官 沙 龙 数据保护官沙龙（DPO Salon）公益出品 广告技术和实时竞价的更新报告 据 保 护 （中译文） 数 洪延青等翻译、校审 2019年7月 署名-非商业性使用-禁止演绎 2.5 中国大陆 译者序言 2019年6月，英国信息专员办公室（the UK Information Commissioner’s Office, “ICO”）发布了一份报告：《广告技术和实时竞价的更新报告》 （“Update report into adtech and real time bidding”）。没错，就是这个ICO，在 2019年7月8日与9日先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的 巨额罚单，拉开GDPR强硬执法的序幕。 沙 龙 2019年7月11日，ICO技术政策和创新执行总监Simon McDougall在威斯敏 斯特媒体论坛上发表演讲，主旨即是——程序化广告行业“必须做出改变”。 McDougall特别强调，ICO发布的这份报告旨在对广告技术行业参与者提出“警 告和警示”（“a warning and a wake-up call”）；程序化广告行业的个人信息 处理行为在ICO看来：“错误......不成比例、入侵性强和不公平”。 （“wrong…disproportionate, intrusive and unfair.”）McDougall还在演讲中指出， 行业将有六个月的时间进行必要调整，ICO将持续监督进展情况，否则将直接 进入执法程序。 官 实际上，欧盟成员国中并非英国盯上了程序化广告行业。2019年5月22日， 爱尔兰数据保护委员会将根据“2018年数据保护法”第110条对谷歌公司Ad Exchange个人数据处理行为正式启动调查。 护 为什么欧盟的数据保护局（DPA）盯上了程序化广告行业？在ICO《广告 技术和实时竞价的更新报告》中有很详细的解析。但如果要用一段话来浓缩的 话，就是ICO专员Elizabeth Denham在报告前言中所述： 据 保 “当您访问某网站时，您看到的一些广告是专门为您选 择的。在加载网站的时候，网站媒体对您正在浏览的网页上 的某个空间进行了竞卖，想要接触您这样的人群的广告主会 购买此空间。这一过程可能涉及许多公司，并且发生在几毫 秒之内。每天在网页和应用程序上会投放数十亿的在线广告。 数 这个过程——所谓的实时竞价（RTB）——依赖于广告主 所能查看的您的信息。这些信息可能比较基础，如您用来浏 览网页的设备或者您所在的国家。但也可以更加详细，包括 您访问过的网站、您的兴趣点，甚至是您一直在查询的有关 您的健康状况的信息。” 在监管机构看来，RTB涉嫌违反GDPR的核心是——RTB向大量广告投标公 司大量地“广播”个人数据（the broadcast of personal data），同时，RTB对这 些投标公司后续持有、处理个人数据的行为没有任何实质性的安全管控。 事实上，RTB在中国也是遍地开花。因此，欧盟机关对该行业的态度、调 查，甚至于执法，都应当引起我们足够的重视。为此，数据保护官（DPO）社 群的热心同学翻译了ICO的这份报告，供大家参考。（洪延青） 信息专员办公室 官 沙 龙 广告技术和实时 竞价的更新报告 数 据 保 护 2019年6月20日 目录 专员前言 .................................................................................................. 3 1. 执行摘要 ......................................................................................... 5 2. 介绍 ................................................................................................ 8 什么是广告技术（adtech）和实时竞价（RTB）？ ..................................... 8 2.2 信息权的风险是什么？..................................................................... 9 2.3 为什么发布这份报告？................................................................... 10 2.4 RTB的工作机制是怎样的？ ............................................................. 10 2.5 参与者是谁？ ............................................................................. 11 2.6 竞价请求中包含哪些信息？ ............................................................. 12 2.7 这种处理是如何进行的？ ................................................................ 14 3 沙 龙 2.1 官 关键问题是什么？ .........................................................................15 合法依据和PECR ......................................................................... 15 3.2 特殊类别数据 ............................................................................. 16 3.3 非特殊类别数据 ........................................................................... 17 3.4 缺乏透明性 ................................................................................ 19 3.5 数据供应链 ................................................................................ 20 3.6 数据保护影响评估（DPIA） ............................................................ 21 3.7 解决问题的行业举措 ..................................................................... 22 据 保 护 3.1 总结与结论 ................................................................................... 23 5. 下一步行动 ................................................................................... 24 数 4 5.1 有针对性的信息收集活动 ................................................................ 24 5.2 与关键利益相关方沟通................................................................... 24 5.3 与其他数据保护机构的合作 ............................................................. 24 5.4 行业审查 ................................................................................... 24 6. FAQ .............................................................................................. 25 2 专员前言 作为英国负责数据保护的监管机构，我们希望人们对数据的使用有信心，即使是在复杂的 线上系统中。 这就是为什么我的办公室将优先考虑到广告技术领域的原因。对于网页和应用程序中出 现的广告，很多人不会思考这一复杂的过程，其实其幕后是一个复杂的大型系统。 沙 龙 当您访问某网站时，您看到的一些广告是专门为您选择的。在加载网站的时候，网站媒 体对您正在浏览的网页上的某个空间进行了竞卖，想要接触您这样的人群的广告主会购 买此空间。这一过程可能涉及许多公司，并且发生在几毫秒之内。每天在网页和应用程 序上会投放数十亿的在线广告。 这个过程——所谓的实时竞价（RTB）——依赖于广告主所能查看的您的信息。这些信息 可能比较基础，如您用来浏览网页的设备或者您所在的国家。但也可以更加详细，包括您 访问过的网站、您的兴趣点，甚至是您一直在查询的有关您的健康状况的信息。 信息专员办公室（ICO）出版这份报告正是因为这个过程使用了个人数据。 护 官 我们的工作是检查人们的个人数据是如何被使用和共享的。更具体地说，我们想看看这个 过程是否符合法律——通用数据保护条例（GDPR）和隐私及电子通信法（PECR）。例 如，GDPR对透明性有明确的要求。该法律还要求组织在处理您的个人数据时要有合法依 据，并且要求保持信息安全。 据 保 为了得到这些问题的答案，我们访谈了行业内的不同领域，从媒体到广告主，从民间团体 到创业公司，从高科技公司到法律顾问。我们把100多人聚集在一起，在伦敦举行了一天 的实况调查活动。我们考虑了从消费者那里收到的关于如何处理他们的数据的问题。 我们发现，整个行业都理解需要做出改进，以符合法律。我们的这份报告阐明了我们希 望看到变化的地方，并列出了我们期望的行动时间表