自2018年5月25日起,所有收集,使用,处理和共享欧盟公民数据的公司都必须遵守通用数据保护法规(GDPR)并实施新的数据保护和安全措施。该法规不仅适用于欧盟公司。无论一个组织是否位于欧盟,它在处理欧盟/欧洲经济区公民数据时都必须遵守该规定,否则将面临严重的经济处罚。
对于AdTech和MarTech供应商,GDPR最重要的含义包括:
对个人数据定义的更改: IP地址,设备ID,位置数据和Cookie等标识符现在被视为个人数据。这改变了广告商和技术供应商对收集,存储和使用此类信息的方式。
数据收集的新规则:希望收集和处理用户数据的公司必须获得用户的同意并遵守一些严格的规则。在大多数情况下,同意必须是自由的,具体的,知情的和明确的。此外,不能预先勾选同意框,必须提供声明或明确的正面的说明。处理数据的所有公司都必须是在用户点了同意的基础上。
每个数据处理活动都需要同意:如果公司希望为多种目的(例如行为定位和个性化)处理用户数据,则必须获得每个流程的用户同意。
对于AdTech供应商而言,由于在线广告生态系统的分散性以及参与主流媒体广告交易的玩家众多(广告交易中的角色多),这些新规则会造成一系列的问题。
说明在在线媒体交易期间如何将用户数据共享(即泄露)到各种平台。在GDPR下,图中的每个平台都必须获得用户的同意才能收集和处理他们的数据。
IAB-互动广告局,一个负责创建和管理行业标准,研究和在线广告商法律支持的组织,已经提出了自己的解决方案,通过推出GDPR来帮助支持行业并解决一些主要问题。其GDPR 透明度和同意框架中的挑战。
2018年3月,IAB的框架被提交给AdTech公司和出版商以征询公众意见。
什么是IAB的GDPR透明度和consent框架?
该框架旨在使媒体,技术供应商和广告主能够满足GDPR的公开透明的需求,和一切数据处理都需要得到用户同意的要求。
该框架由IAB技术实验室管理,是一个非商业性的开源计划,是与许多出版商,广告商和其他重要行业参与者合作开发的。该框架于2018年3月首次发布,4月发布的商业版本,该框架旨在标准化收集和使用获得同意的个人数据的过程。
这个框架实际上如何运作?
用户同意是处理个人数据的六个“法律依据”之一。该框架使第一方媒体端(其服务需要使用多个第三方),也就是流量第一供给端,更容易处理用户数据并获得符合GDPR规定的同意。
IAB的框架标准化了获得互联网用户同意数据处理的过程,并在广告供应链中进一步传递这些信息。
该提案还包括全球供应商列表(GVL),该列表作为参与框架的数据控制器的注册表。可以将其视为供应商的“白名单”,通过这些供应商可以直接与用户进行直接交互一方 -publishers请求同意。
以下是有关其工作原理的简要分步概述:
步骤1
发布者选择要与之合作的全球供应商列表中的哪些技术供应商。
第2步
每次用户首次访问发布者的网站时,都会要求他们选择与发布者共享其数据的公司。此信息将存储在用户浏览器中的第一方cookie中(与用户产生直接交互的媒体中)。
2018年6月,IAB Tech Lab和IAB Europe 为移动应用提供商发布了移动应用内规范。
第3步
一旦用户做出选择,发布者就可以与选定的技术供应商共享用户的数据。
举例说明consent-sharing是一个怎样的过程。用户允许绿色平台收集和使用他们的数据。橙色平台位于出版商的全球供应商列表中,但用户未提供同意。红色的人不在出版商的全球供应商名单上。
假设用户已允许所有技术供应商收集他们的数据,这是不可能的,只有发布者的全球供应商列表上的数据才能收集用户的数据。
查看上面的示例图,用户不允许DSP#1,DMP #2和DMP#3收集他们的数据,即使它们包含在发布者的全球供应商列表中。
Publisher如何与经过批准的供应商沟通user-consent协议?
为了使发布者能够与白名单技术供应商进行有效沟通,IAB建议将用户的同意决定传递给供应链。
用户同意信息将包含两个二进制字符串(目的选择字符串和供应商选择字符串),然后转换为压缩值,如下图所示。
目的选择代表数据收集的目的(例如行为广告和重新定位),供应商选择代表发布者已经获得用户同意的白名单的技术供应商,因此可以接收用户的数据。资料来源:数字广告:透明度,控制力,同意度。IAB Europe,2018年3月
压缩值将被添加到供应链中的每个广告和出价请求(或daisy 链,因为IAB这样称呼),只允许白名单技术供应商接收用户的数据。
优点
IAB的GDPR透明度和同意框架为用户和广告商提供了一系列好处:
--它引入了一个行业范围的标准,用于收集用户对数据处理的同意。
--它将用户同意信息转发到广告供应链的下方,并向其他第三方发出信号。
--虽然仍然不完美,但该框架是朝着实现GDPR合规的正确方向迈出的一步,简化了AdTech公司和出版商的整个交互的过程。
--它将在OpenRTB交易中得到支持,这对于其采用率来说是个好的趋势,因为很多主流的AdTech供应商都使用OpenRTB协议。
--该框架可以通过提供一种更加透明的方式使用户受益,并对各种技术提供商处理用户数据的方式进行更严格的控制,从而使出版商受益; 出版商可以选择哪些第三方以及他们征得用户同意的数据处理目的。
--同时,它使出版商有权决定如何最好地利用这些数据的可能性。
--框架并未对使用做出全有或全无的决定。用户可以选择他们想要与哪些第三方共享数据。该框架在其目前的解释,表示让用户同意的部分,全部,或不提供任何公开的数据处理给终端广告商,以及允许第三方进行部分数据处理,全部数据处理或者全部不允许进行数据处理。
陷阱
IAB的GDPR透明度和同意框架仍远未完善,需要进行一些调整以确保AdTech公司和出版商完全遵守GDPR。考虑到程序化生态系统的复杂性,这绝非易事。GDPR的许多好处不仅为AdTech公司带来了新的挑战,也为互联网用户带来了新的挑战。
一些文章敦促出版商不要与IAB框架(包括谷歌和Facebook)背后的公司合作,因为它可能被视为有利于广告商。网络上有许多出版物指出了IAB框架的缺陷和不一致之处,但主要的抱怨包括:
--由于在线程序设计和RTB生态系统的纯粹性质,数据泄漏(即用户数据在没有用户知情的情况下传递给多家公司时)的情况经常发生,并且通常在没有出版商和用户知识的情况下发生。只要发生了,GDPR就会对publisher负责。
--虽然用户可以选择他们想要连接的第三方,但该框架并不具有限制性,并且仍然允许publisher向用户提供此类接受或离开的选择(如果他们愿意)。
--一旦用户的个人数据进入实时出价交易,就几乎无法控制用户的个人数据。同样,这对Publisher的方面 - CMP,SSP,DSP,ADX以及他们使用数据的方式 - 是publisher无法控制的事情 - 他们会因此承担巨大的责任。
--IAB建议将所有同意捆绑在一个OK按钮下,这可能会破坏他们自己的选择,因为互联网用户很可能选择拒绝,以便关闭同意框并继续之前页面上的内容。用户极不可能花时间仔细考虑与每个平台共享数据的含义。
--框架本身仍然不符合GDPR第5条的要求,该条款要求以更详细的方式将consent协议设置为以“指定的,明确的”为目的,该框架内,IAB提出了一种设计,即将同意与数据处理的目的的数据使用者捆绑在一起,所有这些都是用户在一个选择下一次进行的。
--同样,该框架提出的“广告个性化”选择加入似乎严重违反了第3条(处理的合法性)和第13条(从数据主体收集个人数据时提供的信息)。同样,该消息将几个不同的目的捆绑在一起,但没有提供对用户的个人数据究竟将做什么样的处理和指示,这严重违反了GDPR。
--框架的当前发展状况可能导致阻碍GDPR的整体思路。仍然可以鼓励用户同意一切,这可能导致恢复到在线广告的原始状态 - 最大限度地以用户行为为基础的广告和肆无忌惮的数据收集。至少,这是为了一些广告商获得的最佳利益。
备选方案
在后GDPR的世界中,广告商在没有获得用户明确同意的情况下却提供完全个性化和定向是有问题的。受众选择必须基于同类内容和有前后关系的内容,即非个人数据。
但是,IAB提议的框架有一些替代方案,可以为发布商提供更好的保护,限制数据泄漏,并允许广告商和AdTech公司为已经提供同意的用户运行个性化和有针对性的广告推荐。
其他consent方面的管理系统---第三方服务
Piwik PRO同意管理系统
构建自定义consent工具
