信息來源：安全內參

近日，愛爾蘭公民自由委員會（Irish Council for Civil Liberties，ICCL）公布了一份報告，對其認定的一起“史上最大規模數據泄露事件”進行了披露。

報告顯示，如谷歌、微軟等公司會利用實時競價系統將用戶的網絡瀏覽記錄和地理位置信息提供給廣告商，美國用戶每天被分享747次，歐洲用戶376次。谷歌回應稱，其一直對與廣告商共享用戶數據進行嚴格限制，并要求在投放個性化廣告前取得用戶同意。

何為實時競價系統（簡稱RTB）？公開資料顯示，RTB是一種利用第三方技術，在數以百萬計的網站上針對每一個用戶展示行為進行評估以及出價的競價技術。簡而言之，可理解為讓廣告商通過瀏覽記錄和地理位置信息來鎖定潛在用戶并針對目標廣告位進行出價的過程，目的是為了實現精準營銷。

根據ICCL發布的報告，谷歌、微軟等公司使用RTB系統實時追蹤并分享用戶的網絡瀏覽記錄和地理位置信息給廣告商，以便廣告商選擇有潛在用戶瀏覽的網頁精準投放廣告。在美國其每天分享上述用戶信息2940億次，平均每人被曝光747次；在歐洲每天分享1970億次，平均每人被曝光376次，并且“沒有任何辦法可以控制這些數據的用途”。

用戶數據的被分享次數在不同地區或國家也有所差別。具體而言，美國科羅拉多州的網絡用戶平均每人每天被分享數據987次，加利福尼亞州為804次，華盛頓哥倫比亞特區則為486次。在歐洲，英國的網絡用戶平均每人每天被分享數據462次。

報告指出，美國網絡用戶被分享網絡瀏覽記錄和位置信息的頻率比歐洲用戶高57%。有觀點推測，該情況與美國和歐洲的隱私法規差異較大有關，在規定嚴格而全面的數據保護框架《通用數據保護條例》（GDPR）的“保駕護航”下，歐洲監管機構多年來一直針對濫用的廣告技術采取措施。

報告推測，總體而言，美國網絡用戶的網絡瀏覽記錄和位置信息每年被追蹤和共享107萬億次，歐洲每年為71萬億次，并稱這些用戶數據會被發送至全球各地的公司。值得一提的是，報告強調上述數據都十分保守，因為此次ICCL僅選擇了在線廣告生態系統的“巨頭”之一谷歌參與統計，并未關注臉書和亞馬遜。

報告指出，谷歌是最大限度利用RTB系統的“罪魁禍首”，其向高達4698家公司提供美國用戶的相關數據，向1058家公司提供歐洲用戶的相關數據，而微軟可向1647家公司提供。由于這些用戶數據是通過互聯網傳播的，它們還面臨著被“非官方合作伙伴”攔截和利用的風險。

事實上，這并非RTB系統的信息安全問題首次引發關注。2019年5月，在收到用戶針對谷歌RTB系統的隱私投訴后，愛爾蘭數據保護委員會（DPC）對谷歌展開法定調查，試圖確定其對用戶個人數據的處理是否適當，然而該調查至今沒有結果。

因此，今年3月，ICCL的資深研究員約翰尼·瑞安（Johnny Ryan）將DPC告上了法庭，理由是其未能對谷歌的大規模數據泄露行為采取行動，目前愛爾蘭高等法院已同意進行審理。同時，他還向歐盟監察專員投訴，稱歐盟委員會（European Commission）未能妥善監督GDPR的實施。

ICCL始終認為RTB本質上是不安全的——通過在互聯網上與成千上萬的廣告商進行大規模的用戶個人數據交易來實現廣告的精準投放，這種做法風險很大，個人信息無法得到充分保護。因此，ICCL將此定義為“史上最大規模的數據泄露”。

據悉，針對該報告，谷歌發言人作出了回應，稱其在使用RTB系統時采取了行業領先的保護措施，并對與廣告商共享用戶數據進行了嚴格限制?！拔覀儾粫窒韨€人身份信息，也不會展示基于健康、種族或宗教等敏感信息而投放的廣告，多年來我們一直要求廣告商在展示任何個性化廣告之前取得用戶的同意?！绷硗?，微軟方面則拒絕對此置評。