写点什么

面对 GDPR 40 亿欧元巨额罚金,谷歌动起了“歪心思”

  • 2019-09-06
  • 本文字数:2686 字

    阅读完需:约 9 分钟

面对GDPR 40亿欧元巨额罚金,谷歌动起了“歪心思”

经过四年的准备和辩论之后,GDPR 在 2016 年 4 月 14 日获得了欧盟议会的批准,该条例旨在调整整个欧洲的数据隐私法律,保护和赋权所有欧盟公民的数据隐私,并重塑整个地区组织处理隐私数据的方式。GDPR 自 2018 年 5 月 25 日起生效,届时违规组织可能面临重罚。

在 GDPR 生效首日,Facebook 和谷歌就被奥地利隐私活动家 Max Schrems 指控强迫用户同意共享个人数据。如果欧洲监管机构同意这一诉讼,Facebook 和谷歌将分别面临 39 亿欧元和 37 亿欧元(共计约 88 亿美元)的罚款。

同年 5 月,用户隐私组织 NOYB 和 La Quadrature du Net(LQDN)提出投诉,第一起投诉在 GDPR 生效当天提起,该组织声称谷歌没有有效的法律依据来处理新规定下的个性化广告用户数据收集事宜。今年 1 月,法国数据监管机构 CNIL 对谷歌开出罚单,并最终对其处以 5000 万欧元的罚款。

面对如此巨额的罚金,即使是谷歌这样的巨头企业也会瑟瑟发抖,所以如何通过技术手段规避 GDPR 的严苛规定成为了谷歌逃脱罚金的路径之一。不幸的是,这条路似乎也被人堵住了,一家名为 Brave 的公司发现了谷歌在实时竞价上的一些小心思,并把它揭露了出来


根据 Brave 公司首席政策与行业关系官 Johnny Ryan 博士的申诉:谷歌公司的 DoubleClick,又称“授权买家广告业务”已经涉嫌侵犯 GDPR 条例,并需要受到爱尔兰数据保护委员会(DPC)的调查。


爱尔兰 DPC 是谷歌在欧洲主要的监管机构。Brave 方面收集到的新证据为爱尔兰 DPC 的指控提供了有力的支持,证明谷歌的广告系统确实泄露了了有违 GDPR 要求的用户个人数据。此外,Brave 方面还发现谷歌正在采用一种似乎用于针对 GDPR 的解决方案,该方案正好绕过了谷歌此前公开声明的 GDPR 数据保护措施。


Brave 公司的 Johnny Ryan 博士表示:“谷歌的「DoubleClick/授权买家」广告系统目前运行在超过 840 万个网站之上,每天向超过 2000 家企业输送数千亿次与网站访客相关的个人数据。”


“我们提交给爱尔兰数据保护委员会的证据证明,谷歌公司将我个人受到保护的数据泄露给了数目不详的公司。我们无法了解到这些公司以后会利用这些数据干什么,因为谷歌一旦将这些数据发出,就失去了对这些个人数据的控制权,其数据保护政策也将就此中止。”

谷歌的 GDPR“解决方案”

谷歌公司声称:出于对网站访问者敏感数据的保护,他们拒绝了众多使用实时出价广告(RTB)系统的公司,因为这些公司可能将访问者的个人资料挪作他用。此外,谷歌方面还宣称:已经停止共享能够帮助各类公司识别出用户个人身份的匿名标识,这显然也是为了响应 GDPR 提出的要求。


但事实上,Brave 方面提供的最新证据表明:谷歌不仅在新的机制下默许了个人信息挪用行为,同时还允许这些公司与谷歌的标识进行匹配。现有证据进一步表明,谷歌方面甚至允许多方将所掌握的数据主体标识进行相互匹配。


Brave 委托 Zach Edwards 分析了 Ryan 博士的网页浏览日志。此项分析证实,Ryan 博士的个人数据确实曾被泄露,并进一步证实了谷歌新机制下确实存在“推送页面”,谷歌借此在加载网页的过程中邀请多家公司共享当前访问者的个人资料标识。


谷歌的推送页面由谷歌域提供,且都拥有相同的名称“cookie_push.html”。每个推送页面都由近两千个字符的代码组成,谷歌会在末尾为这些代码添加唯一标识,用以记录这些信息来自何人。与谷歌提供的其它 cookie 相结合,各企业就能够在看似不可能的情况下识别匿名访问者的身份。


谷歌邀请访问推送页面的所有公司,都会收到与被标记者相匹配的相同标识。这一“google_push”标识允许各公司交叉引用自己掌握的用户资料,甚至可以相互交换用户数据。该推送页面不会显示给访问网页的用户,如果直接访问也不会显示出任何内容。


感兴趣的朋友可以下载推送页面示例:


https://brave.com/wp-content/uploads/files_2019-9-2/sample_push_page_from_session.txt


Ryan 博士及 Brave 公司代理数据权律师 Ravi Naik 指出:“目前的实时广告的推送形式非常邪恶,数据泄露的速度与规模意味着谷歌根本就没有遵守 GDPR 提出的安全原则。”


“现在,我们的客户发现谷歌正在对看似安全的用户信息进行后台匹配。这些欺骗性且完全不受控的匹配方式,无疑是对数据保护公平性与透明性原则的亵渎。遗憾的是,谷歌已经习惯于这种无法无天的行为,甚至胆敢站在数据保护的大旗之下反对数据保护。DPC 必须迅速采取行动,制止这种作法。”

Brave 呼吁对 RTB 数据泄露事件给予重视

12 个月之前,即 2018 年 9 月,Brave 公布了大量持续性数据泄露事件,指出谷歌及其他一些厂商长期以来一直在 RTB 广告等系统中将数十亿互联网用户的个人信息当作儿戏。如今,Brave 也开始与非政府隐私组织、学术界以及其他机构开展合作,跨越 16 个欧盟国家对价值数十亿美元的 RTB 产业进行改造。而这一轮行动的主要针对目标,自然就是谷歌以及负责控制 RTB 系统的 lAB。


Brave 方面向监管机构提交的专业证据,引发了爱尔兰数据保护委员会对谷歌 RTB 广告系统涉嫌违反 GDPR 的法定调查,此外英国信息专员也就此事发布报告并提出警告。


每当有人访问采用 RTB 的网站时,他们的个人数据就会被传播至数十甚至数百家公司,这些公司会以实时竞拍的方式出售向该访问者展示广告的权利。传播的数据可能包括访问者目前正在阅读的内容,以及可能表达用户性取向、政治观点、宗教信仰、健康状况(包括是否患有艾滋病、性病以及抑郁症等)的信息。传播范围包括人们正在阅读、观看或者收听的内容,甚至包含访问者的当前位置以及特定于该访问者的唯一 ID 编号。


如此一来,那些普通互联网用户从未听说过的公司就能够建立起与访问者个人资料以及记录内容相关的广告竞拍交易。这种情况每天发生达数千亿次。


一旦数据被传播出去,可能连谷歌公司也无法控制这些数据的具体使用方式。其政策只要求作为谷歌传播对象的数千家企业自行监督,并自主判断哪些能做、哪些不能做,而在这些企业之外的用途,谷歌似乎也无能为力。

GDPR 相关条款

GDPR 第 5 条第 1 款第 f 点,要求严格控制个人数据


“个人数据的处理方式应确保个人数据得到适当保护,包括利用适当的技术或组织措施(「诚信与保密」)防止数据遭到未授权或非法处理,以及意外丢失、破坏或损坏。”


  • GDPR 第 5 条第 1 款的 a 与 b 点要求,个人应充分了解自己的数据会被如何使用:


“个人资料应以合法、公平及透明的方式处理,且及时通知相关当事人(「合法、公平、透明」);”


“个人数据应按指定、明确且合法的目的进行收集,不得以与这些目的不符的方式加以进一步处理;出于公共利益、科学或者历史研究目的或者统计目的进一步归档处理,应遵循第 89(1)条的规定,不得以有违原始目的(「目的限制」)的方式处理;”


2019-09-06 19:057771

评论

发布
暂无评论
发现更多内容

软件测试学习笔记丨JUnit5动态测试的参数化

测试人

软件测试

小米集团信息技术部|面向多业务的研发效能体系建设与实践

ToB行业头条

聊聊 Go 中的单例模式

左诗右码

Go

快手商品详情数据接口(KS.item_get)丨快手API接口指南

tbapi

快手 快手商品详情数据接口 快手API接口

万界星空科技新材料MES系统解决方案

万界星空科技

mes 新材料 万界星空科技 新材料mes

OpenCV(C++)创建图片绘制图形(矩形、圆、文字、线段等等)

DS小龙哥

7月月更

PostgreSQL 如何有效地处理数据的加密和解密

伤感汤姆布利柏

集业界领袖,话数据库未来,华为云数据库斯享会深圳站成功举办

极客天地

目前张家界正规等保测评机构有几家?在哪里?

行云管家

等保 等级保护 湖南 张家界

闲鱼商品详情数据接口(Goodfish.item_get)丨闲鱼平台实时数据接口指南

tbapi

闲鱼 闲鱼API 闲鱼商品详情接口 闲鱼商品详情数据采集

纺织业智能化与数字化转型:构建全流程智能物流与质量追溯体系

天津汇柏科技有限公司

数字化转型 纺织企业

证券行业怎么定义,需要采购堡垒机吗?

行云管家

网络安全 金融 证券 数据安全 堡垒机

macbook触控栏养宠物:Touchbar pet for Mac 免费下载

你的猪会飞吗

Mac软件下载站

AI 应用实战营 - 作业 三- MidJourney参数测试

德拉古蒂洛维奇

拼多多商品详情数据接口(Pdd.item_get)丨拼多多API数据接口教程

tbapi

拼多多 拼多多商品详情数据接口 拼多多API

百度网盘上线Apple Vision Pro 国行版迎来首个AI云存储类产品!

IT新闻资讯

阿里巴巴商品详情数据接口(alibaba.item_get)丨阿里巴巴API实时数据接口指南

tbapi

阿里巴巴 阿里巴巴商品详情数据接口 阿里巴巴API

AI Agent技术的最新进展与改变世界的典型项目巡礼

汀丶人工智能

人工智能 大模型 Agent智能体

lazada商品详情数据接口(lazada.item_get)丨lazada平台API接口指南

tbapi

lazada商品详情数据接口 lazada API lazada商品数据采集

速卖通商品详情数据接口(aliexpress.item_get)丨速卖通平台API接口指南

tbapi

速卖通商品详情数据接口 速卖通API接口 速卖通 速卖通商品数据采集

苏宁商品详情数据接口(suning.item_get)丨苏宁平台API接口教程

tbapi

苏宁 苏宁商品详情数据接口 苏宁API

Go 项目自动重载解决方案 —— Air 使用入门

左诗右码

Go

“小浣熊家族AI办公助手”产品体验 — “人人都是数据分析师”

Sunny_媛

#人工智能 AI Agent 小浣熊家族 小浣熊 AI办公助手

从0到100:4S店服务小程序开发历程

CC同学

京东工业平台商品详情数据接口(vipmro.item_get)丨京东工业平台数据API

tbapi

京东工业平台数据采集 京东工业平台 京东工业平台API接口

基于小浣熊办公场景的「大数据集分析」

悟空聊架构

AI 数据分析 悟空聊架构 商汤科技 小浣熊

编写代码检查规则的神器,解读CodeNavi语法结构

华为云开发者联盟

软件开发 华为云 华为云开发者联盟 代码检查 企业号2024年7月PK榜

面对GDPR 40亿欧元巨额罚金,谷歌动起了“歪心思”_安全_Johnny Ryan_InfoQ精选文章