我认为在线广告生态系统在欧洲很可能是非法的,随着更多决定的出台,很明显它不能被重新设计以符合 GDPR 的范围。这是一个强有力的主张,但在我开始支持它之前,这里有一些我的背景:
-
我不是律师,也不是隐私法规方面的专家;这是我关注的内容,因为我对此很感兴趣。
- 我在广告行业工作到 2022 年 6 月,但我只代表我自己说话。我不希望回到这个行业。
那么,网站如何不合规?
当您访问欧洲站点或作为欧洲人访问国际站点时,您通常会看到如下提示:
在此屏幕截图中,El País 要求获得使用 cookie 和使用您的数据来个性化广告的许可。
他们为什么要问你?两个规则的组合:
-
电子隐私指令(2002) 要求网站在使用 cookie 或您设备上的其他存储之前征得您的同意,除非它们是提供您请求的服务所必需的。
-
GDPR (2016) 严格限制公司在未经您同意的情况下可以对您的数据执行的操作。
这个想法是,如果你点击“接受”,那么他们就可以说他们已经得到了你对他们所做的所有广告内容的同意。但我认为这不太可能符合 GDPR。
例如,在最近的一起案例中,法国的数据隐私监管机构CNIL最近因Bing上的类似弹出窗口对微软处以 6000 万欧元(全文)罚款。我稍后会再谈这个决定,因为它还有其他含义,但在第 65 段中,CNIL 裁定他们的 cookie 横幅未收集有效同意,因为拒绝 cookie 的点击次数多于接受 cookie 的点击次数。
这里的原则是,要使同意在 GDPR 下有效,就需要像拒绝同意一样容易地给予同意。
这在今天并没有得到广泛的尊重,因为对于大多数公司来说,张贴一个非真正合法的横幅会更有利可图,这会极大地推动用户说“是”并希望他们不会遇到麻烦,但作为数据保护机构继续执法 我认为这将变得不那么实际。
您在一些网站上看到的另一种方法是Der Spiegel采用的方法:
他们提供接受标准广告内容或付费订阅该网站的选择(更多详细信息)。我很高兴他们在这里为用户提供选择,我认为这应该是合法的,但我很确定现在不合法。问题在于,根据 GDPR第 4 条第 11 款,用户的同意不是“自愿给予”的,否则他们必须为访问付费。
第三种选择是有一个既容易拒绝又容易接受的 cookie 横幅:
当我点击“拒绝”并访问他们的网站时,他们会显示一个弹出窗口,提示“可能会显示低质量的广告”。这包括来自Outbrain的(绝对低质量…)广告,以及对outbrain.com
和outbrainimg.com
的许多网络请求:
问题是,根据Schrems II 的裁决,这些也不符合 GDPR。由于美国公司需要与美国政府共享信息,而 IP 地址属于个人信息,因此 GDPR 要求网站在向美国公司或其子公司发送任何信息之前征得用户的同意。欧洲法院已将此裁决适用于使用Google Analytics 、 Google Fonts和Akamai CDN的罚款网站。由于 Outbrain 是一家位于纽约市的美国公司,因此这是不合规的。
Schrems II 合规性排除了我所知道的所有商业可用的广告技术选项,而我所见过的唯一完全符合 GDPR 的网站是点击“拒绝”意味着你根本看不到任何广告的网站。
作为一种推测,我认为这些同意弹出窗口还有另一个问题:当您访问该网站时,他们会读取您的 cookie。根据电子隐私指令,网站只允许与您设备上的存储交互,以实现您请求的服务“绝对必要”的功能。如果我访问一个网站并且之前从未看到他们的同意弹出窗口,我不明白你如何论证访问我设备的存储以检查我是否已经被要求同意符合该标准。另一方面,我从未见过有人提出这个论点,同意弹出窗口无处不在,所以这可能太墨守成规了。
但无论如何,假设您决定完全在内部构建自己的广告系统,或者一家非常谨慎的欧洲初创公司推出了符合 GDPR 的展示广告产品。这会是什么样子?
GDPR 要求您拥有任何个人数据处理的多个法律依据之一。最著名的基础是“同意”,但还有其他几个基础。 Meta (Facebook) 试图以“履行合同”为基础解决这个问题,但被罚款 3.9 亿欧元。除了同意之外,唯一可能适用的基础是“合法利益”。
网站以多种方式解释该术语。例如,Spotify声称他们在“使用广告为 Spotify 服务提供资金,以便我们可以免费提供大部分服务”以及“使用您的个人数据根据您的兴趣定制广告”方面拥有合法权益。这不太可能让欧洲法院满意:TikTok宣布他们会这样做,但后来没有这样做,因为这可能不合法。几乎每个网站都只为(根据他们可疑的弹出窗口)同意的用户提供个性化广告,这些网站对 GDPR 有浓厚的兴趣,并且有过尽可能宽松地解释 GDPR 的历史。
但是,如果您无法个性化广告,并不意味着您无法展示广告。问题在于个性化并不是广告使用个人数据的唯一目的。让我们谈谈欺诈。
如果我想在我的网站上出售一些广告空间,广告商可能会关心很多事情。然而,最大的问题是每一美元将有多少用户看到他们的广告。我们可能会同意,他们将为每千次页面浏览支付 1 美元(每千次展示费用 1 美元)。通过天真的实现,在月底我检查了我的服务器日志,发现我的网站提供了 100 万个页面并向广告商收取了 1000 美元的费用。
然而,没有认真的广告商会同意这一点,因为它很容易受到欺诈。只需要建立一个小机器人来重复加载我的文章,当我只有数千名真实用户访问时,我可以为数百万次访问向他们收费。
相反,广告商希望保护欺诈检测。这意味着在广告显示在页面上时收集大量用户数据,并结合巧妙的统计数据和人工分析来处理这些数据,以识别和忽略不代表真实用户的流量部分。这不仅需要捕获像搜索引擎蜘蛛这样的简单机器人,还需要捕获涉及租用僵尸网络或大型真机机架的复杂欺诈操作。
收集用户数据用于广告欺诈检测是否符合网站的合法利益?广告行业历来认为它是。例如, IAB 的 TCFv2 ,用于与广告网络对话的标准协议同意弹出窗口,将广告欺诈检测归类为“特殊目的 1” ,用户“无权反对在合法利益下进行处理”。另一方面,微软最近裁决的第 52 和 53 点对我来说是在说,由于用户访问网站不是为了看广告,网站不能声称他们有合法利益使用个人数据来试图确定他们是否广告正在被真人观看。
这还没有完全解决;除其他事项外,微软的裁决部分考虑了 GDPR 和 ePrivacy 的相互作用,而 ePrivacy 在某些方面更为严格。但我认为,当我们从监管机构那里得到澄清时,很有可能会发现,有效检测广告欺诈所必需的对用户行为的详细跟踪不被认为属于发布商的合法利益。
放弃将个人数据用于广告欺诈检测会大大降低在线广告的利润,但它可能不会完全扼杀它。我看到这可能仍然有效的三种方式:
-
效果广告。在线广告主要分为两大类:“性能”,试图让您立即做某事(点击您正在访问的钓鱼网站并购买这种新鱼饵),以及“品牌”,它试图以不太清晰的方式影响您未来的购买(多喝可乐)。品牌广告是最大的支出,但由于购买与点击无关,因此非常依赖于防止欺诈。通过效果广告,广告商可以衡量人们是否真的在买东西,所以您网站上有多少机器人并不重要。
-
收视率。当大规模跟踪不切实际时,我们过去处理电视和广播的方式是与尼尔森这样的公司一起估算给定广播的覆盖人数。他们的估计是基于自动和人工调查的结合,并且只覆盖了一小部分人口。虽然它们在媒体高度集中且只有少数选择的历史上运作良好,但它们不适合当前的电视市场,更不用说更加分散的网络了。
-
私有浏览器 API。浏览器可以为站点提供一种方法来验证您的用户不是机器人,而无需从设备发送任何个人数据。信任令牌是一种可行的方式,但由于大多数访问者不会拥有它们,我认为它们还不够。尽管这与我工作过的领域很接近,但我怀疑这里是否有解决方案:很难构建满足以下所有条件的东西:(a) 客户端上的最小负载,(b) 足够有用的欺诈检测,(c)足够私密,并且 (d) 不需要 GDPR 或 ePrivacy 下的同意。最后一个特别难:私有浏览器 API 怎么可能不涉及在客户端存储信息?
然而,在这一点上,我们谈论的是一种广告模式,它比现状更不能支持大多数网站,而且只适用于非常大的出版商(Facebook、Reddit、纽约时报)或网站强大的商业搭档(信用卡评论、家居装修、个人理财)。
总的来说,我对这个结论并不满意。虽然我不喜欢看广告,但我很高兴它们存在;正如我之前所写,我认为没有广告支持网站的世界会更糟。不仅仅是我:当用户可以在广告支持和付费选项之间进行选择时,前者通常是最受欢迎的选项。将广告商业模式调整到对大多数网站不再实用的程度并不能使用户过得更好。
理想情况下,我们会看到这些法规发生一些变化,以平衡 GDPR 的隐私目标与广告支持网站所需的最低要求。具体来说,我想将一些大多数人认为可行的事情合法化:
-
允许在“合法利益”下检测广告欺诈,这是阻止广告在 GDPR 下实用的关键。
-
允许 Der Spiegel 的方法,即网站可以让用户在具有个性化的广告或支付合理的访问费用之间进行选择,原则是这是一个真正的选择。
-
稍微放宽 ePrivacy 的“严格必要以提供明确要求的信息社会服务”。在实践中,这意味着几乎每个站点都会显示一个 cookie 横幅,甚至是为了做一些完全正常的事情,比如将商品保留在您的购物车中以备后用。
我对我提出的解决方案的信心不如我对存在问题的信心,但我确实认为这三个变化在 GDPR 的隐私目标与用户的财务、易用性和竞争利益之间取得了很好的平衡能够在没有付费墙摩擦的情况下从一个站点移动到另一个站点。