ] 廣告平台必須盤點 DMP, DSP, SSP 資料庫中蒐集到的 Cookie, IP
  4. 4. • 對 網站主 (Publisher) 來說,取得⽤⼾同意的建議⽅式 o 使⽤Popup 對話框來詢問是否同意蒐集 ! o 依照 GDPR 的規範,徵求同意的內容必須包含以下幾項: ▪ (1) 網站主名稱 將與哪些 廣告平台名稱 共享資料 ▪ (2) 蒐集資料的⽬的 ▪ (3) 資料保存的期限 ▪ (4) 諮詢窗⼜與隱私聲明連結 ▪ (5) 不同意 或 (6) 同意 o 可能會有以下三種狀況 ▪ 取得「同意」 ▪ 取得「不同意」 ▪ 沒有取得回應(No answer given)→ 不可視為「同意」
  5. 5. ! • 根據⽬前 ePrivacy 的草案,未來將不能再使⽤ Cookie wall 或 Cookie Banner 的⽅式
 「假定」使⽤者同意蒐集資料。 !
  6. 6. —— 2.2.1.1: 對程序化購買⽣態圈⽽⾔,取得⽤⼾同意是⼀個難題 User Consent via Browser Settings 
 • 對 網站主(Publisher) ⽽⾔,埋越多程式碼,因為不可能逐⼀詢問使⽤者的同意,因此 很容易違反隱私條款,所以他們最好跟 AdTech Partner 簽署「Data Processing Agreement (DPA)」。 • 網站主可能埋很多不同的追蹤碼,包括廣告 Ad、分析 Analytics、隱私 Privacy、追蹤 Tracker、Widget
 
 例如: https://trackermap.evidon.com/?token=9PIUW1 ! TMZ.com 埋了 425 個 Tag,有兩個回應速度⾼於 500ms
  7. 7. • 根據 PageFair 在 2017 年九⽉做的調查「what percentage will consent to tracking for advertising?」,如果網站主彈出以下視窗,有 79% 的調查受訪者認為訪客會選「不同 意」!! ! 
 —— 2.2.1.2: 基於瀏覽器設定來取得⽤⼾同意 User Consent via Browser Settings 
 • ⽬前 ePrivacy 法令草案第 20 條釋義 (Recital 20) 建議從「瀏覽器設定」著⼿,以便於解 決 網站主(Publisher) 蒐集使⽤者同意的技術困難點。然⽽,還沒有辦法確保各⼤瀏覽 器有辦法遵循此釋義。 

  8. 8. —— 2.2.1.3: 正當理由 Legitimate Interests 
 • 在 GDPR 第 47 條釋義 (Recital 47) 中提到為了「直接⾏銷⽬的 (direct-marketing purposes)」,可構成正當理由 ( Legitimate Interests , 合法利益 ) ! • 因此線上廣告可視為「基於正當理由,在不徵求使⽤者同意的狀況下,蒐集並處理個資 (Ex. cookie,IP)」。但是不代表根據⽤⼾⾏為的「再⾏銷 (Retargeting)」是否同時適⽤此 釋義。
 • 此外,ePrivacy 法令草案裡第 20 條釋義 (Recital 20) 中強制⼀定要徵求使⽤者同意,舉 凡 cookie, IP 位址, GPS 座標,甚至 device fingerprint 等不正當追蹤使⽤者⾏為的技術, 都被視為嚴重侵犯使⽤者隱私權。 • 雖然許多廣告與⾏銷遊說團體希望能將正當理由放進 ePrivacy 法案,但⽬前來說在不徵 求同意的情形下,還是有蠻⾼的風險。 
 — 2.2.2: 使⽤者權益 User Right 
 • 依照 GDPR 第 59 條釋義,使⽤者有權要求公司在⼀個⽉內⾏使以下權益: o 被告知的權益 - The right to be informed o 諮詢的權利 - The right to be informed (現⾏個資法已包含) o 修正的權利 - The right to rectification o 刪除的權利 (被遺忘權) - The right to erasure = right to be forgotten o 限制資料處理的權利 - The right to restrict processing o 調閱的權利 - The right to data portability ( 結構化、通⽤、可供機器讀取的格式 ) o 反對的權利 - The right to object 

  9. 9. 2.3: 四⼤領域 (3) 個資外洩 Data Breaches 
 • 定義:個資被不具授權的第三者讀取、複製或使⽤。 — GDRP 第 4 條 (12) 
 • 由於個資外洩已被視為無法避免,因此 GDPR 第 33 條規定必須在 72 ⼩時內通報
 「主管機關」(Supervisory Authority),也就是 principal EU regulator • 備註:GDPR 提到不需要告知使⽤者,如果已經對資料進⾏加密。 On a more positive note, the GDPR states that companies aren't required to inform data subjects about a breach if the appropriate technical and organizational protection measures, such as encryption, have been put in place and applied to the data. 
 2.4: 四⼤領域 (4) 個資保護 Data Protection by Design and by Default 
 1. 去識別化並對資料做加密 2. data minimization - 只存必要資訊 3. 不要蒐集不必要的裝置資訊 4. 定義 Data Protection Impact Assessment (DPIA) 
 Chapter 3 
 Tier 1 
 • 罰 Max( ⼀千萬歐元 , 2% 全球年營業額 ) 如果違反以下條款: o GDPR 第 8 條 - 跟兒童取得同意使⽤其資料 o GDPR 第 11 條 - 不正當對資料進⾏處理 o GDPR 第 39 條 - 沒設⽴資料保護長 (data-protection officer, DPO) o GDPR 第 41, 42, 43 條 o GDPR 第 25 條 - 沒做資料保護 ( Data protection by design and by default ) 

  10. 10. Tier 2 
 • 罰 Max( ⼆千萬歐元 , 4% 全球年營業額 ) 如果違反以下條款: o GDPR 第 7 條 - 違反使⽤者同意的條件 o GDPR 第 9 條 - 處理敏感個資 o GDPR 第 12~22 條 - 違反使⽤者權益 o GDPR 第 44~49 條 - 將資料轉予第三國


×