Google 的「控管者」角色
我們已通盤審查旗下所有產品,並評估我們在每項產品中的角色是控管者或處理者。除了 AdMob 處理者功能和 Google Ad Manager 處理者功能 (Google 在其中擔任處理者) 之外,我們是自家發布商產品的控管者,因為我們經常要做出資料相關決策,以提供及改善產品。在某些情況下,Google 和發布商會擔任共同控管者。這項定義記載在我們的《控管者與控管者資料保護條款》。
舉例來說,我們會向 AdSense 發布商的訪客放送廣告。如果您是經營園藝主題網站的 AdSense 發布商,我們便會推論您的網站訪客是園藝迷,並使用這項資料來嘉惠廣告客戶 (如果某家割草機製造商想要向園藝迷放送廣告,甚至在他們造訪非園藝網站期間持續向他們宣傳,我們就會使用這項資料來協助該製造商)。由於我們使用這項資料是為了造福各方當事人,因此我們的角色是資料的控管者,而非處理者。使用 Ad Manager 或 Ad Exchange 產品的發布商,將對資料使用方式握有更多控制權。他們可以選擇採用與 AdSense 和 AdMob 相同的資料使用方式,也可以選擇對 Google 使用資料的方式設限,例如滑雪主題網站可限制系統不得參考他們的網頁所收集到的資料,來決定要在其他發布商的網站上放送哪類廣告。這些控制功能有一些限制:我們會使用眾多 Ad Manager 和 Ad Exchange 發布商所收集的資料來持續提升產品的品質,包括測試廣告放送演算法、監控使用者延遲,以及確保預測系統的準確度等。這也再度說明了為何我們在 Ad Manager 和 Ad Exchange 產品中是資料的控管者,而非處理者。
將 Google 的發布商產品指定為控管者,並不會讓 Google 對發布商使用 Ad Manager 和 Ad Exchange 而衍生的資料享有額外權利。Google 使用資料的方式仍將受制於與發布商之間的合約條款,以及發布商透過產品使用者介面選擇的所有功能專屬設定。
哪些服務需要事先徵求使用者的同意聲明?
需要徵求同意聲明的服務詳列於我們的《歐盟地區使用者同意授權政策》中。此外,我們也更新了歐盟地區使用者同意授權政策的說明頁面,針對客戶向我們提出的疑問補充了相關資訊。
另外,《歐盟地區使用者同意授權政策》也要求發布商必須向使用者說明他們會如何運用使用者個資。我們鼓勵發布商提供此使用者說明網頁的連結,讓使用者瞭解 Google 產品如何運用個資。加入此連結,即可符合我們的政策規定。
Google 計劃如何落實同意聲明規範?
我們的首要任務向來都是與客戶併肩合作,共同落實法規遵循。我們瞭解取得同意聲明的方法不只一種,因此未硬性規定實際做法,只要符合我們的政策即可。例如,我們知道有些發布商可能想要為訪客提供多種選擇。我們在 cookiechoices.org 上針對取得同意聲明的方法提出了建議方針 (與我們的「營利成長選項」同意聲明工具所採用的方法相互呼應),但並未限制發布商採取其他方法。提出一種一體適用的方法,並不在我們的計畫之中。凡是使用我們的產品且在歐洲經濟區境內有使用者的發布商和廣告主,均為本政策的適用對象。然而,如同我們的其他現行政策,做出「判決」絕非違規處置的第一步行動;我們會聯絡客戶、向他們指出問題所在,再設法與他們共同落實法規遵循。
如果您發現有應用程式不符合 Google 的《歐盟地區使用者同意授權政策》,可以透過舉報違規表單向我們通報。
未取得同意聲明的發布商可以使用 Google 產品嗎?如果可以,該如何使用?
我們訂立了一套非個人化廣告模式,可讓發布商:1) 向歐洲經濟區境內使用者顯示要看到個人化廣告還是非個人化廣告的選項,或是;2) 選擇只向歐洲經濟區境內的所有使用者放送非個人化廣告。
雖然非個人化廣告不會將 Cookie 用於廣告個人化,但是會用來計算展示頻率上限、提供廣告匯總報表,以及防範詐欺和濫用行為。因此,如果使用者來自適用《電子通訊隱私指令》(ePrivacy Directive) Cookie 規定的國家/地區,您就必須向他們取得同意聲明,才可使用 Cookie 達成上述目的。
Google 的非個人化廣告解決方案是什麼?
非個人化廣告可讓發布商向歐洲經濟區境內使用者顯示要看到個人化廣告還是非個人化廣告的選項,或是選擇只向歐洲經濟區境內的所有使用者放送非個人化廣告。非個人化廣告只會使用情境資訊,包括概略而籠統 (城市層級) 的位置。
以非個人化廣告來說,Google 應該就是資料的處理者,而非控管者吧?
在非個人化廣告解決方案中,Google 仍將擔任控管者的角色,因為如前所述,我們將持續做出許多資料相關決策,協助發布商獲得最佳成效並提升我們的產品品質。
Google 在使用個人資料從事各項活動 (例如放送內容相關廣告、製作廣告報表,以及防範詐欺和濫用行為等) 時,依法必須基於「正當利益」。
雖然非個人化廣告不會將 Cookie 用於廣告個人化,但是會用來計算展示頻率上限、提供廣告匯總報表,以及防範詐欺和濫用行為。在 GDPR 的規範下,我們進行此類資料處理確實是基於正當利益,但如果使用者來自適用《電子通訊隱私指令》(ePrivacy Directive) Cookie 規定的國家/地區,您仍須向他們取得同意聲明,才可使用 Cookie 達成上述目的。
Google 日後修訂政策時,將如何向發布商送出異動通知?
我們瞭解修訂《歐盟地區使用者同意授權政策》所造成的影響相當複雜,但如果法規遵循指南有了重大異動 (例如變成允許個人化廣告基於正當利益放送),我們勢必就需要隨之修訂政策。一般來說,我們不一定會在政策異動前發布通知,但這次有關《歐盟地區使用者同意授權政策》的異動一律都採用預先告知的做法;未來政策如有重要變更,我們也會盡量比照辦理。
如同過去數個月以來一樣,我們之後也會繼續積極與發布商夥伴交流意見、分享最新訊息,並將各方意見回饋列入考量。