Soukromí uživatelů v prostředí internetové reklamy na českém webu

Soukromí uživatelů v prostředí internetové reklamy na českém webu

Reklama zajišťuje chod celé řady webových serverů, pro které často bývá hlavním zdrojem příjmů. V dnešním marketingu se používá celá řada způsobů cílení reklamy včetně cílení na dřívější zákazníky identifikované e-mailem nebo telefonním číslem. Pro zobrazení co nejrelevantnější reklamy se využívají aukční servery, které šíří nabídky prozrazující velké detaily o uživateli, jeho vlastnostech, prohlížeči, poloze apod. Proto jsou v poslední době podávány četné stížnosti k dohledovým orgánům. Jaký je stav v ČR? Tento článek ukazuje, že neradostný.


internetová reklama           Real Time Bidding          soukromí          GDPR
Transparency and Consent Framework


Služby, které jsou na internetu dostupné zdarma, musí někdo financovat. Byla vybudována data centra, nakoupena technika, je nutné platit účty za elektřinu a platy zaměstnanců. Odkud berou provozovatelé peníze? Z obchodu s reklamou založenou na předávání osobních údajů. Dnešní trh s internetovou reklamou lze charakterizovat jako malou vesnici [3], ve které si reklamní společnosti vyměňují detailní informace o drtivé většině internetové populace na planetě [8, 5, 6]. Real Time Bidding (RTB) umožňuje v desítkách až jednotkách stovek milisekund distribuovat mezi desítky i stovky společností informace o navštívených stránkách (URL) společně s dalšími informacemi (jednoznačný identifikátor uživatele, IP adresa nebo její pod statná část, poloha uživatele, informace o prohlížeči, operačním systému, velikosti obrazovky atd.) [5].

Pokud budeme vycházet z rozhodnutí Soudního dvoru EU C–210/16 [9], jsou za to, co se s daty děje v rámci reklamního systému, spoluzodpovědní provozovatelé služeb, kteří si partnery nasmlouvali, včetně českých novin a dalších stránek zobrazujících reklamu pomocí RTB nebo poskytujících služby a inzerujících v RTB, takže dodávají informace svým partnerům, kteří je následně šíří desítkám až stovkám společností.

Již v roce 2018 byla podána dosud neuzavřená stížnost na fungování RTB k dohledovým úřadům v Irsku a Velké Británii, která se později rozšířila do dalších zemí včetně ČR [8]. Ve Francii byla vyšetřovaná firma Vectaury, které dohledový úřad CNIL nezakázal využívání RTB [4]. CNIL však nevyšetřoval podstatu systému RTB. Britský dohledový úřad ICO současné reklamní systémy charakterizuje jako vytváření a sdílení osobních profilů osob v míře, která působí nepřiměřeně, vlezle a neférově obzvláště při uvážení, že se týká osob, které nevědí, že se takové aktivity dějí [6, str. 4]. Norská asociace ochrany spotřebitelů Forbrukerrådet provedla výzkum mobilních aplikací a reklamní systém považuje za utržený ze řetězu a nabádá společnosti finančně závislé na příjmech z reklamy, aby si našly jiné zdroje příjmů1.

Možnosti cílení internetové reklamy

V současnosti existuje několik možností, podle kterých si může inzerent vybírat, kde a komu chce zobrazovat reklamu. Následující výčet se zaměřuje na ty nejobvyklejší:

  • Kontextová reklama: Inzerent specifikuje např. domény, části URL, kategorie webu, na kterých by chtěl inzerovat. Reklama tedy není cílená na specifické uživatele, ale zobrazuje se podle kontextu stránky. Dnes se však spíše používají techniky popsané níže.
  • Behaviorální reklama: Reklamní společnosti budují profily pro uživatele prohlížečů. Obsahují atributy popisující vlastnosti uživatelů, jeho domovskou polohu apod. Inzerenti si vybírají kombinaci atributů, na které reklamu cílí – atributy, které by uživatelé měli a neměli mít. Yuan a kol. [12] píše, že společnost evidující nejvíce atributů jich uživateli přiřazuje více než 3 000. U Facebooku bylo nalezeno celkem téměř 240 000 atributů, které přiřazuje uživatelům [10]. Uživatel si pak na Facebooku průměrně nese 523,7 atributů, zatímco BluKai eviduje průměrně 422,4 atributů a Google 42,3 atributů pro uživatele [2]. Účastníci výzkumu Bashira a kol. však považovali jen 27 % atributů za velmi relevantní údaj [2].
  • Retargeting: Obvykle využívaný provozovateli e-shopů a poskytovateli placených služeb. Cílem je přesvědčit k návratu uživatele, kteří navštívili inzerentův web a neuskutečnili nákup. Inzerenti si však možná neuvědomují, že spolu s možností retargetingu dávají reklamním společnostem příležitost ke tvorbě profilů pro behaviorální reklamu. Je dobré si pečlivě zkontrolovat uzavřenou smlouvu, jestli obsahuje požadavek na reklamní společnost, aby na základě inzerentových dat nebudovala profily, ze kterých by mohla těžit konkurence. Obr. 1 ukazuje příklad komunikace návštěvníka webu České spořitelny, která instruuje prohlížeč ke kontaktování smluvních reklamních společností nazývaných také jako data management platform (DMP). Nasbíraná data může Česká spořitelna později využít k retargetingu.
  • Vlastní výběr osob (custom audience nebo customer match)2: Používají obvykle obchodníci, kteří chtějí oslovit své dřívější zákazníky, např. po uvedení nového produktu na trh, při slevových akcích apod. Takový obchodník zná telefonní čísla a e-mailové adresy svých zákazníků. Tyto identifikační údaje tedy může nahrát do reklamního systému a kampaň nakonfigurovat tak, aby se reklama zobrazovala právě zákazníkům uvedeným v seznamu.
  • Inzerce osobám podobným mému výběru (look-alike audience nebo similar audience)3: Nevýhodou vlastního výběru oslovených osob je, že tito zákazníci již nakoupili. Nevýhodou behaviorálního cílení je, že inzerent musí vědět, jaké atributy potenciální zákazník nejspíše má. Inzerce osobám podobným mému výběru sestaví automaticky behaviorální profil, který mají osoby uvedené na dodaném seznamu, a cílí na neuvedené osoby mající odvozené vlastnosti.

Real Time Bidding - aukce o zobrazení reklamy

Pro zajištění zobrazení reklamy za co nejlepší cenu pořádají reklamní společnosti aukce RTB. Aukce probíhá samostatně pro každé místo zobrazení reklamy na stránce, kterou uživatel navštívil. Obr. 2 ukazuje šíření informace o návštěvě stránky uživatele k předem neznámému množství společností.

  1. Provozovatel stránky má uzavřenou smlouvu s jednou nebo několika společnostmi zabývajícími se prodejem reklamy (Supply-Side Platform – SSP)

  2. Každé SSP může spolupracovat s jednou nebo několika společnostmi zabývajícími se získáváním informací o internetových uživatelích (DMP).

  3. DMP identifikují uživatele pomocí skriptu vykonaného v uživatelově prohlížeči a dodají SSP informace o uživateli (typicky profil včetně retargetingových informací).

  4. Každé SSP předá požadavek na zobrazení reklamy aukčním serverům, které mohou informace o uživateli dále obohatit daty svých DMP. DMP může identifikovat uživatele pomocí skriptu vykonaného v uživatelově prohlížeči.

  5. Aukční servery rozešlou požadavek na nabídku v aukci (Bid Request) společnostem zabývajícím se vytvářením reklamních kampaní a stykem s inzerenty (Demand Side Platform – DSP).

  6. V rámci požadavku na nabídku v aukci je uživatel identifikován identifikátorem (pseudonymem) aukčního serveru. Pro ten může mít dodatečné informace některá z DMP spolupracujících s DSP.

  7. DSP předávají aukčnímu serveru své nabídky na zobrazení reklamy včetně ceny, kterou jsou ochotni zaplatit. Nejlepší nabídky se dostanou k SSP.

  8. DSP s nejlepší nabídkou může zobrazit uživateli reklamu a také distribuovat vlastní JavaScriptový kód směrem k uživateli a může provést tzv. Cookie Matching (CM)4, tedy propojení vlastního identifikátoru pro uživatele s pseudonymem používaným aukčním serverem. CM dovoluje DSP a partnerským DMP depseudonymizovat nejen všechny budoucí nabídky aukčního serveru, ale také všechny uložené dřívější nabídky týkající se tohoto uživatele. 

Ne vždy jsou role DSP, DMP, SSP a aukčního serveru odděleny. Např. stejný subjekt může plnit roli DSP a SSP.

Transparency and Consent Framework

GDPR přineslo požadavek na transparentnost zpracování osobních dat. Interactive Advertising Bureau Europe vytvořila pro zajištění transparentnosti a získávání souhlasů se zpracováním osobních údajů Transparency and Consent Framework (TCF). V rámci něj reklamní společnosti oznamují své účely zpracování a právní důvod pro toto zpracování — oprávněné zájmy nebo souhlas subjektu údajů. Tento seznam je volně dostupný na Internetu5. V rámci analýzy TCF jsme na FIT VUT vytvořili dlouhodobé statistiky6.

Obr. 3 ukazuje počet společností zapojených do TCF a jejich zjišťování skutečné identity uživatele (identifikátor z reálného světa). Společnosti inzerující párování offline údajů musejí k propojení online a offline dat znát identifikátory používané v reálném světě, např. zjistit uživatelovu e-mailovou adresu nebo telefonní číslo. Znalost identifikátorů z reálného světa umožňuje provádět propojování zařízení stejného uživatele, avšak není pro toto propojování nutná [1]. Proto společnosti schopné zjistit skutečnou identitu uživatele zahrnují společnosti inzerující spojování offline údajů a část společností inzerujících propojování zařízení stejného uživatele.

 

 

 

 

Analýza českého webu

Další výzkumnou otázkou je, jak moc jsou české weby zapojené do globálního reklamního systému pomocí RTB a jestli jsou o tomto předávání dat uživatelé informováni.

Z dat publikovaných Matte a kol. [7] vyplývá, že na českém webu není TCF běžně nasazené. Jediná zmíněná doména je livesport.cz. Při návštěvě tohoto webu jsme se pokusili nesouhlasit se zpracováním dat v rámci reklamních systémů (viz Obr. 4). Použitím nástroje Cookie Glasses [7] jsme však zjistili, že ve skutečnosti si stránka uložila souhlas se všemi pěti účely zpracování definovanými TCF pro 544 firem zapojených do TCF (viz Obr. 5).

Hlavní analýzu českého webu7 jsme provedli následovně:

  1. V datech zveřejněných 16. ledna 2020 službou netmonitor.cz jsme identifikovali 464 domén druhého řádu.

  2. Z uvedených 464 domén jsme stáhli 367 souborů ads.txt8. Soubory ads.txt slouží nakupujícím v rámci RTB k ověření, že reklamu nakupují od subjektu, který má právo prodávat reklamní prostor na daném serveru. Umístění tohoto souboru je dobrovolné, takže se dá usuzovat, že nejméně 79 % nejnavštěvovanějších českých webů prodává svůj reklamní prostor v rámci RTB.

  3. Ze stažených souborů jsme extrahovali počty stránek prodávajících na nám známých tržištích. Počty jsou uvedené v Tab. 1.9, 10

 

 Po právní stránce je velkou otázkou, zda tržiště uvedená v Tab. 1 mohou předávat osobní data společnostem bez souhlasu subjektu údajů. Jsou oprávněné zájmy tržišť RTB pubmatic.com, appnexus.com, indexexchange.com, rubiconproject.com, ibillboard.com a Oath/AOL v souladu s očekáváním subjektů údajů ohledně zpracování pro účely výběru reklamy, a prošly tedy balančním testem oprávněných zájmů GDPR? Podle ICO by zpracování v rámci RTB mělo být založeno na souhlasu [6, str. 18].

 

 

Jakým způsobem se společnosti vypořádaly s přenosem citlivých dat a osobních údajů dětí? Např. společnost PubMatic ve svých podmínkách užívání služeb žádá, aby se skrze jeho služby nezasílaly citlivé osobní údaje, a dětem zakazuje užívání svých služeb. Opravdu platí, že si jsou uživatelé internetu vědomi zpracování citlivých dat [6]? Jsou uživatelé před takovýmto zpracováním varováni?

Z analyzovaných webů jsme vybrali ty, u nichž existuje předpoklad předávání citlivých údajů:

  • abctehotenstvi.cz nezobrazuje uživateli žádné varování týkající se předávání osobních údajů, přitom využívá AppNexus a PubMatic,

  • ceskozdrave.cz nezobrazuje uživateli žádné varování týkající se předávání osobních údajů, přitom využívá všechna tržiště z Tab. 1, 

  • detsky-web.cz nezobrazuje uživateli žádné varování týkající se předávání osobních údajů, přitom využívá všechna tržiště uvedená v Tab. 1,

  • naseporodnice.cz nezobrazuje uživateli žádné varování týkající se předávání osobních údajů, přitom využívá všechna tržiště z Tab. 1 kromě Oath/AOL,

  • seznamka.cz získává souhlas setrváním na stránkách, přitom využívá Google Doubleclick,

  • vitalia.cz nezobrazuje uživateli žádné varování týkající se předávání osobních údajů, přitom využívá všechna tržiště z Tab. 1 kromě Oath/AOL,

  • ulekare.cz získává souhlas setrváním na stránkách, zobrazená lišta obsahuje souhlasné tlačítko, ale data se do RTB dostávají i bez kliknutí na toto tlačítko. Web využívá všechna tržiště uvedená v Tab. 1,

  • zdrave.cz získává souhlas setrváním na stránkách, zobrazená lišta obsahuje tlačítko rozumím, ale data se do RTB dostávají i bez kliknutí na toto tlačítko. Web využívá všechna tržiště z Tab. 1 kromě Oath/AOL,

  • zdraveomlazeni.cz získává souhlas setrváním na stránkách, zobrazená lišta obsahuje tlačítko v pořádku, ale data se do RTB dostávají i bez kliknutí na toto tlačítko. Web využívá všechna tržiště z Tab. 1 kromě Oath/AOL. 

K výše uvedenému seznamu stránek je potřeba poznamenat, že získání souhlasu setrváním na stránkách neumožňuje vyjádřit souhlas svobodný (není jasné, jak vyjádřit nesouhlas), konkrétní ke specifickému zpracování či správci dat, ani jednoznačný (GDPR, čl. 4, odst. 11). Souhlas se zpracováním zvláštních kategorií osobních údajů má být výslovný (GDPR, čl. 9).

Závěr

Jak ukazuje analýza českých webů a společností zapojených do TCF, v celé řadě případů dochází ke zpracování osobních údajů, včetně citlivých, bez udělení odpovídajících souhlasů. To vzbuzuje otázku, zda opravdu platí, že je zajištěná vysoká úroveň ochrany osobních údajů, kterou zmiňuje nařízení GDPR. Pochyby přidávají i četné stížnosti podané k dohledovým úřadům zmíněné v úvodu článku. Z celoevropského pohledu je zajímavá studie nasazení TCF [7], která reportovala celou řadu pochybení v získávání souhlasů.

Závěrem je potřeba upozornit, že souhlasy s personalizací reklamy a dalšími účely zpracování je možné získávat i nerušivými prostředky [11] jako distribucí rozšíření prohlížečů, které budou uživatele transparentně informovat o účelech

zpracování. Na stránky lze také vhodně umístit tlačítka, která v případě zájmů otevřou dialog pro udělení informovaných souhlasů se zpracováním.

Poděkování

Tento příspěvek vznikl za podpory projektu VI20172020062 financovaného Ministerstvem vnitra ČR.

 

Ing. Libor Polčák, Ph.D.

 

 Působí na Fakultě informačních technologií Vysokého učení technického v Brně, kde také vystudoval. V rámci výzkumné skupiny počítačových sítí se dlouhodobě zabývá bezpečnostním výzkumem.

Vytisknout