信息來源：安全內(nèi)參

近日，愛爾蘭公民自由委員會（Irish Council for Civil Liberties，ICCL）公布了一份報告，對其認定的一起“史上最大規(guī)模數(shù)據(jù)泄露事件”進行了披露。

報告顯示，如谷歌、微軟等公司會利用實時競價系統(tǒng)將用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息提供給廣告商，美國用戶每天被分享747次，歐洲用戶376次。谷歌回應(yīng)稱，其一直對與廣告商共享用戶數(shù)據(jù)進行嚴格限制，并要求在投放個性化廣告前取得用戶同意。

何為實時競價系統(tǒng)（簡稱RTB）？公開資料顯示，RTB是一種利用第三方技術(shù)，在數(shù)以百萬計的網(wǎng)站上針對每一個用戶展示行為進行評估以及出價的競價技術(shù)。簡而言之，可理解為讓廣告商通過瀏覽記錄和地理位置信息來鎖定潛在用戶并針對目標廣告位進行出價的過程，目的是為了實現(xiàn)精準營銷。

根據(jù)ICCL發(fā)布的報告，谷歌、微軟等公司使用RTB系統(tǒng)實時追蹤并分享用戶的網(wǎng)絡(luò)瀏覽記錄和地理位置信息給廣告商，以便廣告商選擇有潛在用戶瀏覽的網(wǎng)頁精準投放廣告。在美國其每天分享上述用戶信息2940億次，平均每人被曝光747次；在歐洲每天分享1970億次，平均每人被曝光376次，并且“沒有任何辦法可以控制這些數(shù)據(jù)的用途”。

用戶數(shù)據(jù)的被分享次數(shù)在不同地區(qū)或國家也有所差別。具體而言，美國科羅拉多州的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)987次，加利福尼亞州為804次，華盛頓哥倫比亞特區(qū)則為486次。在歐洲，英國的網(wǎng)絡(luò)用戶平均每人每天被分享數(shù)據(jù)462次。

報告指出，美國網(wǎng)絡(luò)用戶被分享網(wǎng)絡(luò)瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點推測，該情況與美國和歐洲的隱私法規(guī)差異較大有關(guān)，在規(guī)定嚴格而全面的數(shù)據(jù)保護框架《通用數(shù)據(jù)保護條例》（GDPR）的“保駕護航”下，歐洲監(jiān)管機構(gòu)多年來一直針對濫用的廣告技術(shù)采取措施。

報告推測，總體而言，美國網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)瀏覽記錄和位置信息每年被追蹤和共享107萬億次，歐洲每年為71萬億次，并稱這些用戶數(shù)據(jù)會被發(fā)送至全球各地的公司。值得一提的是，報告強調(diào)上述數(shù)據(jù)都十分保守，因為此次ICCL僅選擇了在線廣告生態(tài)系統(tǒng)的“巨頭”之一谷歌參與統(tǒng)計，并未關(guān)注臉書和亞馬遜。

報告指出，谷歌是最大限度利用RTB系統(tǒng)的“罪魁禍首”，其向高達4698家公司提供美國用戶的相關(guān)數(shù)據(jù)，向1058家公司提供歐洲用戶的相關(guān)數(shù)據(jù)，而微軟可向1647家公司提供。由于這些用戶數(shù)據(jù)是通過互聯(lián)網(wǎng)傳播的，它們還面臨著被“非官方合作伙伴”攔截和利用的風險。

事實上，這并非RTB系統(tǒng)的信息安全問題首次引發(fā)關(guān)注。2019年5月，在收到用戶針對谷歌RTB系統(tǒng)的隱私投訴后，愛爾蘭數(shù)據(jù)保護委員會（DPC）對谷歌展開法定調(diào)查，試圖確定其對用戶個人數(shù)據(jù)的處理是否適當，然而該調(diào)查至今沒有結(jié)果。

因此，今年3月，ICCL的資深研究員約翰尼·瑞安（Johnny Ryan）將DPC告上了法庭，理由是其未能對谷歌的大規(guī)模數(shù)據(jù)泄露行為采取行動，目前愛爾蘭高等法院已同意進行審理。同時，他還向歐盟監(jiān)察專員投訴，稱歐盟委員會（European Commission）未能妥善監(jiān)督GDPR的實施。

ICCL始終認為RTB本質(zhì)上是不安全的——通過在互聯(lián)網(wǎng)上與成千上萬的廣告商進行大規(guī)模的用戶個人數(shù)據(jù)交易來實現(xiàn)廣告的精準投放，這種做法風險很大，個人信息無法得到充分保護。因此，ICCL將此定義為“史上最大規(guī)模的數(shù)據(jù)泄露”。

據(jù)悉，針對該報告，谷歌發(fā)言人作出了回應(yīng)，稱其在使用RTB系統(tǒng)時采取了行業(yè)領(lǐng)先的保護措施，并對與廣告商共享用戶數(shù)據(jù)進行了嚴格限制?！拔覀儾粫窒韨€人身份信息，也不會展示基于健康、種族或宗教等敏感信息而投放的廣告，多年來我們一直要求廣告商在展示任何個性化廣告之前取得用戶的同意?！绷硗?，微軟方面則拒絕對此置評。