تتهم مجموعة الحقوق المفتوحة LiveRamp بمعالجة البيانات “غير القانونية”.
قدم نشطاء الخصوصية شكاوى رسمية إلى منظمي البيانات في المملكة المتحدة وفرنسا ضد شركة LiveRamp للإعلان عبر الإنترنت ووساطة البيانات، زاعمين أن “التنميط الذي ينتهك الخصوصية” ينتهك قوانين حماية البيانات الأوروبية.
تدعي مجموعة الحقوق المفتوحة (ORG) – التي قدمت شكويين منفصلتين إلى مكتب مفوض المعلومات في المملكة المتحدة (ICO) واللجنة الوطنية للمعلوماتية والحريات الفرنسية (CNIL) في نهاية فبراير 2024 – أن أنشطة معالجة البيانات الواسعة التي تقوم بها LiveRamp من المحتمل أن تكون غير قانونية بسبب عدم وجود أساس قانوني واضح وشفافية ذات معنى لأصحاب البيانات.
تشمل قضايا حماية البيانات الأخرى المذكورة في الشكوى “جمع البيانات الشخصية ومعالجتها بشكل عشوائي” من جانب LiveRamp، والتي زعمت ORG أنها “لا تتناسب على الإطلاق مع أهدافها”؛ إعادة استخدامها للبيانات الشخصية التي تم جمعها لسياقات أخرى؛ وأمن البيانات الحساسة للأشخاص. تدعي ORG أن هذه المشكلات المتعلقة بمعالجة بيانات LiveRamp يمكن أن تؤثر على ملايين الأشخاص في المملكة المتحدة.
“إن نظام Liveramp متطفل ويسمح للمعلنين بربط العناوين والأسماء الفعلية للأشخاص مع عادات التصفح الخاصة بهم. وقال جيم كيلوك، المدير التنفيذي لـ ORG: “هذا أمر غير مقبول”.
“تتطور صناعة التكنولوجيا الإعلانية بسرعة حيث يقوم المنظمون في أماكن أخرى بتضييق الخناق على التنميط والمشاركة المفرطة للبيانات. هذه التقنيات الجديدة والخطيرة هي محاولة للالتفاف على التغييرات التي تحد من استخدام ملفات تعريف الارتباط للتتبع، ولجعل الإعلان عبر الإنترنت أكثر تدخلاً، وليس أقل.
“نأمل أن كلا من [UK] سوف يأخذ ICO و CNIL في فرنسا هذه القضايا على محمل الجد ويحققان فيها. في المملكة المتحدة، لا تزال هناك مشكلات معلقة ولم يتم حلها من الشكاوى السابقة. تحرز أوروبا تقدمًا بطيئًا ولكن واضحًا ضد تكنولوجيا الإعلانات المتطفلة.
اتصلت شركة Computer Weekly بشركة LiveRamp بشأن شكوى ORG، وقالت إنها على علم بالتقارير المقدمة إلى سلطات حماية البيانات: “تعتقد LiveRamp اعتقادًا راسخًا أننا نلتزم بجميع القوانين في المناطق التي نعمل فيها، بما في ذلك قوانين المملكة المتحدة والاتحاد الأوروبي.
“كجزء من علاقتنا التعاونية طويلة الأمد مع الجهات التنظيمية في جميع أنحاء أوروبا، عملنا مع ICO في المملكة المتحدة على مدار العامين ونصف العام الماضيين كجزء من التدقيق المستمر لقطاع التكنولوجيا الإعلانية. ويعد هذا جزءًا من مشاركتنا المستمرة مع الجهات التنظيمية لضمان تقديم LiveRamp لحلول تركز على الخصوصية ومتوافقة مع لوائح السوق المحلية.
وأضاف متحدث باسم الشركة: “نحن نتطلع إلى مواصلة المشاركة والتعاون مع المنظمين وصانعي السياسات لضمان معالجة مخاوف خصوصية المستهلك بشكل صحيح، مع ضمان إمكانية وجود إنترنت حيوي ومجاني للمستهلكين مدعوم بالإعلان والتسويق”. “
في حين يُتوقع عادةً من المشتكين رفع المشكلة إلى مراقب البيانات (LiveRamp في هذه الحالة) قبل تقديم شكوى إلى ICO، قالت ORG إنها تعتقد أن هذا “سيكون عديم الجدوى” بسبب “كيفية وصول المعالجة غير القانونية إلى القلب”. لنموذج أعمال LiveRamp”.
وأضافت أنه لا يوجد احتمال بأن تجعل LiveRamp نفسها ممتثلة على خلفية شكوى غير رسمية من صاحب البيانات، وأن الطبيعة واسعة النطاق “للمعالجة غير القانونية” تتطلب بدلاً من ذلك اتخاذ إجراء تنظيمي.
وأضافت ORG أيضًا أنه على الرغم من أن الشكوى لا تهدف إلى إجراء تحليل قانوني شامل لمعالجة LiveRamp، إلا أن حجم أنشطتها وغموضها “يجعل من غير الواقعي لأي مشتكي فردي أن يحقق فيها بشكل كامل ويحللها قانونيًا”، وهو ما قال إنه يستلزم إجراء تحقيق في ICO .
وأضافت ORG أن تكنولوجيا الإعلان عبر الإنترنت هي العمود الفقري لـ رأسمالية المراقبة ويمكن أن يكون لها عواقب وخيمة على الأفراد، بما في ذلك استخدام ملفات تعريف الإعلانات عبر الإنترنت استهداف المقامرين الذين يعانون من مشاكل أو الأشخاص الذين لديهم إضافات; استبعاد الأقليات العنصرية من إعلانات الإسكان أو الوظائف; و تتبع النساء اللاتي مارسن حقهن في الإجهاض.
وتعليقًا على الشكوى، قال متحدث باسم ICO: “يمكننا أن نؤكد أننا نجري استفسارات بشأن LiveRamp UK، بعد مراجعة الشركة كجزء من عملنا الذي ينظر إلى قطاع التكنولوجيا الإعلانية. على الرغم من أننا على علم بالتقرير الذي طلبته مجموعة الحقوق المفتوحة ونحن على اتصال بكلا الطرفين، إلا أنه لا يمكننا التعليق أكثر في هذه المرحلة.
نموذج أعمال LiveRamp
بعد التحقيق الذي أجرته ORG في معالجة LiveRamp، والذي تم إجراؤه جنبًا إلى جنب مع باحثين مستقلين في Cracked Labs، زعمت ORG أن أعمال الشركة تتضمن “صيانة قواعد بيانات واسعة من المعلومات الشخصية”، بما في ذلك العناوين البريدية وأرقام الهواتف وعناوين البريد الإلكتروني ومعرفات ملفات تعريف الارتباط.
“يستنتج LiveRamp اتصالات بين هذه الأجزاء من المعلومات، ويربطها بمعرفات بأسماء مستعارة بحيث يمكن استرجاع ملف تعريف شامل للفرد باستخدام جزء واحد فقط من المعلومات – معرف الجهاز أو عنوان البريد الإلكتروني، على سبيل المثال -“. مضيفًا أن الشركة تبيع بعد ذلك هذه البيانات لمجموعة واسعة من الجهات الفاعلة عبر الإنترنت، الذين يمكنهم مراقبة الأفراد أثناء تصفحهم.
“وبهذه الطريقة، تلعب معالجة LiveRamp دورًا رئيسيًا في النظام البيئي لمراقبة التسويق اليوم، حيث إنها تسهل تكنولوجيا الإعلان والإعلان السلوكي دون الحاجة إلى ملفات تعريف ارتباط تابعة لجهات خارجية. يمكّن LiveRamp أيضًا وسطاء البيانات من بيع البيانات الشخصية حول ملايين الأشخاص إلى مشتري البيانات، الذين يمكنهم بعد ذلك نقل السجلات إلى شركات أخرى، كل ذلك مع ضمان أن الممثلين التجاريين في السلسلة يتحدثون عن نفس الأفراد.
وأضافت ORG أن تعقيد وغموض معالجة LiveRamp يعني أنه من الصعب فهمها بالنسبة للمستهلكين العاديين، وتسمح بتتبع الأشخاص والتأثير عليهم بطريقة شخصية دون أن يدركوا ذلك.
“في الواقع، حتى عندما يستخدم الشخص سلوكيات التصفح التي قد يعتقد أنها تحميه من التتبع – على سبيل المثال عدم تسجيل الدخول إلى المواقع، أو تقديم معلومات عنوان جزئية فقط – يمكن مراقبته وتصنيفه بطرق لا يتوقعها، وذلك بفضل معالجة LiveRamp “، كتب.
في شكواها، ادعت ORG أيضًا على وجه التحديد أن LiveRamp تقدم معلومات غير متسقة حول أساسها القانوني للمعالجة عبر ولايات قضائية مختلفة، مشيرة إلى أن إشعار الخصوصية الفرنسي الخاص بها يشير إلى أنها تعتمد على موافقة المستخدم، بينما يشير إشعار الخصوصية في المملكة المتحدة إلى أنها تعتمد بشكل أساسي على “مصالحها المشروعة”. ‘.
ومع ذلك، في كل حالة، تدعي ORG أن المعالجة ستكون على الأرجح غير قانونية. في حالة “المصالح المشروعة”، قالت ORG إن مصالحها “التجارية البحتة” يجب أن تكون متوازنة مع غزو عمليات المعالجة، “التي تتتبع بدقة سلوك الأشخاص عبر الإنترنت وخارجه (مثل تغييرات العنوان الفعلي) وتكشف معلوماتهم الشخصية بشكل غير مرئي لمئات العملاء”.
في حالة الاعتماد على الموافقة، أضافت ORG أن الموافقة ليست “مُعطاة بحرية ومحددة ومستنيرة ولا لبس فيها” كما هو مطلوب بموجب اللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR): “على وجه الخصوص، يرجع هذا إلى تعقيد وحجم LiveRamp المعالجة تعني أنه لا يمكن فهمها بشكل صحيح من قبل أصحاب البيانات.
وتعليقًا على نموذج أعمال الشركة، قال متحدث باسم LiveRamp: “على مدى السنوات القليلة الماضية، قمنا بدعم إهمال ملفات تعريف الارتباط الخاصة بالطرف الثالث واتخذوا موقفا قويا ضد بصمات الأصابع وغيرها من الأساليب الشائنة التي لا تتطلب الموافقة والعمل الإيجابي من قبل المستهلك. وبشكل أكثر تحديدًا، يتطلب حل حركة المرور المعتمد من LiveRamp موافقة إيجابية عبر جميع الولايات القضائية حيث يكون هذا هو النموذج، ولديه ضمانات متعددة للتحقق من الموافقة.
“باعتبارنا أحد رواد الصناعة، نحن ملتزمون ليس فقط باحترام ولكن أيضًا بتعزيز الخصوصية وجمع البيانات واستخدامها بشكل مناسب. تلتزم LiveRamp بنموذج الخصوصية حسب التصميم، والذي لا يضمن فقط أن معالجة البيانات لدينا قانونية ولكنه يتضمن درجة عالية من أخلاقيات البيانات في كل ما نقوم به.”
مشكلات الإعلان المستمرة عبر الإنترنت
قدمت ORG شكوى سابقًا حول عدم قانونية ممارسات حماية البيانات على نطاق واسع في جميع أنحاء قطاع الإعلان عبر الإنترنت في عام 2018.
في عام 2019، أصدر ICO التقرير بعنوان قم بتحديث التقرير إلى adtech وعروض الأسعار في الوقت الفعلي، والتي وجدت أن شركات الإعلان عبر الإنترنت تفشل في الالتزام بالقانون في مجالات رئيسية مثل مشروعية معالجة البيانات والشفافية واستخدام البيانات الحساسة ومتطلبات المساءلة وضمان مستوى مناسب من الأمان في جميع أنحاء سلسلة التوريد.
كتب ICO: “إن إنشاء ملفات تعريف البيانات الشخصية ومشاركتها حول الأشخاص، بالحجم الذي رأيناه، يبدو غير متناسب وتطفلي وغير عادل، خاصة عندما لا يكون الناس على علم بحدوث ذلك في كثير من الأحيان”. “نحن نوضح أن زيارة واحدة لموقع ويب، مما يؤدي إلى مزاد واحد بين المعلنين، يمكن أن يؤدي إلى رؤية البيانات الشخصية للشخص من قبل مئات المنظمات، بطرق تشير إلى أن قواعد حماية البيانات لم يتم أخذها في الاعتبار بشكل كافٍ.”
بينما أغلق ICO شكوى ORG في أغسطس 2020، استأنفت مجموعة الخصوصية القرار، مدعيةً أن المشكلات المثارة لم تتم معالجتها بشكل كامل. في عام 2021، خسرت منظمة ORG استئنافها أمام محكمة المعلومات لإعادة فتح الشكوى.
قالت ORG أنه حتى الآن، لم يتخذ ICO أي إجراء تنظيمي ضد انتهاكات حماية البيانات في مساحة الإعلان عبر الإنترنت التي تم الكشف عنها نتيجة لشكواه أو تقرير تحديث ICO.
وأضافت أن هذا يتناقض مع سلطات حماية البيانات الأوروبية الأخرى التي قامت بذلك حكم على عدم شرعية لافتات ملفات تعريف الارتباط وهم الطعن بنشاط في معالجة Meta للبيانات الشخصية للإعلان السلوكي.
“يتم التنافس على نموذج أعمال تكنولوجيا الإعلان المسيء في كل مكان، لكن المملكة المتحدة متخلفة عن الركب. وقالت ORG: “لقد تم إطلاق الشكوى الجديدة جزئيًا لأن القضايا الجوهرية التي أثيرت مع ICO في عام 2018 لم تتم معالجتها بعد”.
في شكواها الأخيرة، قالت ORG أنه بينما تراقب LiveRamp مئات الملايين من الأفراد على مستوى العالم، فإن وجودها الفعلي في المملكة المتحدة، إلى جانب حقيقة أنها تعالج البيانات الشخصية لملايين الأفراد في المملكة المتحدة، يعني أن المشكلة تقع ضمن اختصاص ICOs. .
اتصلت Computer Weekly بـ ICO بشأن ادعاءات ORG بالتقاعس التنظيمي. وقال متحدث باسم الشركة إن إعادة ضبط أي اختلال في توازن القوى بين الجمهور من ناحية والمعلنين والمجمعين عبر الإنترنت من ناحية أخرى يمثل أولوية بالنسبة للجهة التنظيمية، وأن الطرح الأولي للعملة سيستمر في الضغط من أجل مزيد من الشفافية والمساءلة داخل النظام البيئي لتكنولوجيا الإعلان.
“على سبيل المثال، في نوفمبر [2023]، لقد حذرنا أفضل 100 موقع ويب في المملكة المتحدة من أنهم يواجهون إجراءات تنفيذية إذا لم يكن زر “رفض الكل” الخاص بملفات تعريف الارتباط الإعلانية بارزًا مثل زر “قبول الكل”، مع معدل نجاح بنسبة 80% للامتثال حتى الآن والمزيد من الإجراءات يتبع. لقد أوضحنا أننا سنتصرف بشكل حاسم لحماية الجمهور عند الضرورة”.