A valós idejű licitálás működése és a kapcsolódó adatkezelés
Tegnapi cikkünkben beszámoltunk a Belga Adatvédelmi Hatóság vizsgálatáról, melynek kapcsán ismét előkerült a valós idejű licitálás (RTB) gyakorlata. Abban a cikkben csak érintőlegesen foglalkoztunk az ír adatvédelmi szakértő, Dr. Johnny Ryan hatósághoz intézett panaszával. Ebben a cikkünkben viszont lehetőségünk van részletesebben beszámolni az általa előadott tényekről, illetve Ryan aggodalmairól a hatósághoz beadott panasza alapján. A jelen cikkben a Ryan által előadott bizonyítékokat szeretnénk elsősorban bemutatni, illetve azt a nagy képet, amit ez fest az egész iparágról.
Az RTB-ről részletesen
A valós idejű licitálás minden weboldalon és appban a háttérben történik. A rendszer folyamatosan információt küld arról, hogy éppen mit néz a felhasználó, illetve, hogy fizikailag hol tartózkodik. Ezekhez az adatokhoz minden, a rendszerben található cég hozzáférhet, jelenleg a Google 968 céggel osztja meg adatait. Az információk elküldése után a cégek valós időben licitálnak arra, hogy a felhasználónak milyen hirdetések jelenjenek meg most, illetve a következő pár percben.
(Forrás: https://www.iccl.ie/human-rights/info-privacy/rtb-data-breach-2-years-on)
Példák az RTB cégek által gyűjtött adatokra
Az adatvédőknek leginkább az a problémája az RTB rendszerekkel, hogy akkor is, ha egy adott cég nem kapja meg a hirdetései felületet, amire licitált, az ezzel kapcsolatos adatok a birtokába kerülnek. Éppen ezért mára már számos olyan cég jött létre, melyeknek fő célja nem is a hirdetési felületek megszerzése, hanem a vesztes licitekből keletkező adatok összegyűjtése és rendszerezése. Ha elég ilyen természetű adat gyűlik össze, azokból már sikeresen lehet profilokat létrehozni felhasználókról és azok alapján célozni őket tartalommal.
Ez pedig az RTB másik problémája, a felhasználókról alkotott profilok, amit a GDPR hozzájárulás hiányában tilt is. Mégis, eddig hiábavalók voltak az ír hatósághoz beadott panaszok ezek kivizsgálására, ezért lépett közbe a belga hatóság és vette át az RTB-val kapcsolatos ügyek intézésének egy részét.
Ryan beadványában számos RTB szolgáltatót sorol fel, részletezve, hogy rendszerükben milyen szempontok alapján és mennyi felhasználó szólítható meg, alább ezeket részletezzük. Az adatok a három legnagyobb RTB kereskedőtől (Google, Ad Form, Trade Desk) származnak, a találatok számát összesítve közöljük. Megjegyezhetjük, hogy Írország lakossága körülbelül fele a hazainak, úgyhogy, ha a következő adatokat Magyarországra akarjuk aktualizálni, nagyjából a feltüntetett számok duplájával számolhatunk.
OnAudience.com
Egy lengyel cég, mely saját bemutatkozása szerint több, mint 27 milliárd “anonim” felhasználói profillal rendelkezik. Bevallottan RTB adatokkal is dolgoznak, állításuk szerint napi több milliárd interakció alapján építik adatbázisukat. Elmondásuk szerint a cég „figyeli a felhasználói aktivitást, a látogatott weboldalakat, fogyasztott tartalmat és előzményeket, melynek segítségével viselkedési mintákat és szándékokat határoz meg.”
Utóbbi egyértelműen profilalkotást feltételez, bár a cég elmondása szerint az adatbázisuk anonim. Ezek az anonim bejegyzések azonban egyedi azonosítóval vannak ellátva, melyek az RTB szolgáltatók segítségével profilokhoz köthetők, illetve a hozzájuk csatolt adatok sokszor olyan sokrétűek, hogy az alapján az érintett egyértelműen beazonosíthatóvá válik.
Az OnAudience oldalán ezt követően a következő szempontok alapján lehet felhasználókat megcélozni: (a számok írországi lakosokra vonatkoznak)
- AIDS/HIV: 800 fő
- Krónikus fájdalom: 900 fő
- Vérfertőzés/erőszak: 200 fő
- Cukorbetegség: 600 fő
- Agytumor: 100 fő
- Depresszió: 100 fő
- Inkontinencia: 200 fő
- Alvászavar: 900 fő
- Szerhasználat: 900 fő
Mobilewalla
A cég 4 éve működik, jelenleg 1.6 millió eszköz adatai érhetők el rajta 35 országból. Valós idejű licitálás során szerzett adatok segítségével hosszabb idő alatt folyamatosan profilt készítenek a felhasználók fizikai mozgásáról. Rendszerük eszközazonosítókat, GPS adatokat, otthoni és munkai hálózati eszközöket, appokat és időbélyegzőket használva hozza létre a profilokat. A megszerzett adatok alapján kategóriákat is kialakítanak a felhasználókról (pl. „gyermekvárás”, „alacsony bevétel” címkékkel).
A Mobilewalla 2017-es adatok szerint csak Európában 117 millió egyedi eszközről tárol és havi 61 milliárd eszközről szerez be adatokat. 2020 júliusában ez a cég volt az, amely adatokat gyűjtött a Black Lives Matter tüntetéseket résztvevő személyekről. Arra, hogy ezeket milyen forrásból szerezte meg a cég, máig nincs válasz, annak ellenére, hogy amerikai szenátorok egy csoportja kifejezetten kérte az FTC-től ennek kivizsgálását, melyet az meg is kezdett.
Adsquare
Berlini illetőségű cég, saját állításuk szerint több, mint 450 millió felhasználó profillal rendelkeznek. Egy belső céges prezentáció szerint ezeket „licitálás alapadatokból” gyűjtik össze. Ezekből később „közönségi szegmenseket” alakítanak fel. Fontos megjegyezni, hogy a gyűjtött adatok között szerepelnek a készülékek helymeghatározási adatai is.
UberMedia
Saját dokumentumaik szerint adataik RTB forrásokból származnak, melyek köre kiterjed eszközazonosítókra és IP címekre is. Azért lettek említve, mert a cég korábban GPS adatok alapján figyelte a hajléktalanok mozgását San Francisco-n belül, majd ugyanezt az elvet követve figyelte meg olasz állampolgárok mozgását Milánóban a 2020-as Covid-19 járvány tavaszi karanténja alatt.
Az RTB szektor növekedése
A két évvel ezelőtti, DPC-hez beadott bejelentés óta az RTB tovább terjeszkedett. Jelenleg 13,5 millió weboldal használja a Google RTB szolgáltatásait; ez 61%-os növekedést jelent az előző évhez képest. Szintén folyamatos növekvő tendenciát mutat azon cégek száma, melyek közvetlenül adatot kapnak a Google RTB rendszeréből. Mint korábban írtuk, ez mintegy 968 céget jelent a panasz beadásának időpontjában, azonban a Google rendelkezik további 1.218 „külső partnerrel”, ezek az ICCL szerint olyan cégek, melyek Európán kívül kereskednek RTB-ből származó adatokkal.
És a kedves olvasó hányszor találkozott weboldalakon tájékoztatóval arról, hogy a róla a weblapon gyűjtött adatok ilyen szintű megfigyelést tesznek lehetővé?
