根據 GDPR 的定義,Google 的角色是資料的「控管者」而非「處理者」,原因為何?
我們已通盤審查旗下所有產品,並評估我們在每項產品中的角色是控管者或處理者。就發佈商產品而言,我們擔任的角色是控管者,因為我們經常要做出資料相關決策以提供及改善產品。
舉例來說,我們會向 AdSense 發佈商的訪客放送廣告。如果您是經營園藝主題網站的 AdSense 發佈商,我們便會推論您的網站訪客是園藝迷,並使用這項資料來嘉惠廣告客戶 (如果某家割草機製造商想要向園藝迷放送廣告,甚至在他們造訪非園藝網站期間持續向他們宣傳,我們就會使用這項資料來協助該製造商)。由於我們使用這項資料是為了造福各方當事人,因此我們的角色是資料的控管者,而非處理者。使用 Ad Manager 或 Ad Exchange 產品的發佈商,將對資料使用方式握有更多控制權。他們可以選擇採用與 AdSense 和 AdMob 相同的資料使用方式,也可以選擇對 Google 使用資料的方式設限,例如滑雪主題網站可限制系統不得參考他們的網頁所收集到的資料,來決定要在其他發佈商的網站上放送哪類廣告。這些控制功能有一些限制:我們會使用眾多 Ad Manager 和 Ad Exchange 發佈商所收集的資料來持續提升產品的品質,包括測試廣告放送演算法、監控使用者延遲,以及確保預測系統的準確度等。這也再度說明了為何我們在 Ad Manager 和 Ad Exchange 產品中是資料的控管者,而非處理者。
將 Google 的發佈商產品指定為控管者,並不會讓 Google 對發佈商使用 Ad Manager 和 Ad Exchange 而衍生的資料享有額外權利。Google 使用資料的方式仍將受制於與發佈商之間的合約條款,以及發佈商透過產品使用者介面選擇的所有功能專屬設定。
哪些服務需要事先徵求使用者的同意聲明?
需要徵求同意聲明的服務詳列於我們的《歐盟地區使用者同意授權政策》中。此外,我們也更新了這項政策的說明頁面,針對客戶向我們提出的疑問補充了相關資訊。
另外,《歐盟地區使用者同意授權政策》也要求發佈商必須向使用者說明其個資使用方式。我們鼓勵發佈商提供此使用者說明網頁的連結,讓使用者瞭解 Google 產品如何使用個資。加入此連結,即可符合我們的政策規定。
Google 計劃如何落實同意聲明規範?
我們的首要任務向來都是與客戶併肩合作,共同落實法規遵循。我們瞭解取得同意聲明的方法不只一種,因此未硬性規定實際做法,只要符合我們的政策即可。例如,我們知道有些發佈商可能想要為訪客提供多種選擇。我們在 cookiechoices.org 上針對取得同意聲明的方法提出了建議方針 (與我們的「資助選項」同意聲明工具所採用的方法相互呼應),但並未限制發佈商採取其他方法。提出一種一體適用的方法,並不在我們的計劃之中。凡是使用我們的產品且在歐洲經濟區境內有使用者的發佈商和廣告客戶,均為本政策的適用對象。然而,如同我們的其他現行政策,做出「判決」絕非違規處置的第一步行動;我們會聯絡客戶、向他們指出問題所在,再設法與他們共同落實法規遵循。如果您發現有網站不符合 Google 的《歐盟地區使用者同意授權政策》,您可以透過舉報違規表單向我們通報。
未取得同意聲明的發佈商可以使用 Google 產品嗎?如果可以,該如何使用?
我們訂立了一套非個人化廣告模式,可讓發佈商:1) 向歐洲經濟區境內使用者顯示要看到個人化廣告還是非個人化廣告的選項,或是;2) 選擇只向歐洲經濟區境內的所有使用者放送非個人化廣告。
雖然非個人化廣告不會將 Cookie 用於廣告個人化,但是會用來計算展示頻率上限、提供廣告匯總報表,以及防範詐欺和濫用行為。因此,如果使用者來自適用《電子通訊隱私指令》(ePrivacy Directive) Cookie 規定的國家/地區,您就必須向他們取得同意聲明,才可使用 Cookie 達成上述目的。
Google 的非個人化廣告解決方案是什麼?
非個人化廣告可讓發佈商向歐洲經濟區境內使用者顯示要看到個人化廣告還是非個人化廣告的選項,或是選擇只向歐洲經濟區境內的所有使用者放送非個人化廣告。非個人化廣告只會使用情境資訊,包括概略而籠統 (城市層級) 的位置。
以非個人化廣告來說,Google 應該就是資料的處理者,而非控管者吧?
在非個人化廣告解決方案中,Google 仍將擔任控管者的角色,因為如前所述,我們將持續做出許多資料相關決策,以協助發佈商獲得最佳成效並提升我們的產品品質。
Google 在使用個人資料從事各項活動 (例如放送內容比對廣告、製作廣告報表,以及防範詐欺和濫用行為等) 時,依法必須基於「正當利益」。
雖然非個人化廣告不會將 Cookie 用於廣告個人化,但是會用來計算展示頻率上限、提供廣告匯總報表,以及防範詐欺和濫用行為。在 GDPR 的規範下,我們進行此類資料處理確實是基於正當利益,但如果使用者來自適用《電子通訊隱私指令》(ePrivacy Directive) Cookie 規定的國家/地區,您仍須向他們取得同意聲明,才可使用 Cookie 達成上述目的。
如果發佈商採用 IAB 架構,則在賣方全面整合之前,他們可選擇以哪些方式使用 Google 發佈商產品?
我們尚未整合 IAB 資訊公開和同意聲明架構 (TCF)。最近幾個月以來,我們持續與歐洲互動廣告協會 (IAB Europe) 合作,以期找出我們產品與政策履行 TCF 的方式,但目前仍未完成全面技術整合。
在 Google 完成 IAB 整合前,針對發佈商 ATP 控制項中所選的廣告技術供應商,Google 會傳回個人化廣告。發佈商仍可繼續在廣告請求中納入非個人化廣告信號,或是在 Ad Manager UI 中選擇對歐洲經濟區境內的所有使用者只放送非個人化廣告。此外提醒您,IAB TCF 技術規格適用於網頁格式;但行動應用程式的規格則仍未制定完成。
Google 日後修訂政策時,將如何向發佈商送出異動通知?
我們瞭解修訂《歐盟地區使用者同意授權政策》所造成的影響相當複雜,但如果法規原則有了重大異動 (例如變成允許個人化廣告基於正當利益放送),我們勢必就需要隨之修訂政策。一般來說,我們不一定會在政策異動前發佈通知,但這次有關《歐盟地區使用者同意授權政策》的異動一律都採用預先告知的做法;未來政策如有重要變更,我們也會盡量比照辦理。
如同過去數個月以來一樣,我們之後也會繼續積極與發佈商夥伴交流意見、分享最新訊息,並將各方意見回饋列入考量。
