Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Analiza ochrony danych Protected Audience API Protected (Privacy Sandbox), przyszłości kierowania reklam w internecie

Trwają procesy zapoczątkowane około 2010 roku. Przeglądarki internetowe poprawiają prywatność użytkowników, w tym w zakresie wyświetlania reklam online, historycznie bardzo mocno oparte o przetwarzanie prywatnych danych i śledzenie użytkowników. Zmiany są w toku. Być może kiedyś uda się też pożegnać się z „wyskakującymi powiadomieniami o prośbę na zgodzę na pliki cookie”, irytujące dla tak wielu ludzi. Od ok. 2015 widzimy zmiany technologiczne.

Jedną z takich współczesnych interesujących propozycji jest Privacy Sandbox, obecnie wdrażany w Chrome, przeglądarce internetowej z największą liczbą użytkowników. Ma to łączyć ogień i wodę: możliwość wyświetlania „dopasowanych” reklam bez śledzenia użytkownika w oparciu o intensywne przetwarzanie danych osobowych, W szczególności propozycje Privacy Sandbox obejmują rozwiązanie polegające na „wyświetlaniu dostosowanych reklam” bez inwazyjnego śledzenia użytkowników. To Protected Audience API (PAA).

Jestem autorem wielu prac badawczych, recenzji i ocen prywatności technologii. Tym razem przeprowadziłem zaawansowaną analizę ochrony danych osobowych Protected Audience. To jest treść mojego LL.M. (Information Technology Law na Uniwersytecie Edynburskim).

Ochrona danych w Protected Audience API

Przeanalizowałem interfejs API Protected Audience API (PAA) Privacy Sandbox w kontekście europejskich przepisów o ochronie danych osobowych. Ogólny wniosek jest taki, że możliwe jest wdrożenie i użycie tego systemu w sposób zgodny z europejskim prawem o ochronie danych.

Chociaż podchodzę do tego problemu od strony prawa o ochronie danych, ważne są też elementy prawa konkurencji. Moja praca może służyć jako przydatne odniesienie dla badaczy, ekspertów, przemysłu, prawników i organów regulacyjnych (ochrona danych, konkurencja). Moja analiza jest dokładna, dokonana w sposób niezwykle świadomy tematu (który znam od ponad 10 lat) i przeprowadzona ze świadomością debat społecznych i politycznych oraz przepisów.

Co to jest Protected Audience API

PAA umożliwia wyświetlanie treści kontekstowych lub „dopasowanych”. Treścią, o której mowa, mogą być reklamy. Dlaczego zwiększa to (lub poprawia) prywatność w porównaniu do tego jak się to odbywa dziś powszechnie?  To dzięki specjalnemu projektowi technicznemu.

PAA znacznie różni się od stosowanych wcześniej/dziś mechanizmów targetowania i wyświetlania reklam, które opierały się/są na silnym śledzeniu użytkowników, intensywnym przetwarzaniu danych użytkowników, wyświetlaniu i raportowaniu ujawniającym zainteresowania użytkowników,  pozwalającemu na wydobywanie informacji takich jak jak płeć użytkownika, cechy demograficzne, zainteresowania itp.

Ujmując to inaczej: analizę danych umożliwiających profilowanie użytkownika.

W takich systemach intensywne przetwarzanie odbywa się po stronie serwera, w sposób niewidoczny dla użytkownika lub zewnętrzne, otwarte audyty. Jak zmienić taki system? Przenosząc większość przetwarzania do miejsc bliżej użytkownika.

PAA wykorzystuje zmiany w architekturze platformy internetowej i jest głównym powodem, dla którego możemy spodziewać się radykalnych zmian w wyświetlaniu reklam, z punktu widzenia bezpieczeństwa i prywatności oraz przejrzystości.

PAA działa na zasadzie przetwarzania danych w „urządzeniu użytkownika”. W ogólności, działą tak:

  • użytkownik przegląda stronę internetową zawierającą skrypty wykonawcze
  • W odpowiedzi na to, co użytkownik przegląda (produkt lub stronę internetową o czymś konkretnym, np. białe wina?) lub co robi (dodaje lub usuwa coś z koszyka zakupowego?) skrypty mogą wykonywać wywołania, które przypisują użytkownika do „grupy zainteresowań” (Interest Group; np. „lubi-koty”), w odpowiedzi na aktywność użytkownika. Te informacje nigdy nie opuszczają urządzenia użytkownika (tj. przeglądarki internetowej) i nie pozyskują ich podmioty zbierające/przetwarzające danych. To różnica w porównaniu z dzisiejszą technologią reklamową.
  • Jakiś czas później, gdy użytkownik przegląda inną stronę, skrypty mogą uruchomić aukcję reklam, w której wykorzystywane są informacje wejściowe. W tym wspomniane „grupy zainteresowań”.
  • Aukcja jest wykonywana na urządzeniu użytkownika. Podczas aukcji obliczana/oceniana jest zadana logika wykonawcza. Reklama zwycięzcy jest wyświetlana. Wszystko to dzieje się w izolowanej ramce – żadna informacja nie „wycieka” z tego zamkniętego środowiska. Inaczej niż dzisiaj.
  • Reklama jest wyświetlana, a po pewnym czasie zagregowane statystyki dotyczące wyświetlania reklamy mogą zostać przesłane do dostawców.

Przyznam, że ten system jest ciekawie zaprojektowany i bardzo różni się od tego, co działało wczoraj i co działa powszechnie dzisiaj. Stawia to na głowie znane koncepcje i wymaga zmiany modelu myślenia o działaniu reklam internetowych. Wydaje się, że opiera się on na niektórych wcześniejszych badaniach akademickich dotyczących kierowania reklam w sposób chroniący prywatność (a dobrze znam temat z czasów studiów doktoranckich, kolega z „pokoju obok” pracował właśnie nad tym).

Głównym przesłaniem tej analizy jest to, że system ten można wdrożyć do operowania na danych nieosobowych. W takiej sytuacji RODO mogłoby nawet nie (musieć) mieć zastosowania.

Nie potrzeba zgody?

System ten może wykorzystywać dwie podstawy prawne: zgodę lub uzasadnione interesy. Aby odblokować możliwość korzystania z uzasadnionych interesów (które nie wymagają zgody), należy przeprowadzić test równowagi w zakresie ochrony danych. Musi uwzględniać interesy procesora (np. strony internetowej) i użytkownika (ich prywatność). Wykonuję taki test. Rezultat: „PAA nie działa na zasadzie monitorowania aktywności użytkownika: (1) targetowanie reklam odbywa się na urządzeniu (lub w izolacji), (2) nie są zbierane żadne dane osobowe w celu późniejszego pośrednictwa, (3) brak możliwości „dalszego przetwarzania”.

Jest to ważna kwestia, ponieważ test bilansujący musi uwzględniać wpływ na osobę, której dane dotyczą,  … Są one uwzględnione w projekcie PAA.”

Jeżeli informacje nie miałyby być przetwarzane w sposób śladowy lub nie miałyby być przetwarzane wcale, wpływ na osobę, której dane dotyczą, byłby niewielki, minimalny lub nawet żaden. To robi wrażenie, zwłaszcza gdy porównać to z poprzednimi systemami.

Przetwarzanie danych może w ogóle nie nastąpić

Jeżeli dostęp do danych jest technicznie niemożliwy, niezasadne byłoby uznanie użytkownika za możliwego do zidentyfikowania. Zgodnie z wyrokiem Breyer. Stąd wniosek, że lista „grup zainteresowań” nie stanowi informacji umożliwiającej identyfikację w sensie RODO.

W związku z tym istnieje możliwość korzystania z tego systemu w sposób nie przetwarzających danych osobowych. A przynajmniej byłoby to możliwe. Wszystko zależy od wdrożenia.  

Zgoda ePrivacy

Kwestia udzielania zgody jest ważna. Powodem jest to, że dyrektywa ePrivacy i może nadal jej wymagać. Dlaczego? Ponieważ operuje na koncepcji „informacji”, a nie „danych osobowych”. Informacja - rzecz ogólna, może stanowić np. poziom temperatury wody w czajniku.

W przypadku PAA, chodziłoby o informacje nawet jeśli dostawcy sieci reklamowych „nie uzyskują dostępu do danych, gdy osoby, których dane dotyczą, odwiedzają stronę internetową”. Wykonanie operacji powodujących dołączenie lub opuszczenie przez użytkownika di „grupy zainteresowań”  stanowiłoby modyfikację informacji w terminalu użytkownika i może to wystarczyć do osiągnięcia progów wymagających pytania o zgodę.

Czy to oznacza, że ​​PAA nie potrzebuje zgody i jednocześnie potrzebuje zgody?

Tak, w pewnym sensie. Jednakże RODO wykorzystuje zgodę do innych celów. A co do zgody ePrivacy (która może być potrzebna!)... Spójrzmy prawdzie w oczy. Wymaganie tego w przypadku systemów przyjaznych prywatności nie ma ograniczony sens. Obecnie wydaje się zatem, że prawo to (ePrivacy) jest niedostosowane do technologii chroniących i zwiększających prywatność. Wymaga zgody nawet w przypadkach, gdy poziom oferowanej prywatności jest bardzo wysoki. Z tego powodu należy zmienić to prawo, aby właściwie uwolnić pełny potencjał technologii prywatności z korzyścią dla użytkownika. Obecnie tak nie jest, ponieważ debata polityczna w sprawie potrzeb w zakresie zgody utknęła w martwym punkcie,

Sprawy konkurencji

Aspekty konkurencji w technologii stają się ostatnio ważne. Nie ma w tym obszarze standardów technicznych. Poruszam i  tę kwestię w swojej pracy. Oddzielny wpis  na ten temat jest tutaj.

Przyszłość

  • Przyszłość AdTech z treściami tworzonymi generatywną AI może doprowadzić do rzeczywistości gdy tworzenie reklam przez generatywne AIbędzie dostosowane do konkretnego użytkownika, dynamicznie. Prawdopodobnie konieczne będzie opracowanie nowych standardów, w tym przepisów.  Nie wspominając już o rozważaniach technicznych dotyczących projektu/wdrożenia. Wyzwania są aktualne, na dziś .
  • Należy zmienić dyrektywę o prywatności w komunikacji elektronicznej (ePrivacy). Prawo dziś nie wspiera technologii realnie zwiększających prywatność użytkownika, nie motywuje do ich rozwoju ani wdrażania. Wręcz przeciwnie, może nawet hamować rozwój technologii zapewniających prywatność, działając jako prawny czynnik zniechęcający do poprawy prywatności. To paradoks.


Prawo UE o ochronie danych w odniesieniu do monitorowania użytkowników sieci jest częściowo motywowane śledzeniem użytkowników, co stanowiło poważny problem lat 2000 i 2010. Jest to oczywiste. Ale skoro te techniki śledzenia odchodzą w przeszłość (cóż - oby!), w związku z tym właściwe byłoby opracowanie przepisów prawnych uwzględniających realia technologiczne.

Biorąc pod uwagę obecne masowe rozpowszechnianie żądania „zgody na ciasteczka” na stronach internetowych w Europie, zasadne jest pytanie, jaki jest sens utrzymywania tego w sytuacji wprowadzenia rozwiązań o podwyższonych parametrach ochrony danych.

Podsumowanie

Możliwe jest konstruowanie technologii poprawiających prywatność z poszanowaniem prawa. Moja dysertacja uwzględnia technologię, kwestie standardów technicznych, prawo ochrony danych osobowych i prawo konkurencji. Dużo rzeczy ze ścisłym ograniczeniem na dlugość (10 000 słów). Efektem jest pierwsza analiza Protected Audience API, oparta na podstawach naukowych i prawnych. Uważam za bardzo ciekawe, jak to się ma do mojej wcześniejszej pracy naukowej i doktorskiej (2015) z informatyki, w zakresie prywatności. Niewątpliwie znam te systemy z różnych stron.

Na koniec dodam, że jest to system delikatny. By to działało, projekt, implementacja i wdrożenia muszą być właściwie zestawione, wdrożone, skonfigurowane. Warto to obserwować dalej.

Moja dysertacja (LL.M.) jest tutaj.

(me@lukaszolejnik.com)

Comments is loading...

Comments is loading...