Twitter披露了更多与其如何将个人数据用于广告目标相关的错误,这意味着它可能已经与广告合作伙伴共享了用户数据,即使用户明确表示不这样做。
早在5月,社交网络就披露了一个bug,在某些情况下,在实时竞价(R TB)拍卖过程中,账户的位置数据被与Twitter广告合作伙伴共享。
在其帮助中心(Help Center)的一篇关于最新“问题”的博客文章中,Twitter表示,它“最近”发现,它承认在用户的广告设置选择中发现了两个问题,这意味着他们“可能没有按预期工作”。
该公司声称,这两个问题都是在8月5日修复的。尽管它没有具体说明自己何时意识到自己是在未经用户同意处理用户数据的。
第一个bug与跟踪广告转换有关。这意味着,如果Twitter用户在平台上点击或查看移动应用程序的广告,并随后与移动应用程序互动,Twitter表示,它“可能已经与其广告测量和广告合作伙伴共享了某些数据(例如,国家代码;如果你参与广告的时间和时间;广告信息等)”--不管用户是否同意以这种方式共享个人数据。
这表明这一数据泄露事件自2018年5月以来就一直在发生——这也是欧洲更新的隐私框架GDP R生效的一天。该条例要求披露数据漏洞(这解释了为什么你从Twitter上听到所有这些问题),这意味着相当多的人依赖于Twitter“最近”如何发现这些最新的错误。因为GDP R还包括一个超大规模的罚款制度,对确认的数据保护违规行为。
尽管Twitter现在的漏洞百出的广告技术是否会引起监管部门的关注还有待观察。
推特可能已经/意外/分享了用户的数据给广告合作伙伴,即使是那些选择退出个性化广告的人。这将违反用户设置和期望,而#GDP R是一个准合同。https://t.co/s0acfllEhG
——Lukaz Olejnik(@lukOlejnik)2019年8月7日
推特规定,它不与广告合作伙伴分享用户姓名、Twitter句柄、电子邮件或电话号码。然而,它确实共享用户的移动设备标识符,GDP R将其视为个人数据,因为它充当唯一标识符。使用这一标识符,Twitter和Twitter的广告合作伙伴可以一起将设备标识符链接到他们共同持有的同一用户的其他与身份相关的个人数据,以跟踪他们使用更广泛的互联网的情况,从而允许在后台进行用户分析和恐怖广告锁定。
Twitter在博客文章中披露的第二个问题也涉及到跟踪用户更广泛的网页浏览,以服务于他们的目标广告。
在这里,Twitter承认,自2018年9月以来,它可能已经服务于有针对性的广告,这些广告使用了基于跟踪用户更广泛地使用互联网而对用户利益进行的推断-即使用户没有得到被跟踪的许可。
这听起来像是对GDPR的又一次违反,因为在用户不同意被跟踪以Twitter为目标的广告的情况下,处理他们的个人数据将缺乏法律依据。但它说,无论如何,它处理了它--尽管,它声称是偶然的。
这种令人毛骨悚然的广告定位--基于所谓的“推断”--之所以成为可能,是因为Twitter将你登录到Twitter服务时使用的设备(包括移动设备和浏览器)与Twitter账户联系起来,然后从其广告合作伙伴那里接收链接到这些设备标识符(IP地址和潜在浏览器指纹)的信息,这些信息可能是通过跟踪cookie(包括Twitter自己的社交插件)收集的,这些信息在主流互联网上广泛存在,目的是跟踪你在网上看到的内容。
这些第三方广告cookie将个人的浏览数据(转化为推断的兴趣)与独特的设备/浏览器标识符(链接到个人)连接起来,使广告技术行业(平台、数据经纪人、广告交易所等)能够在整个网络上跟踪网络用户,并为他们提供“相关”(又称毛骨悚然)广告。
自2018年9月以来,作为我们在Twitter和其他服务上尝试和服务更相关广告的一部分,我们可能已经向您展示了基于我们对您使用的设备的推断的广告,即使您没有给予我们这样做的许可,”Twitter如何解释了这第二个‘问题。
它补充道:“所涉及的数据都保存在Twitter上,不包含密码、电子邮件账户等内容。”虽然这里的关键点是缺乏同意,而不是数据的最终结果。
(此外,用户通过cookie跟踪连接到自己设备上的更广泛的互联网浏览活动,并不源自Twitter--尽管Twitter声称自己从“受信任的”合作伙伴那里收到的监控文件仍在其服务器上。在任何情况下,跟踪的数据都会到处存在。)
Twitter在其网站“基于推断身份的个性化”的解释中试图向用户保证,未经用户同意,它不会跟踪他们,并写道:
我们致力于为您提供有意义的隐私选择。您可以控制我们是否基于浏览器或设备来操作和个性化您的体验,而不是您用来登录Twitter的浏览器或设备(或者如果您正在注销、浏览器或设备,而不是您当前正在使用的浏览器或设备),或者类似于与您的Twitter帐户链接的电子邮件地址和电话号码。您可以通过访问您的个性化和数据设置来实现这一点,并根据您推断的身份设置调整个性化。
这种情况下的问题是用户的隐私选择被简单地覆盖了。Twitter表示,它并没有故意这么做。但不管怎样这都不是同意。所以这是个突破口。
“我们知道你会想知道你是否受到个人影响,以及总共有多少人参与其中。我们仍在进行调查,以确定谁可能受到了影响,如果我们发现更多有用的信息,我们将分享它,“Twitter继续说。“你有什么要做的?除了检查您的设置,我们不相信有任何事情可以为您做。
“你相信我们会跟随你的选择,我们在这里失败了。我们很抱歉发生了这件事,并且正在采取措施确保我们不会再犯这样的错误。如果您有任何问题,可以通过此表单与Twitter的数据保护办公室联系。“
虽然该公司可能“相信”Twitter用户无能为力——除了接受其对错误的道歉之外——但那些认为Twitter在未经其同意的情况下处理其数据的欧洲Twitter用户确实有一个他们可以采取的行动方针:他们可以向当地的数据保护监督机构投诉。
在欧洲,也有一些重大的法律问题挂在针对行为目标的广告上。
英国隐私监管机构6月份警告称,通过Cookie等入侵跟踪技术对网络用户进行系统分析,违反了泛欧盟的隐私法律,此前该地区多次投诉称RTB违反了GDPR。
早在5月份,谷歌在欧洲的主要监管机构爱尔兰数据保护委员会(Irish Data Protection Commission)就证实,它已经开始正式调查在其在线广告交易所(AdExchange)使用个人数据的情况。
因此,更广泛的观点是,所有漏洞百出的令人毛骨悚然的广告业务看起来都是借来的时间。