브라우저 제조업체인 Brave는 Google이 EU 데이터 보호법을 우회하고 타겟 광고를 제공하기 위해 비밀 해결 방법을 사용하고 있다고 밝혔습니다.
구글 크롬(Chrome)과 경쟁하는 크로미엄(Chromium) 기반 브라우저 제조사인 브레이브(Brave)는 구글이 광고주에게 개인정보를 유출하고 데이터 관리에 관한 유럽의 개인정보 보호법을 위반합니다. 투명도.
- Pixel 휴대전화에서 자동녹음전화를 자동으로 거부하는 방법
- Google Pixel Fold 리뷰: 삼성의 첫 번째 큰 경쟁자가 등장합니다.
- 극적으로 더 나은 음악 사운드를 얻으려면 이 픽셀 설정 하나를 변경하세요.
- 구글 픽셀 폴드 vs. 삼성 갤럭시 Z 폴드 4: 어떤 휴대폰을 사야 할까요?
Brave의 최고 정책 및 산업 관계 책임자인 Johnny Ryan은 Google의 유럽 주요 규제 기관인 아일랜드 데이터 보호 위원회에 자신의 조사 결과를 제출했습니다.
보다: GDPR 규정 준수를 위한 IT 전문가 가이드 (무료 PDF)
5월 DPC 조사를 시작했다 광고 구매자를 인벤토리를 판매하는 수백만 개의 웹사이트와 연결하는 Google의 Authorized Buyers 실시간 입찰(RTB) 광고 교환에 참여합니다.
Ryan은 GDPR을 제출했습니다. 2018년 Google의 RTB 시스템에 대한 아일랜드 불만사항, Google의 행동 광고를 사용하는 사이트에서 RTB 입찰 요청 중에 Google과 광고 회사가 개인 데이터를 노출한다고 주장합니다.
문맥 광고와 달리, 가치가 더 높은 행동 광고는 쿠키 및 기타 수단을 사용하여 웹사이트 전체에서 장치 동작을 추적하는 데 의존합니다.
Google의 Authorized Buyers 광고 시스템은 840만 개의 웹사이트에서 사용되고 있으며 Ryan은 Google이 개인 데이터를 다음으로 '브로드캐스팅'하고 있다고 추정합니다. 수백 개의 Google 광고 기술 파트너 Google의 RTB 시스템 사용자에 대한 입찰입니다.
"Google은 일단 내 데이터가 전송되면 이에 대한 통제권을 잃기 때문에 이 회사들이 그 데이터로 무엇을 했는지 알 수 없습니다. 그 정책은 보호가 되지 않습니다.”라고 Ryan은 말했습니다.
Ryan의 최근 주장은 Google의 소위 '푸시 페이지' 또는 'google_push'를 중심으로 하며, 그는 이를 사용자 식별자이자 GDPR 제한에 대한 해결 방법으로 규정합니다. 'google_gid'라는 기존 식별자 외에 RTB 입찰자에게 제공되었습니다.
그는 푸시 페이지를 사용하면 사람이 웹페이지를 로드할 때 여러 광고주가 사용자 프로필 신원을 공유할 수 있다고 주장합니다.
Ryan에 따르면 각 푸시 페이지는 공통 URL 끝에 식별자를 추가하고 Google 쿠키와 결합하여 회사가 가명으로 개인을 식별할 수 있도록 하여 고유하게 만들어졌습니다.
"Google이 푸시 페이지에 액세스하도록 초대하는 모든 회사는 프로파일링되는 사람과 동일한 식별자를 받습니다. 이 'google_push' 식별자를 사용하면 해당 사람의 프로필을 상호 참조할 수 있으며 그런 다음 프로필 데이터를 서로 교환할 수 있습니다."라고 Ryan은 썼습니다.
Google이 광고주와 공유하는 데이터를 테스트하기 위해 Ryan은 로그인, 쿠키 또는 검색 기록이 없는 Chrome을 새로 설치한 다음 컴퓨터의 네트워크 트래픽 로그를 분석했습니다.
웹 서핑 후 1시간 이내에 Ryan 브라우저의 'google_gid'가 RTB 경매에 당첨된 10개 회사의 네트워크 트래픽에서 318회 사용되었습니다. 그런 다음 회사는 요리 매칭 프로세스를 사용하여 사용자가 이전에 프로파일링한 사람인지 확인한 다음 사용자의 프로필을 업데이트할 수 있습니다.
그러나 Ryan은 Google도 식별자를 공유했을 가능성이 있다고 지적합니다. EU 광고 기술 파트너로 등록된 수백 개의 회사.
Ryan은 "'google_gid' 식별자와 마찬가지로 'google_push' 식별자는 이전에 Google이 데이터 주체를 식별하기 위해 이들 회사에 제공한 것입니다."라고 썼습니다.
"그러나 두 식별자 사이에는 중요한 차이점이 있습니다. 'google_gid' 식별자는 이를 수신하는 각 회사마다 다릅니다. 이는 이들 회사가 Google에서 데이터 주체에 대해 배운 내용을 서로 상호 참조할 가능성이 적다는 것을 의미합니다. 그러나 'google_push' 식별자는 이를 수신하는 여러 회사에 공통적으로 사용됩니다."
Google 대변인은 ZDNet에 보낸 성명에서 회사가 사용자 동의 없이는 타겟 광고를 제공하지 않는다고 밝혔습니다.
"우리는 사용자 동의 없이 개인화된 광고를 제공하거나 입찰자에게 입찰 요청을 보내지 않습니다. Google의 주요 DPA인 아일랜드 DPC와 영국 ICO는 이미 GDPR 준수 여부를 평가하기 위해 실시간 입찰을 조사하고 있습니다. 우리는 그 작업을 환영하며 전적으로 협력하고 있다”고 대변인은 말했다.
더보기: 고객 서비스에서 GDPR을 무시할 수 없습니다
그럼에도 불구하고 영국의 정보위원회(Information Commissioners Office)는 6월 보고서 Google의 Authorized Buyers도 검토한 RTB 생태계 검토에서 RTB 데이터 공급망에 대한 Ryan의 우려 사항 중 일부를 공유했습니다.
전반적으로 ICO는 "애드테크 산업이 데이터 보호 요구 사항에 대한 이해가 미성숙한 것으로 보인다"는 사실을 발견했습니다.
또한 단일 RTB 요청으로 인해 각각 자체 개인 정보 보호 정책이 적용되는 수백 개의 조직에서 개인 데이터가 처리될 수 있다고 지적했습니다.
"여러 당사자가 사용자에 대한 정보를 받지만 해당 사용자에게 광고를 제공하는 경매에서 오직 한 사람만이 '승리'할 수 있습니다. ICO는 "보유, 보안 등 다른 당사자의 개인 데이터 처리에 대한 보장이나 기술적 통제가 없습니다"라고 썼습니다.
"본질적으로 데이터가 한 당사자의 손을 벗어나면 해당 당사자는 데이터가 적절한 보호 및 통제 대상으로 유지된다는 것을 보장할 수 없습니다."