Adsense GDPR 歐盟地區用戶隱私個資法與發佈商注意事項
相信有在經營網站朋友,應該有聽過歐盟制定「一般資料保護規例 (簡稱:GDPR)」,這將對於歐盟地區用戶隱私個資法有所適用,然而有在網站放置 Google Adsense 發佈商也須留意,至於有那些該注意的事項以及實施辦法,史密斯也將針對於此簡單介紹。
想必不少 Adsense 發佈商合作夥伴們,都有收到下列關於 Google 針對歐盟地區 GDPR,像是 DFP 廣告管理系統、DoubleClick Ad Exchange (AdX)、AdMob 與 Adsense 服務條款變更通知信件。
文字寫了一長串,但用白話文來解釋,又是甚麼意思呢?? 下列也針對歐盟一般資料保護規例 GDPR 來做簡單介紹,以及 Google Adsense 團隊針對這條款所做說明影片:
1. 了解網站保存用戶數據及使用流程
GDPR 適用於持有歐盟公民數據或個人身份資訊企業,當然身為搜尋引擎龍頭老大 Google 谷歌也不例外,凡是只要來自歐盟地區的瀏覽者及合作夥伴們,也將會受到 GDPR 管制,對於使用者興趣、習性等 Cookie 資料使用須了解清楚。
2. 強化數據保護與及規範數據資料避免外洩情況
將用戶資料更加有效管理,並且制定 SOP 標準流程,以及採取適當保護數據措施,一旦有資安數據外洩情況,也需要在發現後 72 小時內進行通報,完善辦法讓危機發生時有更好因應解決方式。
3. 針對數據資料審計記錄
將於 2018 年 5 月 25 日起,企業須證明使用數據及處理的法律依據,若是違規並無法證明使用數據用途,該公司也將會受到 GDPR執法機構處分,因此企業必須針對每個用戶數據使用、儲存位置及持有原因等等都要相當清楚。
教學指南:
身為網路界一哥 Google 谷歌,也為了協助發佈商履行 GDPR 政策,也針對歐洲經濟區境內使用者 (包含歐盟會員國,以及冰島、列支敦斯登和挪威地區) 提供廣告放送選項,這部分也將會在 2018 年 5 月 25 日生效,若是未按照指示來調整的話,系統則會採用預設選項。
首先登入 AdSense 帳戶 -> 點選 "允許/封鎖廣告",然後在所有我的網站項目中,按最右手邊 [歐盟使用者同意聲明]。
便能在此頁面看到要放送的廣告類型,選擇「非個人化廣告」設定亦即會針對歐洲經濟區境內所有使用者放送非個人化廣告,但如果你想讓每位使用者看到個人化還是非個人化廣告自動切換,則是建議你選取 [個人化廣告],並依據 IP 來源或是搭配 DFP 系統彈跳視窗等個別要求來放送非個人化廣告。
至於這兩者有何差別呢??史密斯也針對於此簡單列表比較。
1. 個人化廣告:Google 會繼續針對該網站用戶在歐盟地區使用者,來放送輪播個人化廣告和非個人化廣告,若用戶未在此頁面進行變更,系統將會採用此設定。
㊣ 補充:個人化廣告顯示依據,是透過搜尋行為分析使用者興趣、客層與其他條件來顯示適合廣告,因此使用個人化廣告需經過用戶聲明許可,並清楚指明使用這類廣告技術供應商。
2. 非個人化廣告:對於在歐洲經濟區境內的所有使用者,Google 僅會放送非個人化廣告,雖然說這些廣告不會將 Cookie 用於廣告個人化,但會運用 Cookie 來計算展示頻率、廣告匯總報表,以及打擊詐欺和濫用行為等用途。
這也就是說即使你已經停用個人化廣告,並且選取 [非個人化廣告] 選項,才能確保 "只" 會顯示非個人化廣告,然而 Google 谷歌也將會套用更嚴格規劃限制以符合 GDPR 法規要求。 (說明文件頁面)
此外也參考 "霹靂開發邦" 文章得到實用資訊反饋,你可以在登錄 Google Adsense 帳號之後,查看並接受與更新服務條款限制,若是網站瀏覽來源有一定比例來自歐盟地區,並且對於這些條款有所疑問,建議可詢問相關法律顧問。
其實對於發佈商來說,GDPR 所造成影響層面,看來是只有 Adsense 而已,然而依據官方說明指出,也列出三個面向給站長們來參考:
1. 歐盟停用個人化廣告:谷歌有說不需要變更廣告代碼,只需要在管理介面停用個人化廣告,並且在歐盟區顯示非個人化廣告。
2. 網站需彈跳視窗詢問使用者是否同意站方使用 Cookie 資料。
3. 在還未獲得許可前無法顯示 Adsense 廣告,畢竟依據歐盟 GDPR 所要求,同意前無法使用 Cookie 資料,但依據 Adsense 政策所指初一定會用到 Cookie,然而單靠 Adsense 系統架構無法達成,還得要搭配 DFP 系統才能夠符合此規範,相對來說技術門檻就高許多,猜測能達到應該只有公司等級有技術部門網站,一般個體戶很難有辦法實現。
實作案例:
以本站崁入 Disqus 留言板為例,從今天 5/25 日開始,留言會被告知 EMail 與 IP 等各資會被收集,當你允許此條款規範的情況下,才能使用此服務,這也是變相要遵循 GDPR 規範的產物。
如工具邦旗下服務 "世界時鐘",造訪網頁會有隱私條款,會跳轉到 Google 頁面,讓使用者有更清楚的了解。
此外台灣指標大站之一「免費資源網路社群」也為了因應 GDPR 做出規範,查詢元素才知道是套用 JetPack 外掛,類似蓋板廣告提示框,點選按鈕讓用戶有收到訊息,並且知道相關規範的目的在,你可前往隱私權政策頁面查看更多資訊。
若是國外比較大的網站案例,目前看到的是中國航空 AIR CHINA,造訪網站頁面就有蒐集個人資料訊息,同意才能繼續使用服務,不同意將會被帶離網頁。
以上幾個案例都可給各位站長參考提供,多少能有個遵循規範的依據與標準在,如有其他範例網站也歡迎各位留言提供。
結論:或許有人說從後台點一下非個人化廣告就好,但實情也並非你想的這麼簡單,主要是因為 Adsense 本身在運作過程,就一定會使用到 Cookie 資料,也就是上述第三點條件,換句話說其實新增 "非個人化廣告" 又顯得沒意義,再加上第三點情況需要偵測用戶 IP,並搭配 DFP 來輔助,若沒有一定程式門檻,我想肯定辦不到,假如 "真的" 符合規範加上網站流量 "一定比例" 來自歐盟,依據此辦法來看造成收益損失可是會非常大,畢竟歐盟也是世界前三大經濟體,若是 GDPR 真的實施且運作,肯定 Google 收益大幅下降,而且股價也會腰斬吧!!! 目前就先繼續觀望,看後續 Adsense 團隊說明,我覺得前兩點做到就很了不起,第三點難度實在非常高 QQ
參考資料:
● 歐盟地區使用者同意授權政策條款 ○
2. 針對未滿法定同意年齡的 EEA 使用者標記廣告請求 (TFUA)
3. 個人化和非個人化廣告
4. 廣告技術供應商
5. Ads personalization settings in Google’s publisher ad tags
6. Google now enforces EU cookie consent policy