Adsense GDPR 歐盟地區用戶隱私個資法與發佈商注意事項

相信有在經營網站朋友,應該有聽過歐盟制定「一般資料保護規例 (簡稱:GDPR)」,這將對於歐盟地區用戶隱私個資法有所適用,然而有在網站放置 Google Adsense 發佈商也須留意,至於有那些該注意的事項以及實施辦法,史密斯也將針對於此簡單介紹。

想必不少 Adsense 發佈商合作夥伴們,都有收到下列關於 Google 針對歐盟地區 GDPR,像是 DFP 廣告管理系統、DoubleClick Ad Exchange (AdX)、AdMob 與 Adsense 服務條款變更通知信件。

 

 

文字寫了一長串,但用白話文來解釋,又是甚麼意思呢?? 下列也針對歐盟一般資料保護規例 GDPR 來做簡單介紹,以及 Google Adsense 團隊針對這條款所做說明影片:

 

1. 了解網站保存用戶數據及使用流程

GDPR 適用於持有歐盟公民數據或個人身份資訊企業,當然身為搜尋引擎龍頭老大 Google 谷歌也不例外,凡是只要來自歐盟地區的瀏覽者及合作夥伴們,也將會受到 GDPR 管制,對於使用者興趣、習性等 Cookie 資料使用須了解清楚。

 

2. 強化數據保護與及規範數據資料避免外洩情況

將用戶資料更加有效管理,並且制定 SOP 標準流程,以及採取適當保護數據措施,一旦有資安數據外洩情況,也需要在發現後 72 小時內進行通報,完善辦法讓危機發生時有更好因應解決方式。

 

3. 針對數據資料審計記錄

將於 2018 年 5 月 25 日起,企業須證明使用數據及處理的法律依據,若是違規並無法證明使用數據用途,該公司也將會受到 GDPR執法機構處分,因此企業必須針對每個用戶數據使用、儲存位置及持有原因等等都要相當清楚。

 

 

教學指南:

 

身為網路界一哥 Google 谷歌,也為了協助發佈商履行 GDPR 政策,也針對歐洲經濟區境內使用者 (包含歐盟會員國,以及冰島、列支敦斯登和挪威地區) 提供廣告放送選項,這部分也將會在 2018 年 5 月 25 日生效,若是未按照指示來調整的話,系統則會採用預設選項。

 

首先登入 AdSense 帳戶 -> 點選 "允許/封鎖廣告",然後在所有我的網站項目中,按最右手邊 [歐盟使用者同意聲明]。

 

 

便能在此頁面看到要放送的廣告類型,選擇「非個人化廣告」設定亦即會針對歐洲經濟區境內所有使用者放送非個人化廣告,但如果你想讓每位使用者看到個人化還是非個人化廣告自動切換,則是建議你選取 [個人化廣告],並依據 IP 來源或是搭配 DFP 系統彈跳視窗等個別要求來放送非個人化廣告。

 

至於這兩者有何差別呢??史密斯也針對於此簡單列表比較。

 

1. 個人化廣告:Google 會繼續針對該網站用戶在歐盟地區使用者,來放送輪播個人化廣告和非個人化廣告,若用戶未在此頁面進行變更,系統將會採用此設定。

 

補充:個人化廣告顯示依據,是透過搜尋行為分析使用者興趣、客層與其他條件來顯示適合廣告,因此使用個人化廣告需經過用戶聲明許可,並清楚指明使用這類廣告技術供應商。

 

2. 非個人化廣告:對於在歐洲經濟區境內的所有使用者,Google 僅會放送非個人化廣告,雖然說這些廣告不會將 Cookie 用於廣告個人化,但會運用 Cookie 來計算展示頻率、廣告匯總報表,以及打擊詐欺和濫用行為等用途。

 

這也就是說即使你已經停用個人化廣告,並且選取 [非個人化廣告] 選項,才能確保 "只" 會顯示非個人化廣告,然而 Google 谷歌也將會套用更嚴格規劃限制以符合 GDPR 法規要求。 (說明文件頁面)

 

 

此外也參考 "霹靂開發邦" 文章得到實用資訊反饋,你可以在登錄 Google Adsense 帳號之後,查看並接受與更新服務條款限制,若是網站瀏覽來源有一定比例來自歐盟地區,並且對於這些條款有所疑問,建議可詢問相關法律顧問。

 

其實對於發佈商來說,GDPR 所造成影響層面,看來是只有 Adsense 而已,然而依據官方說明指出,也列出三個面向給站長們來參考:

 

1. 歐盟停用個人化廣告:谷歌有說不需要變更廣告代碼,只需要在管理介面停用個人化廣告,並且在歐盟區顯示非個人化廣告。

 

2. 網站需彈跳視窗詢問使用者是否同意站方使用 Cookie 資料。

 

3. 在還未獲得許可前無法顯示 Adsense 廣告,畢竟依據歐盟 GDPR 所要求,同意前無法使用 Cookie 資料,但依據 Adsense 政策所指初一定會用到 Cookie,然而單靠 Adsense 系統架構無法達成,還得要搭配 DFP 系統才能夠符合此規範,相對來說技術門檻就高許多,猜測能達到應該只有公司等級有技術部門網站,一般個體戶很難有辦法實現。

 

實作案例:

 

以本站崁入 Disqus 留言板為例,從今天 5/25 日開始,留言會被告知 EMail 與 IP 等各資會被收集,當你允許此條款規範的情況下,才能使用此服務,這也是變相要遵循 GDPR 規範的產物。

 

 

如工具邦旗下服務 "世界時鐘",造訪網頁會有隱私條款,會跳轉到 Google 頁面,讓使用者有更清楚的了解。

 

 

此外台灣指標大站之一「免費資源網路社群」也為了因應 GDPR 做出規範,查詢元素才知道是套用 JetPack 外掛,類似蓋板廣告提示框,點選按鈕讓用戶有收到訊息,並且知道相關規範的目的在,你可前往隱私權政策頁面查看更多資訊。

 

 

若是國外比較大的網站案例,目前看到的是中國航空 AIR CHINA,造訪網站頁面就有蒐集個人資料訊息,同意才能繼續使用服務,不同意將會被帶離網頁。

 

 

以上幾個案例都可給各位站長參考提供,多少能有個遵循規範的依據與標準在,如有其他範例網站也歡迎各位留言提供。

 

結論:或許有人說從後台點一下非個人化廣告就好,但實情也並非你想的這麼簡單,主要是因為 Adsense 本身在運作過程,就一定會使用到 Cookie 資料,也就是上述第三點條件,換句話說其實新增 "非個人化廣告" 又顯得沒意義,再加上第三點情況需要偵測用戶 IP,並搭配 DFP 來輔助,若沒有一定程式門檻,我想肯定辦不到,假如 "真的" 符合規範加上網站流量 "一定比例" 來自歐盟,依據此辦法來看造成收益損失可是會非常大,畢竟歐盟也是世界前三大經濟體,若是 GDPR 真的實施且運作,肯定 Google 收益大幅下降,而且股價也會腰斬吧!!! 目前就先繼續觀望,看後續 Adsense 團隊說明,我覺得前兩點做到就很了不起,第三點難度實在非常高 QQ

 

參考資料:

● 歐盟地區使用者同意授權政策條款 ○

1. 可協助發佈商遵守 GDPR 的工具

2. 針對未滿法定同意年齡的 EEA 使用者標記廣告請求 (TFUA)

3. 個人化和非個人化廣告

4. 廣告技術供應商

5. Ads personalization settings in Google’s publisher ad tags

6. Google now enforces EU cookie consent policy

 

史密斯先生

同時身兼站長與網管,校長兼撞鐘一職,史密斯是個熱愛科技三吸阿宅,尤其以 VPN & 翻牆類資訊,特別地感到有興趣,希望藉由「跳板俱樂部 VPN Club」平台讓大家掌握最即時又快速的網路動態。

臉書留言

多社群平台留言