Google пока не тестирует FLoC в Европе

В начале этого месяца Google незаметно начал испытания «песочницы конфиденциальности»: его запланированная замена adtech для отслеживания файлов cookie, поскольку он работает над постепенным прекращением поддержки сторонних файлов cookie в браузере Chrome – системы для перенастройки доминирующей веб-архитектуры путем замены отдельной рекламы таргетинг с помощью рекламы, нацеленной на группы пользователей (также известный как федеративное обучение когорт или FLoC), и которая, как это громко утверждалось, по-прежнему будет иметь большой потенциал для рекламодателей.

По поводу этого плана возникает ряд гигантских вопросов. Не в последнюю очередь, снизит ли таргетинг на группы людей, которые непрозрачно застряли в алгоритмически вычисленных корзинах на основе интересов, основанных на их истории просмотров, вред, который стал широко ассоциироваться с поведенческой рекламой.

Если вас беспокоит онлайн-реклама, которая дискриминирует защищенные группы или стремится эксплуатировать уязвимых людей (например, тех, кто страдает игровой зависимостью), FLoC вполне могут просто служить более оскорбительным. EFF, например, назвал FLoC «ужасной идеей», предупреждая, что система может усугубить проблемы, такие как дискриминация и хищническое нацеливание.

Рекламодатели также спрашивают, действительно ли FLoC будут приносить сопоставимый доход, как утверждает Google.

Опасения по поводу конкуренции также преследуют Google Privacy Sandbox, который расследуется антимонопольными органами Великобритании и, как недавно сообщило агентство Reuters, также подвергся проверке со стороны Министерства юстиции США.



Игроки Adtech жалуются, что переход просто увеличит власть Google привратника над ними, заблокировав их доступ к данным веб-пользователей, даже если Google может продолжать отслеживать своих собственных пользователей – используя эти собственные данные вместе с новым рвом, который, как они утверждают, будет держать их в неведении о том, что люди делают в Интернете. (Хотя будет ли фактически делать это совсем не понятно.)

Антимонопольное законодательство, конечно, является удобным аргументом для индустрии рекламных технологий, чтобы стратегически противостоять перспективе защиты частной жизни для частных лиц. Но регуляторы конкуренции по обе стороны пруда настолько обеспокоены динамикой влияния Google, которая прекращает поддержку файлов cookie для отслеживания, что они внимательно изучают.

И еще есть вопрос о самой конфиденциальности, который, очевидно, тоже заслуживает пристального внимания.

Рекламная кампания Google для «песочницы конфиденциальности» очевидна в выборе названия бренда, что говорит о его стремлении продвигать восприятие технологии, которая защищает конфиденциальность.

Это ответ Google на растущую ценность защиты личных данных после многих лет скандалов, связанных с утечкой данных и их неправомерным использованием.

Ужасная репутация сейчас преследует отрасль слежения (или «индустриальный комплекс данных», как Apple любит осуждать это) – в результате громких скандалов, таких как разжигаемые Кремлем манипуляции избирателями в США, а также просто демонстративной неприязни пользователей Интернета к преследованию рекламы в Интернете. (Это очевидно по постоянно растущему использованию трекеров и блокировщиков рекламы, а также по реакции других веб-браузеров, которые приняли ряд мер по борьбе с отслеживанием на годы раньше, чем Chrome, принадлежащий Google).

Учитывая стремление Google к тому, чтобы его песочница конфиденциальности воспринималась как защита конфиденциальности, возможно, немалая ирония заключается в том, что он на самом деле не проводит эти тесты происхождения FLoC в Европе, где применяются самые строгие и всеобъемлющие законы о конфиденциальности в Интернете.

AdExchanger вчера сообщил о комментариях инженера Google d.во вторник я провел встречу бизнес-группы по улучшению веб-рекламы в Консорциуме World Wide Web. «Для стран Европы мы не будем включать тестирование оригинала. [of FLoC] для пользователей в ЕЭЗ [European Economic Area] страны » Сообщается, что сказал Майкл Клебер.

В начале марта TechCrunch получил подтверждение от Google, что это так. «Первоначально мы планируем начать испытания оригинала в США и планируем провести это на международном уровне (в том числе в Великобритании / ЕЭЗ) позднее», – сообщил нам представитель в начале этого месяца.

«Как мы уже рассказали, мы ведем активные обсуждения с независимыми органами, в том числе с регулирующими органами по вопросам конфиденциальности и Управлением по конкуренции и рынкам Великобритании, – поскольку в других вопросах они имеют решающее значение для определения и формирования наилучшего для нас подхода к обеспечению конфиденциальности в Интернете, ость и мир в целом », – добавил он.

Речь идет о том факте, что Google выбрал автоматическую регистрацию сайтов в исходных испытаниях FLoC, а не ручную регистрацию, которая могла бы предложить путь для реализации потока согласия.

А отсутствие согласия на обработку персональных данных, по-видимому, является правовой областью, вызывающей озабоченность при проведении таких онлайн-тестов в Европе, где законодательство, такое как Директива о конфиденциальности (которая охватывает файлы cookie для отслеживания) и более поздний Общий регламент защиты данных (GDPR), который еще больше усиливает требования о согласии в качестве правовой основы применяются оба.

На вопрос, как обрабатывается согласие на испытания, представитель Google сказал нам, что некоторые элементы управления появятся в апреле: «С выпуском Chrome 90 в апреле мы выпустим первые элементы управления для песочницы конфиденциальности (во-первых, простое включение / выкл), и мы планируем расширить эти элементы управления в будущих выпусках Chrome, поскольку все больше предложений достигнет стадии первоначального тестирования и мы будем получать больше отзывов от конечных пользователей и представителей отрасли ».

Непонятно почему Google автоматически регистрирует сайты в испытании, а не запрашивает согласие – помимо очевидного, что такой шаг добавит трений и внесет еще один уровень сложности, ограничив размер тестового пула только теми, кто согласится. По-видимому, Google не хочет, чтобы его так ограничивали во время разработки продукта.

«Во время первоначального испытания мы по умолчанию поддерживаем все сайты, которые уже содержат рекламу, чтобы определить, какой FLoC назначен профилю», – сказал нам его представитель, когда мы спросили, почему это сайты с автоматической регистрацией. «После того, как окончательное предложение FLoC будет реализовано, мы ожидаем, что расчет FLoC будет проводиться только на сайтах, которые согласились участвовать».

Он также уточнил, что любой пользователь, заблокировавший сторонние файлы cookie, не будет включен в пробную версию Origin, поэтому пробная версия не является полностью бесплатной даже в США.

У Google есть причины действовать осторожно. Его тесты Privacy Sandbox быстро показали, что происходит утечка данных о режиме просмотра инкогнито, раскрывающая часть информации, которая может быть использована для снятия отпечатков пальцев пользователя. Что явно не способствует конфиденциальности.

«Если FloC по умолчанию недоступен в режиме инкогнито, то это позволяет обнаруживать пользователей, просматривающих в режиме приватного просмотра», – написал исследователь безопасности и конфиденциальности д-р Лукаш Олейник в ходе первоначального анализа конфиденциальности песочницы в этом месяце, в котором он обсуждал последствия. ошибки.

«Хотя действительно, личные данные об идентификаторе FloC ID не предоставляются (и по уважительной причине), это все еще утечка информации», – продолжил он. «По-видимому, это ошибка дизайна, потому что авторы функции предвидят такое поведение. Это позволяет различать режимы инкогнито и обычный просмотр веб-страниц. Такого поведения следует избегать ».

Тесты Google Privacy Sandbox, автоматизирующие новую форму отпечатков пальцев в браузере, не «в сообщении» с заявленным повышением конфиденциальности пользователей. Но Google, по-видимому, надеется решить такие проблемы с помощью тестирования и по мере продолжения разработки системы.

(Действительно, представитель Google также сказал нам, что «противодействие снятию отпечатков пальцев является важной целью песочницы конфиденциальности», добавив: «Группа разрабатывает технологию для защиты людей от непрозрачных или скрытых методов, которые обмениваются данными об отдельных пользователях и позволяют отслеживать людей. скрытым способом. Один из этих методов, например, включает использование IP-адреса устройства, чтобы попытаться идентифицировать кого-то без его ведома или возможности отказаться ».

В то же время неясно, нужно ли Google получать согласие пользователя для легального проведения тестов в Европе. Существуют и другие правовые основы, хотя потребуется тщательный юридический анализ, чтобы установить, можно ли их использовать. Но, безусловно, интересно, что Google решил, что не хочет рисковать тестированием, сможет ли он законно испытать эту технологию в Европе без согласия.

Вероятно, уместным является тот факт, что Директива о конфиденциальности данных не похожа на гармонизированный GDPR, который направляет трансграничные жалобы через ведущий надзорный орган, сокращая нормативное воздействие, по крайней мере, в первую очередь.

Любой DPA ЕС может иметь компетенцию для расследования вопросов, связанных с электронной конфиденциальностью на своих национальных рынках. А именно: в конце прошлого года французское агентство CNIL оштрафовало Google на 120 миллионов долларов за удаление отслеживающих файлов cookie без согласия, что подчеркнуло риски неправильного принятия закона ЕС о согласии. А штраф для Privacy Sandbox, связанный с конфиденциальностью, был бы ужасным пиаром. Так что Google, возможно, посчитал, что просто ждать менее рискованно.

В соответствии с законодательством ЕС определенные типы персональных данных также считаются очень конфиденциальными (также называемые «данные особой категории») и требуют еще более высокого уровня явного согласия на обработку. Такие данные нельзя объединить в согласие на уровне сайта, но для каждого случая потребуется конкретное согласие. Другими словами, при тестировании с такими данными возникнет еще больше проблем.

Это может объяснить, почему Google планирует провести региональное тестирование позже – если он сможет выяснить, как избежать обработки таких конфиденциальных данных. (Соответствующий: Анализ предложения Google предполагает, что окончательная версия намерена избежать обработки конфиденциальных данных при вычислении идентификатора FLoC – чтобы избежать именно этого сценария.)

Если / когда Google действительно внедрит тесты Privacy Sandbox в Европе «позже», как он сказал (также заявив, что он «на 100% привержен Sandbox конфиденциальности в Европе»), он, вероятно, сделает это, когда добавит вышеупомянутые элементы управления для Chrome – это означает, что он сможет предлагать пользователям своего рода подсказку, спрашивая, хотят ли они выключить технологию (или, что еще лучше, включить).

Хотя, опять же, неясно, как именно это будет реализовано – и будет ли поток согласия частью тестов.

Google также не предоставил график, когда тесты начнутся в Европе. Когда мы спросили об этом, он также не указал другие страны, в которых проводятся испытания, помимо США.

На момент написания он также не ответил на ряд дополнительных вопросов, но мы обновим этот отчет, если получим более подробную информацию.

(Текущее) отсутствие региональных тестов поднимает вопросы о пригодности Privacy Sandbox для европейских пользователей – как отметил Робин Берджон из New York Times, отметив, что через Twitter что «рынок работает иначе».

«Непроведение тестов на происхождение уже является проблемой… но даже не зная, может ли у этого в конечном итоге появиться законное основание для запуска, кажется странной позицией, которую можно занять?» он тоже написал.

Google наверняка когда-нибудь будет нуждаться в тестировании FLoC в Европе. Потому что альтернатива – внедрение непроверенных на региональном уровне рекламных технологий – вряд ли будет хорошим подспорьем для рекламодателей, которые уже оплакивают Privacy Sandbox из соображений конкуренции и риска для доходов.

Тем временем Ирландская комиссия по защите данных (DPC), которая в соответствии с GDPR является ведущим органом по надзору за данными Google в регионе, подтвердила нам, что Google консультировался с ней по поводу плана Privacy Sandbox.

«Google консультировался с DPC по этому поводу, и мы знали о развертывании судебного разбирательства», – сказал нам сегодня заместитель комиссара Грэм Дойл. «Как вы знаете, это еще не было развернуто в ЕС / ЕЭЗ. Если и когда Google представит нам подробные планы с изложением своего намерения начать использовать эту технологию в ЕС / ЕЭЗ, мы рассмотрим все вопросы дополнительно на этом этапе ».

DPC проводит ряд расследований бизнеса Google, вызванных жалобами на GDPR, в том числе расследование его рекламных технологий в мае 2019 года и расследование обработки данных о местоположении пользователей в феврале года. продолжаются.

Но – в одном из устаревших примеров рисков неправильного соблюдения требований ЕС по защите данных – компания CNIL Франции оштрафовала Google на 57 миллионов долларов еще в январе 2019 года (в соответствии с GDPR, поскольку его пользователи из ЕС еще не подпадали под юрисдикцию DPC Ирландии) за: в этом случае, недостаточно ясно объясняя пользователям Android, как он обрабатывает их личную информацию.