Dette indlæg er alene udtryk for skribentens egen holdning.

Real Time Bidding – Det største GDPR-brud nogensinde, som gentages hver dag

Dennis Benneballe Arnold-Grade
Illustration: Frederik Tubæk Rasmussen.
Der er GDPR-problemer med Real Time Bidding, og i dette indlæg starter Dennis Benneballe Arnold-Grade sin fortælling om teknologiens historie. Læs med i næste uge, hvor han i vol. 2 zoomer ind på den aktuelle problemstilling med TCF-rammeværket fra IAB Europe.
Synspunkt31. maj kl. 05:30
errorÆldre end 30 dage

 

Den 15. februar 2022 udgav Datatilsynet en nyhed på deres hjemmeside omkring en afgørelse fra det belgiske datatilsyn. IAB Europes rammeværk til cookie-samtykke, kaldt Transparency and Consent Framework (TCF), blev i denne afgørelse erklæret ikke at overholde GDPR- og ePrivacy-retningslinjer for gyldig samtykke, m.fl, og at IAB Europe er skyldig i en række brud på GDPR og dets grundlæggende principper. Dette rammeværk har indtil afgørelsen været det mest udbredte rammeværk til samtykke i Europa og brugt af en stor mængde hjemmesideejere i EU.

Datatilsynet skriver i en sidebemærkning i nyheden, at IAB’s TCF »[…] bruges bl.a. til registrering af cookiesamtykker og præferencer mv. til brug for videre behandling – bl.a. via real time bidding (RTB), hvor annoncører kan købe sig ind på de brugeres præferencer, som er relevante for dem med henblik på markedsføring« (mine fremhævninger).

For nogle vil real time bidding (RTB) ikke være et nyt koncept, men de fleste har nok ikke hørt om dette før. Så, hvad er real time bidding, og hvad går RTB egentlig ud på? Og ikke mindst: hvorfor er det et problem?

Adtech, targeting og Ad Exchange

Til en start vil jeg fastlægge nogle termer, som er vigtige at have kendskab til. 

Artiklen fortsætter efter annoncen

RTB indgår som led i AdTech-branchen. AdTech er et område inden for teknologi, der blev født nærmest sammen med internettets fødsel og udbredelse. Adtech fokuserer på at skabe teknologi til reklamebranchen, især til online advertising, og er grundet internettets udbredelse blevet nærmest en branche for sig (kilde).

Branchen handler inden for digitale reklamer og markedsføring, og består af advertisers, altså virksomheder, der vil sælge et produkt og til det formål vil sende reklamer ud, og publishers, altså annoncører, der offentliggør reklamer for advertisers. En publisher er på en vis måde ansvarlig for reklamepladsen og udsendelse af reklamen samt referencen til den udsendende advertiser, mens en advertiser på sin vis er ansvarlig for destinationen af reklamen, dvs. produktet, virksomheden bag det, hjemmesiden, osv. Især online betyder det, at der kan være et opdelt ansvar: Reklamepladsen ejes af publisher, ie. virksomheden bag hjemmesiden du ser reklamen på. Reklamens indhold ejes og styres af advertiser, mens publisher også har et vist ansvar for at fravælge indhold, der ikke måtte være passende, i.e. fravælge at sælge reklameplads til en given advertiser. Publisher er ansvarlig for linket til advertisers hjemmeside, mens advertiser er ansvarlig for selve den linkede hjemmeside (kilde).

Et grundprincip i markedsføring og reklame er at bruge sit budget fornuftigt – bruge så få penge som muligt for at ramme så mange som muligt og dermed skabe så meget værdi som muligt –, hvilket skabte et behov for at målrette reklamer til de rette modtagere. Denne form for markedsføring kaldes undertiden targeted advertising, og online er denne praksis hurtigt blevet bundet op på oplysninger omkring »publikummet«, altså målgruppen; brugere eller hjemmesidebesøgende. (Modsat hertil står fx mass marketing, hvor målet er at ramme så mange som muligt i en udefineret modtagergruppe) (kilde).

Hvordan disse oplysninger bliver indsamlet, og hvilke oplysninger der indgår, gør forskellen mellem at tale om surveillance-based targeted advertising, eller contextual targeted advertising (NB: før i tiden kaldte man førstnævnte også »behavioural« eller »personalised« advertising, mens der i EU senest siden GDPR er skiftet fokus til at tale om overvågnignsaspektet). Enten ser du dit publikum ud fra det produkt, du vil markedsføre, og reklamerer dér, hvor lignende produkter sælges, eller du ser dit publikum ud fra oplysninger om produktets købere og reklamerer i deres retning, hvor end de måtte befinde sig. Eller sagt med lidt andre ord: enten finder du det rette publikum at reklamere til vha. produktet, eller ret rette produkt at reklamere for vha. publikummet. (Denne opdeling er min egen, og svarer ikke nødvendigvis til gængse opdelinger i videnskab og branchen) (kilde).

Har man fundet ud af, hvordan man vil reklamere, skal man beslutte, hvor der er ledig plads til at placere reklamer. AdTech-branchen har til dette behov skabt en forretning ved at sælge reklamepladser på internettet, som kaldes Ad Exchange (kilde).

Men hvordan kom vi fra at målrette reklamer til at »købe sig ind på de brugeres præferencer«

Det sker ved at internetteknologien i dets stadig ret spæde start har fået tilført en teknologi til at differentiere hjemmesidebesøgende med, nemlig cookies. Ved at differentiere de enkelte individer i publikummet, er det blevet muligt inden for Ad Exchange at forøge værdien af reklamepladsen, som nu kunne målrettes meget nemmere.

Kort gennemgang af de sidste 30 års Ad Exchange og RTB
  • 1990 – Internettet bliver for alvor udbredt og kommercialiseret bl.a. vha. fx Berner-Lees WWW (mens udviklingen og videreudvikling af en udbredt og forbundet platform til kommerciel brug, herunder præsentation af virksomheder, produkter, osv. og transaktionsbehandling blev startet allerede i 1960erne).
  • 1994 – Cookies blev opfundet af Lou Montulli, som på daværende tidspunkt arbejder hos Netscape, og brugt for at differentiere en bruger/køber online. Netscape udgiver den første kommercielle browser.
  • Online advertising-branchen eksploderer og bruger mange penge på at købe på de bedste reklamepladser online.
  • Behov for at regulere markedet grundet store virksomheders dominans på markedet, som på det tidspunkt var et først-til-mølle-styret marked med faste priser, stiger. Dårlig reklameplads blev derfor ignoreret, mens alle ønskede den gode reklameplads og mindre virksomheder kunne følge med.
  • 2008 - RTB blev opfundet af virksomheden BlueKai, introduceret for alvor og har til formål at give alle spillere på markedet en mulighed for at indtage den bedste reklameplads, ved at indføre en auktionsmodel, hvor man løbende kan tilpasse bud og hvor der automatisk bliver budt på reklameplads på en hjemmeside, fra momentet at en person klikker på et hjemmeside-link til, at hjemmesiden er vist.

Kilder: A Brief History of Real Time Bidding & Computer History Museum

Og så går det stærkt:
* 2011 – Forrester Research udgiver en studie for teknologi-udbyder Admeld, som viser, at der blev brugt i alt 353 millioner dollar inden for RTB i 2010 (studien er henvist til i en tysk artikel, som nu kun kan tilgås via Wayback Machine her. Forrester forudser, at RTB (e.g. citeret i en slideshow fra IAB til en slags launch-event) er her for at blive, og at køberne stort set omfavner dette.
* 2013 - I oktober udgiver IDC (International Data Corporation, som laver international markedsforskning) en undersøgelse, der prognosticerer kommende udgifter i RTB-markedet frem til 2016, og iflg. studiens forfatter, Karsten Weide, daværende IDC-vicepræsident inden for medier og underholdning, kan ingen i reklame-værdikæden ignorere fordelene ved RTB (henvisning til IDC-studien tilgængeligt via Wayback Machine)

 

Hvordan RTB teknisk fungerer og praktisk angriber privatlivet

Natasa Milic-Frayling, til den tid forsker i MSR Cambridge lab, forsker inden for området sammen med Microsoft Research i 2015 og fortæller i denne video fra en Microsoft Research Summer School omkring RTB og personlig overvågning, hvad der er den underliggende teknologi, praksis, forretningsmodel og sociale implikationer af RTB, og kalder denne praksis for »coordinated privacy attacks through co-operation with the first party – websites receive income from advertising networks«. Hun gør opmærksom på, at i det den teknologi, som RTB bygger på, og den forretningsmodel, denne understøtter, ikke er muligt at forudse konsekvenser af et »privacy attack«, i.e. et indgreb i privatlivet. Derudover er databeskyttelse og privatliv ikke indtænkt i teknologien, givet brugernes valg omkring privatliv indhentes på en forkert baggrund. Mere konkret sagt: »The implications of your decisions at the lower level are moving up the stack,« altså at fx samtykke til tracking og videregivelse gives ét sted mod én modpart og dens behandling, men at dette valg bliver brugt mange andre steder på samme måde, uden at brugeren reelt har kendskab til hvilke konsekvenser disse valg har.

Milic-Frayling viser i ovennævnte video, at ikke kun cookies (som hun jo som nævnt kalder »coordinated,« dvs. hvor mange aktører deltager på en koordineret måde) bruges til tracking, men også andre metoder som udnyttelse af HTML5 local-storage, data i browser cache, e-tag data, flash locally-stored objects, og, hvilket er lidt mere relevant her, »long-lived« (altså langvarige og som overlever i lang tid) unikke IDer fra mobilenheder. Altså en online identifikator til på samme måde at differentiere en bruger fra en anden, som med cookies.

Derudover nævner hun, at der modsat de »coordinated privacy attacks,« også findes »independent privacy attacks by exploiting security vulnerabilities,« som eks. cross-site scripting og cross-site request forgery, m.fl. 

Kort sagt: Teknologierne der indgår i tracking er i bedste tilfælde et koordineret, i værste tilfælde et uafhængigt, angreb på privatlivet.

I praksis betyder det, at dit samtykke til cookies på en given hjemmeside kan betyde, at dine data videresendes til et større antal modtagere som typisk endda er listet op i cookiebanneren. Hvordan disse modtagere efterfølgende bruger dine oplysninger til videresalg og auktionering, og hvor disse modtagere sidder i verdenen, er uklart. Ét samtykke på én hjemmeside resulterer i en kommercialisering af dine persondata verden over.

Se her en skærmoptagelse, som jeg har lavet af den første-bedste cookiebanner, som kunne eksemplificere hvordan nogle hjemmesiders cookiebanner lister et hav af modtagere op:

Remote video URL

Vil du deltage i debatten med et synspunkt? Skriv til os på pro-sekretariat@ing.dk.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger