許慧瑩
2020年03月05日
在網際網路與個人化裝置普遍與大量使用的今日,網路行銷成為各界躍躍欲試的新領域,有別於傳統媒體行銷的方式,網路行銷可透過個人化裝置即時觸碰到個人,如何在有限的時間內精確推播有效的行銷廣告,成了廣告業者最感興趣的事情。
近來廣告技術(adtech)快速發展,線上即時競價 (real time bidding, RTB)廣告業者每天大約可投放高達數十億則網路廣告,英國資訊專員辦公室 (Information Commissioner’s Office, ICO)考量RTB廣告業者在個人資料處理可能造成個人權利的衝擊與自由的風險,遂於2019年採取行動對RTB廣告業者展開調查。
究竟RTB是甚麼? 有甚麼特殊性?
RTB為程序廣告 (programmatic advertisement) 類型之一,以adtech為基礎,結合利用個人資料進行精準行銷的廣告科技。其運作方法為,廣告業者首先必須仰賴平台所蒐集的個人資料,進行個人背景與偏好分析,以投放更貼近個人需求的廣告類型。隨後,RTB廣告業者基於前述的分析結果,以自動化程式在後台系統進行交易、需求、供應、管理等,以公開競價 (open auction) 的方式媒合廣告版位購買與價格優化,並可同時進行即時監測,這些自動化程序通常在數秒內就可完成。因為RTB精準行銷對於個人資料的需求,並且具有剖繪 (profile) 及自動化決策、個人資料大規模處理(包含特種個資)、新興科技的使用、結合比對不同來源的個人資料、追蹤地理位置資訊與/或行為等特質,對於使用者的個人資料產生莫大的影響。
ICO的調查報告
ICO在最近幾次調查報告中,認為廣告業者使用RTB進行個資處理之法律依據不甚正確,建議業者應取得資料當事人同意後才能處理個人資料,並須於適當期間內調整改善其作法,以符合「隱私和電子通訊規則」 (Privacy and Electronic Communication Regulations, PECR) 與「一般資料保護規則」 (General Data Protection Regulations, GDPR) 的規定。對此,某些廣告業者不甚認同,認為其企業與企業間之行銷需求可主張《一般資料保護規則》(General Data Protection Regulation, GDPR)「合法利益」(legitimate interest) 為個資合法處理之依據,不需另外取得各別當事人的同意。
ICO 提醒若具其他個資處理依據時,應優先選擇其他個資處理依據,不建議將合法利益設定為預設的依據;並反駁廣告業者,認為按GDPR的規定,企業確實得於某些情況下,雖未取得當事人同意,可主張具其他個人資料合法處理的依據進行個資處理,不過,該處理必須以經確認不致過度損害個人權利和自由為前提。雖然其他個資處理依據(尤其是再取得當事人同意)看起來比較麻煩,但GDPR第6(1)(f)條「合法利益」之個資合法處理依據並非可自行隨意認定,而是要確認符合目的測試、必要測試與平衡測試三段式測試(three-part test)、事前完成個人資料影響評估(Data Protection Impact Assessment, DPIA),而且提供拒絕權(right to object)行使機制,提供個資當事人拒絕資料管理者或第三人處理其個人資料。
「合法利益」看似最具彈性的處理依據,但在大多數的情況下,因「合法利益」係由資料管理者或第三人說明資料處理之目的、提供認定資料處理符合合法權益之解釋,另額外提供對於資料當事人影響正當化之證明,包括必要性測試,與平衡測試等,以利風險辨識與應該採取的對應措施等,反而沒有比較容易。更何況在RTB當下,可能涉及必須取得當事人同意才可進行個資處理之特種(敏感性)個資(編按:特種(敏感性)個資以不能處理為原則,除非具有GDPR第9(2)條之相關規定)。ICO建議廣告業者應以儘速修正個資處理依據──應以取得當事人同意為個資處理依據,或是停止處理個資。
其次,ICO在報告指出,經檢視部分業者的RTB契約,發現契約條款雖對於經競標取得的資料會被如何維護、分享、與刪除具有相關條款所規範,但ICO認為僅以「契約」作為個資處理依據是不足夠,業者應以其他更明確與完整的方式,告知個人資料當事人其於進行RTB時將會如何處理其個人資料,以及其個人資料後續可能會被如何分享。另外ICO特別提醒,某些業者建立與分享個人資料檔案的大規模剖繪 (large-scale profiling) ,已經達到法律規定必須在個資處理前就應完成影響評估 (impact assessment),在未完成影響評估前逕自處理個人資料,實已違反法律的規定。
ICO 對RTB廣告業者的調查進度
ICO在發佈報告後曾經一度因為COVID-19疫情緣故,停止對於廣告業者的調查,但在2021年又重新啟動。於此同時,愛爾蘭公民自由委員會 (ICCL) 亦在2021年6月中,在德國法院對跨國線上廣告業者使用RTB提起訴訟,google, amazon, Facebook和Twitter等科技巨頭也都被列為訴訟被告。後續將會如何發展,讓我們拭目以待。
備註:ICO列示數項「可能導致高風險」 (likely to result in high risk) 之個資處理類型,並要求涉及下列資料處理行為時,於進行前都必須 (mandatory) 先完成個資保護影響評估 (DPIA) 始得為之。
資料來源
- 程序化廣告(programmatic advertising)是什麼?|PanX 每週單字,https://panx.asia/archives/46018 (last visited July 1, 2021).
- UK ICO, When Can We Rely on Legitimate Interest?, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/when-can-we-rely-on-legitimate-interests/ (last visited July, 2021).
- UK ICO, Examples of Processing “Likely to Result in High Risk”, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/ (last visited July 1, 2021).
- UK ICO, Adtech Investigation Resumes, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/01/adtech-investigation-resumes/ (last visited July 1, 2021).
- Bobby Hellard, Privacy Group Files GDPR Lawsuit Against Online Advertising Industry, IPTO, June 18, 2021, https://www.itpro.co.uk/data-insights/data-processing/359895/lack-of-action-by-gdpr-enforcers-fuels-real-time-bidding (last visited July 1, 2021).
延伸閱讀
- Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to Result in a High Risk” for the Purposes of Regulation 2016/679, WP 248 rev. 01, Oct. 4, 2017, http://ec.europa.eu/newsroom/document.cfm?doc_id=47711 (last visited July 1,2021).
作者
許慧瑩 中央研究院法律學研究所
本研究感謝「中央研究院法律學研究所資訊法中心」支持