信息來(lái)源：安全內(nèi)參

近日，愛爾蘭公民自由委員會(huì)（Irish Council for Civil Liberties，ICCL）公布了一份報(bào)告，對(duì)其認(rèn)定的一起“史上最大規(guī)模數(shù)據(jù)泄露事件”進(jìn)行了披露。

報(bào)告顯示，如谷歌、微軟等公司會(huì)利用實(shí)時(shí)競(jìng)價(jià)系統(tǒng)將用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息提供給廣告商，美國(guó)用戶每天被分享747次，歐洲用戶376次。谷歌回應(yīng)稱，其一直對(duì)與廣告商共享用戶數(shù)據(jù)進(jìn)行嚴(yán)格限制，并要求在投放個(gè)性化廣告前取得用戶同意。

何為實(shí)時(shí)競(jìng)價(jià)系統(tǒng)（簡(jiǎn)稱RTB）？公開資料顯示，RTB是一種利用第三方技術(shù)，在數(shù)以百萬(wàn)計(jì)的網(wǎng)站上針對(duì)每一個(gè)用戶展示行為進(jìn)行評(píng)估以及出價(jià)的競(jìng)價(jià)技術(shù)。簡(jiǎn)而言之，可理解為讓廣告商通過(guò)瀏覽記錄和地理位置信息來(lái)鎖定潛在用戶并針對(duì)目標(biāo)廣告位進(jìn)行出價(jià)的過(guò)程，目的是為了實(shí)現(xiàn)精準(zhǔn)營(yíng)銷。

根據(jù)ICCL發(fā)布的報(bào)告，谷歌、微軟等公司使用RTB系統(tǒng)實(shí)時(shí)追蹤并分享用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息給廣告商，以便廣告商選擇有潛在用戶瀏覽的網(wǎng)頁(yè)精準(zhǔn)投放廣告。在美國(guó)其每天分享上述用戶信息2940億次，平均每人被曝光747次；在歐洲每天分享1970億次，平均每人被曝光376次，并且“沒有任何辦法可以控制這些數(shù)據(jù)的用途”。

用戶數(shù)據(jù)的被分享次數(shù)在不同地區(qū)或國(guó)家也有所差別。具體而言，美國(guó)科羅拉多州的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)987次，加利福尼亞州為804次，華盛頓哥倫比亞特區(qū)則為486次。在歐洲，英國(guó)的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)462次。

報(bào)告指出，美國(guó)網(wǎng)絡(luò)用戶被分享網(wǎng)絡(luò)瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點(diǎn)推測(cè)，該情況與美國(guó)和歐洲的隱私法規(guī)差異較大有關(guān)，在規(guī)定嚴(yán)格而全面的數(shù)據(jù)保護(hù)框架《通用數(shù)據(jù)保護(hù)條例》（GDPR）的“保駕護(hù)航”下，歐洲監(jiān)管機(jī)構(gòu)多年來(lái)一直針對(duì)濫用的廣告技術(shù)采取措施。

報(bào)告推測(cè)，總體而言，美國(guó)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)瀏覽記錄和位置信息每年被追蹤和共享107萬(wàn)億次，歐洲每年為71萬(wàn)億次，并稱這些用戶數(shù)據(jù)會(huì)被發(fā)送至全球各地的公司。值得一提的是，報(bào)告強(qiáng)調(diào)上述數(shù)據(jù)都十分保守，因?yàn)榇舜蜪CCL僅選擇了在線廣告生態(tài)系統(tǒng)的“巨頭”之一谷歌參與統(tǒng)計(jì)，并未關(guān)注臉書和亞馬遜。

報(bào)告指出，谷歌是最大限度利用RTB系統(tǒng)的“罪魁禍?zhǔn)住?，其向高達(dá)4698家公司提供美國(guó)用戶的相關(guān)數(shù)據(jù)，向1058家公司提供歐洲用戶的相關(guān)數(shù)據(jù)，而微軟可向1647家公司提供。由于這些用戶數(shù)據(jù)是通過(guò)互聯(lián)網(wǎng)傳播的，它們還面臨著被“非官方合作伙伴”攔截和利用的風(fēng)險(xiǎn)。

事實(shí)上，這并非RTB系統(tǒng)的信息安全問(wèn)題首次引發(fā)關(guān)注。2019年5月，在收到用戶針對(duì)谷歌RTB系統(tǒng)的隱私投訴后，愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）對(duì)谷歌展開法定調(diào)查，試圖確定其對(duì)用戶個(gè)人數(shù)據(jù)的處理是否適當(dāng)，然而該調(diào)查至今沒有結(jié)果。

因此，今年3月，ICCL的資深研究員約翰尼·瑞安（Johnny Ryan）將DPC告上了法庭，理由是其未能對(duì)谷歌的大規(guī)模數(shù)據(jù)泄露行為采取行動(dòng)，目前愛爾蘭高等法院已同意進(jìn)行審理。同時(shí)，他還向歐盟監(jiān)察專員投訴，稱歐盟委員會(huì)（European Commission）未能妥善監(jiān)督GDPR的實(shí)施。

ICCL始終認(rèn)為RTB本質(zhì)上是不安全的——通過(guò)在互聯(lián)網(wǎng)上與成千上萬(wàn)的廣告商進(jìn)行大規(guī)模的用戶個(gè)人數(shù)據(jù)交易來(lái)實(shí)現(xiàn)廣告的精準(zhǔn)投放，這種做法風(fēng)險(xiǎn)很大，個(gè)人信息無(wú)法得到充分保護(hù)。因此，ICCL將此定義為“史上最大規(guī)模的數(shù)據(jù)泄露”。

據(jù)悉，針對(duì)該報(bào)告，谷歌發(fā)言人作出了回應(yīng)，稱其在使用RTB系統(tǒng)時(shí)采取了行業(yè)領(lǐng)先的保護(hù)措施，并對(duì)與廣告商共享用戶數(shù)據(jù)進(jìn)行了嚴(yán)格限制?！拔覀儾粫?huì)分享個(gè)人身份信息，也不會(huì)展示基于健康、種族或宗教等敏感信息而投放的廣告，多年來(lái)我們一直要求廣告商在展示任何個(gè)性化廣告之前取得用戶的同意?！绷硗?，微軟方面則拒絕對(duì)此置評(píng)。