英国ICO报告：自动化广告和实时竞价的数据风险

2019年6月20日，英国数据主体信息保护机构——信息委员会办公室（Information Commissioner’s Office ，以下简称ICO）发布了更新版的《自动化广告和实时竞价》报告[1]。

一、主要风险

实时竞价（Real TimeBidding，以下简称RTB）是自动化广告中使用的一组技术实践，近年来发展迅速。通过该技术，广告商可以在几毫秒内围绕可用的数字广告空间展开竞争，通过自动化方式在网页和应用上推送数十亿的在线广告。虽然RTB只是在线广告生态系统的一部分，但由于其复杂性、规模性，监管部门担忧其对数据主体权利和自由造成的风险：

透明度和同意：RTB中使用的协议包括构成敏感数据的字段，需要获得数据主体的明示同意；此外，即使删除了敏感数据，目前的做法在处理数据主体数据方面仍然存在问题。例如：

找到RTB中处理个人数据的合法性依据仍然具有挑战性，因为“合法利益”[2]可以适用的情形是有限的，而在数据保护合规方面，获得授权的方法通常是不充足的;

向数据主体提供的隐私通知缺乏明确性，并不能让数据主体完全了解他们的数据发生了什么;

在RTB中创建和共享用户画像的情形似乎是失衡的、侵扰性的和不公平的，特别是在许多情况下，数据主体对数据的处理并不知情; 以及

目前尚不清楚RTB参与者是否能够充分掌握需要处理何种数据才能达到对特定数据主体进行定向广告的预期目的，而生态系统的复杂性意味着我们可以断定参与者是在没有完全理解所涉及的隐私及道德问题的情况下进行操作的。

数据供应链：主要依赖合同协议来保护竞价请求数据的共享、存储和删除方式。但鉴于共享的个人数据类型和数量，这种方式似乎并不适宜。

二、具体问题

总的来说，自动化广告行业似乎尚未完全了解数据保护的相关要求。RTB的合规性普遍存在以下问题：

1.由于确信“合法利益”的例外情形可适用于存储和/或阅读缓存数据或其他技术，因此对非敏感数据的处理事实上从收集时就是缺乏合法性基础的。

2.未经明示同意（且没有其他例外情形），任何敏感数据的处理都是违法的。一般而言，处理此类数据需要更多保护，因为它会增加对数据主体造成伤害的可能性。3.即使可以使用“合法利益”作为依据，生态系统内的参与者也无法证明他们已经适当地进行了数据保护影响评估[3]并采取了适当的保障措施。

4.对于数据保护立法要求的数据保护影响评估义务[4]缺乏了解及遵守。因此，我们对与RTB相关的风险是否得到充分评估和减缓的信心不足。

5.提供给数据主体的隐私处理信息过于复杂、缺乏清晰度。当前的保护框架不足以确保有关个人信息的透明度和公平处理，也无法提供充足的知情同。

6.关于数据主体的画像非常详细，并且为了同一个竞价请求在数百个组织中被反复共享，而这些都是在数据主体不知情的情况下进行的。

7.每周都有成千上万的组织在英国处理数十亿的竞价请求，却采取不一致的技术性和组织性措施来保护数据的运输和的存储，而很少或根本不考虑数据保护法规定的个人信息国际传输。

8.关于数据最小化和存储管理的应用存在类似的措施不一致的情形。

9.数据主体无法得到其数据在生态系统内安全的保障。

三、建议举措

此外，欺诈（例如使用外呼机器人拨打诈骗电话）、垄断（超大型互联网平台公司占领市场主导地位）、市场参与者的成熟度不足以及将个人信息与竞价请求相关联的持续性商业激励也将被纳入考量。这些问题的解决需要有关部门的干预，因此，ICO计划设计一种公平且可迭代的方法，以便采取果断和透明的行动，同时能够观察市场的反应并相应地调整相关措施，其中重点解决以下两个领域的问题——未经明确同意处理敏感数据和数据供应链的复杂性：

• 有针对性的信息收集活动

基于进一步探索RTB对数据保护的影响，ICO计划围绕数据供应链、用户画像、存储地区以及数据保护影响评估相关的信息收集和调查活动。

• 与主要利益相关方的互动活动

ICO将继续与主要利益相关方进行有针对性的沟通；举办实况调查论坛，沟通并向利益相关方通报发展情况；同时继续与IAB Europe和Google进行双边互动。

• 与其他数据保护机构的合作

迄今为止，至少有七个欧洲司法管辖区收到了相关投诉。ICO将继续与相关机构加强沟通和分享信息。

• 行业整顿

获取更多信息后，ICO可能会在六个月后进行进一步的行业审核，其范围和性质将取决于调查结果。同时，ICO建议广告技术行业的数据控制人员重新评估其隐私通知方法、个人数据的使用以及在RTB生态系统中应用的合法基础。

[1]原文地址https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf.

[2]GDPR第六条“合法的数据处理”情形中包括：1（f）处理是控制者或者第三方为了追求合法利益的之必要，但此利益被要求保护个人数据的数据主体的利益或基本权利以及自由覆盖的除外，尤其是数据主体为儿童的情形下。

[3]GDPR第35条规定：鉴于一种数据处理方式，尤其是使用新技术进行数据处理，统筹考虑处理过程的性质、范围、内容和目的，（不难得知）这很可能对自然人权利和自由带来高度风险。在进行数据处理之前，控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。

[4]尤其是GDPR第35条（4）的规定：GDPR监督机构应建立并公布一份受数据保护影响评估要求约束的处理业务清单，并将这些清单通知欧洲数据保护委员会。

作者简介：李雅文，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。