从技术角度看,IAB的GDPR透明度和同意框架是如何工作的(TCF 1.0和TCF 2.0)

到场的过程数据和隐私GDPRMartech流程

从技术角度看,IAB的GDPR透明度和同意框架是如何工作的(TCF 1.0和TCF 2.0)

2018年5月2日发布,2020年11月25日更新

截至2018年25日,所有收集、使用、处理和共享有关欧盟公民数据的公司均被要求遵守《通用数据保护条例》(GDPR),并实施新的数据保护和安全措施。

这项规定不仅适用于欧盟公司。无论一个组织是否位于欧盟,在处理欧盟/欧洲经济区公民数据时都必须遵守相关规定,否则将面临严重的经济处罚。

对于AdTech和MarTech供应商来说,GDPR最重要的含义包括:

改变个人数据的定义:诸如IP地址,设备ID,位置数据和cookie等标识符现在被视为个人数据。这改变了广告商和技术供应商收集,存储和使用此类信息的方式。

数据收集的新规则:想要收集和处理用户数据的公司必须获取用户的同意并遵守一些严格的规则。在大多数情况下,必须自由地赋予,具体,知情和明确的同意。此外,不得不预先勾选同意框,必须以陈述或明确,肯定行动提供。处理数据所需的所有公司都需要提供同意的证据。

每个数据处理活动都需要同意:如果公司希望为多种目的处理用户数据(例如行为目标和个性化),他们必须为每个进程获得用户同意。

对于Adtech供应商,这些新规则由于在线广告生态系统的碎片性质以及参与典型媒体交易的庞大玩家的划散性而创造了一个全球问题。

说明在在线媒体交易中,用户数据如何被共享(即泄露)到各种平台。在GDPR下,图中的每个平台都必须获得用户的同意才能收集和处理其数据。

IAB.- 互动广告局,一个负责创建和管理行业标准,研究和在线广告商的法律支持的组织 - 已经提出了自己的解决方案来帮助支持行业的推出GDPR并解决其一些主要挑战GDPR透明度和同意框架

2018年3月,IAB的框架提交给AdTech公司和出版商征求公众意见。

该框架旨在支持出版商,技术供应商和广告商在满足GDPR的透明度和用户同意要求时。

该框架由IAB技术实验室管辖,是一项非商业开放策略,并于与许多出版商,广告商和其他重要的行业参与者合作开发。首先发布2018年3月公众审查,与之4月发布的商业版,该框架旨在标准化同意收集和使用个人数据的过程。

框架实际上是如何工作的?

用户同意是处理个人数据的六个“法律理由”之一。该框架使第一方发布商更容易(其服务需要使用许多第三方)来处理用户数据并遵守GDPR下加工规则的同意。优德88备用网

IAB的框架标准化互联网用户同意数据处理的过程,并在广告供应链中进一步转换该信息。

该提议还包括一个全局供应商列表(GVL),它作为参与框架的数据控制器的注册表。将其作为供应商的“白名单”,通过哪些同意,可以通过直接与用户互动的发布商。

这是一个简短的逐步概述它是如何运作的:

步骤1

Publisher选择其要与之合作的全球供应商列表中的哪些技术供应商。

步骤2

每当用户第一次访问发布者的网站时,他们都被要求选择发布者可以与之共享数据的公司。这些信息将存储在用户浏览器中的第一方cookie中。

2018年6月,IAB技术实验室和IAB欧洲发布了一个移动应用内规范适用于移动应用程序提供商。

步骤3

一旦用户完成了选择,发布者可以使用所选技术供应商共享用户的数据。

如何看待同意共享过程的示例。用户允许绿色的平台收集并使用其数据。Orange中的平台位于Publisher的全球供应商列表中,但用户没有提供同意。那些红色的人不在出版商的全球供应商名单上。

假设用户允许所有技术供应商收集其数据,这并不可能,只有那些在出版商的全球供应商列表中才能收集用户的数据。

从上图中可以看出,用户不允许DSP#1、DMP#2和DMP#3收集他们的数据,即使他们被包含在发行商的Global Vendor List中。

出版商如何通过批准的供应商沟通用户同意?

为了出版商有效地与白名单技术供应商进行有效沟通,IAB建议将用户的同意决定通过供应链。

用户同意信息将由两个二进制字符串(一个目的选择字符串和一个供应商选择字符串)组成,然后转化为压缩值,如下图所示。

目的选择代表数据收集的目的(例如行为广告和重新定位目标),供应商选择代表发布者已列入白名单的技术供应商,这些技术供应商已获得用户同意,因此可以接收用户的数据。
资料来源:数字广告:透明度,控制,同意。IAB欧洲,2018年3月

压缩值将被添加到每个广告和投标请求进一步下来,供应链(或菊花链,因为IAB正在调用它),只允许白名单技术供应商接收用户的数据。

好处

IAB的GDPR透明度和同意框架提供了一系列用户和广告商的好处:

  • 它引入了一个行业范围的标准,用于收集用户同意以进行数据处理。
  • 它在广告供应链中进一步转移了用户同意信息,并将其发信号通知给其他第三方。
  • 虽然仍然不完美,但该框架是一般方向朝着GDPR合规的阶段,缓解了Adtech公司和出版商的整个过渡过程。
  • 它将在OpenRTB交易中得到支持,这预示着它的采用率,因为许多受欢迎的AdTech供应商都在使用OpenRTB协议。
  • 该框架可以让发布者受益,它提供了一种对用户更加透明的方式,并对各种技术提供商如何处理用户数据进行更严格的控制;发布者可以选择他们征求用户同意的第三方和数据处理目的。
  • 与此同时,它也赋予发行商决定如何最好地利用它的可能性的权力。
  • 该框架不会对用途施加“全有或全无”的决定。用户可以选择与哪些第三方共享他们的数据。在目前的措辞中,该框架允许用户同意部分、全部或不同意披露的数据处理目的,并允许部分、全部或不允许披露的第三方处理数据。

陷阱

IAB的GDPR透明度和同意框架仍然远非完美,需要一定的调整,以保证对Adtech公司和出版商的GDPR完全遵守GDPR。考虑到程序化生态系统的复杂性,这不是一个小小的壮举。GDPR的许多好处创造了新的挑战,不仅适用于Adtech公司,而且为互联网用户提供了新的挑战。

一些文章敦促出版商反对与IAB的框架(谷歌和Facebook之后的公司合作),因为它可能被视为有利的广告商。Web周围有许多出版物查明了缺陷和矛盾,但主要的投诉包括:

  • 数据泄漏(即,当用户数据传递给没有用户知识的多个公司时)是由于在线编程和RTB生态系统的纯性质,并且经常在没有出版商和用户的知识的情况下发生的常规发生。GDPR每当发生时都会负责发布者。
  • 虽然用户可以选择他们想要联系的第三方,但该框架没有限制,仍然允许发布者向用户提供这种要么接受要么放弃的选择,如果他们愿意的话。
  • 正如PageFair在最近的一篇文章中指出的那样,一旦用户进入实时竞价交易,对其个人数据的处理几乎没有任何控制。这又一次给发行商带来了巨大的负担——cmp, sps, dsp,广告交换以及他们使用数据的方式都是发行商无法控制的。
  • IAB建议所有同意都在一个OK按钮下捆绑在一起,这可能会破坏自己的选择作为互联网用户在努力关闭同意框并查看页面上的内容时不可能为所有人拒绝自己的选择。。用户非常不可能花时间仔细考虑与每个平台共享其数据的含义。
  • 框架本身作为PageFair恰当地注意到,仍然无法遵守GDPR的第5条,需要以粒度方式要求以“指定的,明确”的目的要求请求。在框架内,IAB提出了一种设计,即同意与一系列数据处理目的一起捆绑在一起,所有这些都在单一的选择下捆绑在一起。
  • 同样,该框架提出的“广告个性化”选择似乎严重违反了GDPR第6条(处理的合法性)和第13条(从数据主体收集个人数据时应提供的信息)。同样,该消息将几个不同的目的捆绑在一起,但没有提供具体将如何处理用户个人数据的指示,这严格违反了GDPR。
  • 该框架目前的形状可能会阻碍GDPR的整个理念。用户可能仍然会被鼓励同意一切,这可能会导致返回在线广告的原始状态 - 即。最大的行为目标广告和肆无忌惮的数据收集。这至少是什么,以某些广告商的最佳利益为何。

对IAB的透明度和同意框架更新

2019年4月,IAB欧洲和IAB技术实验室发布了该框架的第二版(2.0版),以征求公众意见。

该更新还包括从数据保护机构收集的反馈,如英国信息专员办公室(ICO),该办公室于2019年6月发布了一份题为《信息安全》的报告更新报告到广告技术和实时投标。该报告突出了透明度,特殊类别数据的集合以及合法利益等领域的一些严重问题。

TCF 2.0有什么新功能

2019年8月21日,IAB技术实验室和IAR欧洲宣布发布透明和同意框架2.0版- 旨在打击框架初始版本的一些陷阱的升级。

TCF 2.0旨在进一步提高消费者透明度和选择,支持行业合作。该框架是与各种出版商和监管机构合作开发的,以支持符合GDPR的程序化交易。

对于消费者来说

在TCF 2.0中规定的建议涵盖了消费者来授予或拒绝同意的权利,以及锻炼其对象处理其数据的权限。消费者还可以更好地控制是否以及Adtech供应商如何使用像精确的地理定位等数据处理的某些功能。

对于出版商

TCF的更新还允许发布者控制单个AdTech供应商在其网站上使用的数据处理目的。

更多更新包括:

  • 数据处理的更细粒度的“目的”——将数量从5个增加到10个,再加上两个特殊目的,给发布者更多的灵活性:

How-the-IAB 's-user-consent-framework-works

  • 更好地解释处理个人资料的“合法权益”,包括供应商披露合法权益的基础,更全面地容纳用户的“反对权利”

目的在TCF 2.0中

以下是TCF 2.0中包含的新目的由IAB欧洲提供。

目的1:存储和/或在设备上访问信息

饼干,设备标识符或其他信息可以在用户的​​设备上存储或访问,以便呈现给它们的目的。

目的二:选择基本广告

可以根据他们正在查看的内容向用户展示广告,应用程序他们使用的应用程序,它们的近似位置或其设备类型。

目的3:创建个性化广告简介和选择个性化广告

可以构建一个配置文件,并且可以构建用户及其兴趣,以向他们展示与其相关的个性化广告。

目的4:选择个性化广告

个性化广告可以根据用户的个人资料和与他们相关的广告显示给用户。

目的5:创建个性化的内容简介

用户可以建立个人资料和他们的兴趣,向他们展示与他们相关的个性化内容。

目的6:选择个性化内容

可以基于关于它们的配置文件向用户显示个性化内容。

目的7:测量广告表现

可以测量用户看到或相互作用的广告的性能和有效性。

目的8:测量内容性能

用户看到或互动的内容的性能和有效性可以测量

目的9:应用市场研究产生受众洞察

市场研究可用于了解有关访问网站/应用程序和查看广告的受众的更多信息。

目的10:开发和改进产品

用户的数据可以用来改进现有的系统和软件,以及开发新产品。

特殊目的

TCF 2.0还包括两种特殊目的,并且不需要同意用户在GDPR中的不同法律基础(合法利益)下降:

专用1:确保安全性,防止欺诈和调试

用户的数据可用于监视和防止欺诈活动,并确保系统和流程正常工作。

特殊目的2:技术提供广告或内容

用户的设备可以接收和发送允许它们查看和交互的信息,并发送与广告和内容进行交互。

谷歌和TCF 2.0

谷歌于2020年8月12日宣布它将整合IAB的TCF 2.0和它的广告产品:

  • 谷歌广告经理
  • 广告联盟
  • ADMOB.
  • Google Analytics(用于与Google ADS产品一起使用的广告功能)
  • 谷歌显示广告(用于集成属性)
  • 展示&视频360和活动经理(用于综合物业)
  • 谷歌授权买家
  • 融资选择

谷歌已经给了出版商一系列的日期,在此之前他们需要调整他们的同意收集以符合TCFv2:

为了支持我们的合作伙伴的过渡,我们将在8月15日向他们提供90天的宽限期,以确保其实施正常工作并满足我们的政策要求。

谷歌

以下是宽限期的概述:

  • 在最初的30天内(截止到2020年9月15日),谷歌将继续提供个性化和非个性化广告。
  • 剩下的60天(直到11月15日),谷歌只会在网站上为非个性化广告提供服务。
  • 90天后(2020年11月15日),谷歌将停止服务广告。

IAB的透明度和同意框架的替代方案

在一个后GDPR世界中,广告商在没有明确和明确同意的情况下提供完整个性化和目标的问题。观众选择必须基于队列和上下文,即非个人数据。

不过,除了IAB提议的框架之外,还有一些其他方案可以更好地保护出版商,限制数据泄露,并允许广告商和AdTech公司向同意的用户开展个性化和有针对性的广告活动。

Piwik PRO Consent Manager
Piwik PRO GDPR Consent Manager允许您根据GDPR收集访问者同意,并从一个设计精美的面板有效地管理所有数据主题请求。使用一个简单的编辑器,您将能够创建和编辑同意请求弹出窗口和其他类型的小工具,帮助您收集合法的同意。它们将充当网站访问者和一系列工具之间的看门人,这些工具将在以后对商定类型的数据进行操作。

Konsento
Konsento使收集和管理用户同意和保持跟踪您的数据处理活动的记录很容易。非常适合非盈利组织、体育俱乐部和协会。

Ensighten
Ensighten提供了一个易于安装的GDPR解决方案(通过任何标记管理系统的一行代码)。

trustrc cookie同意经理
Cookie同意管理器提供Cookie-Compliance解决方案,包括支持可视定制和品牌。它可以通过单个脚本实现实现与标签管理系统的集成。

不考虑IAB的同意框架的出版商,代理商和Adtech供应商仍然令人信服地避免建立自己的用户同意工具。与一个人合作有经验的软件开发公司专门构建定制软件解决方案的公司可以更容易地遵守GDPR和其他隐私法律。

具体来说,定制的同意工具可以帮助您的公司避免与不遵守GDPR相关的高额罚款。设计和开发新软件可以让你专注于公司需要的特定功能和技术:获得用户同意、管理用户权利或最小化数据泄漏。

有关于GDPR的问题吗?

我们专注于建立符合GDPR的Adtech和Martech平台。今天问我们的团队一个问题!

回答你的问题

标记为

搜索

获取我们的免费指南!

GDPR和隐私:从技术角度看对AdTech和MarTech的影响

GDPR和Eprivacy:
从技术角度对Adtech&Martech的影响

下载我们的免费指南并发现adtech和martech供应商的GDPR和Eprivacy的意思,并找出他们必须做些什么来遵守

立即下载

分享这篇文章

免费Adtech&Martech Resouw88优德中文rces

通过我们的双月刊时事通讯,成千上万的c级高管、软件工程师、营销人员和广告商都可以了解AdTech和MarTech的内部工作原理——你也可以!今天就订阅,获得最新最好的文章、视频和指南!