제3자 쿠키의 종말: 브라우저가 온라인 광고를 장악하다

이것이 사용자 개인 정보와 귀하의 비즈니스에 의미하는 바는 다음과 같습니다.

제3자 쿠키는 브라우저에서 단계적으로 제거되고 있으며 점점 더 많은 제한이 적용됩니다.

시중에 나와 있는 대부분의 온라인 분석, 광고 및 기여 도구는 데이터 수집을 위한 대안을 찾기 위해 분주합니다. 이 축소는 보고에도 영향을 미칩니다.

그러나 브라우저가 쿠키를 제한하는 이유와 주 및 국가 수준의 법적 프레임워크가 무엇인지 이해하는 것은 대안을 찾기 전에 필수적입니다.

그럼 거기서 시작합시다...

브라우저가 쿠키를 제한하는 이유는 무엇입니까?

아래 Superweek 2020에서 Simo Ahava의 프레젠테이션은 시간이 지남에 따라 구현된 브라우저 변경 타임라인을 보여줍니다.

기술 제품은 이제 변경을 위해 더 짧은 단계를 밟고 있습니다. 프라이버시 개선 기능의 시행률도 높아지고 있다.

우리는 2019년에 그 이전 5년보다 브라우저에서 더 많은 개인 정보 보호 개선을 보았습니다.

내 기사에서 "브라우저는 Safari ITP, Firefox ETP 및 Chrome 개인 정보 보호 샌드박스를 통해 쿠키 없는 미래를 추진하고 있습니까? ", 나는 이러한 변화의 이면에 있는 이유에 대해 길게 이야기합니다.

Safari 및 Firefox(및 그보다 덜하지만 Chrome)와 같은 브라우저는 사용자 프로필을 구축하고 관심 분야를 구매하는 데 사용되는 이러한 유형의 쿠키로부터 사용자를 보호하기를 원합니다. 이 정보는 판매되어 다른 사이트의 사용자를 타겟팅하는 데 사용됩니다. 광고 판매자는 일반 광고 노출보다 의도가 확인된 광고 게재위치에서 ​​더 높은 수익을 올릴 것입니다. 광고 업계의 리더들은 앞으로 나아갈 길은 추적을 줄이고 페이지에서 사용자 의도와 일치하는 광고 게재위치를 늘리는 것(콘텐츠 광고 일치 사용)이라는 것을 이해합니다.

이 아이디어는 Webkit에 대한 이 블로그 게시물을 게시한 John Wiander에서 나온 것입니다. Wilander에 따르면 "지능형 추적 방지는 교차 사이트 추적을 방지하여 사용자 개인 정보를 보호하도록 설계되었습니다."

이는 웹사이트가 OWN 사용자와 긴밀한 관계를 구축하고(ITP의 경우 단일 사이트와 Chrome의 경우 조직의 맥락에서) 제3자가 이를 제공하는 것을 방지하는 데 집중하는 것입니다.

Safari의 ITP 뒤에 있는 조직이자 John Wilander의 프로젝트 중 하나인 Webkit은 추적 방지 정책에서 이에 대해 자세히 설명합니다.

추적 WebKit은 모든 은밀한 추적과 모든 교차 사이트 추적(비밀이 아닌 경우에도)을 방지합니다. 이러한 목표는 위에 나열된 모든 유형의 추적과 현재 우리에게 알려지지 않은 추적 기술에 적용됩니다. 특정 추적 기술이 사용자에게 과도한 피해 없이 완전히 방지될 수 없는 경우 WebKit은 해당 기술을 사용하는 기능을 제한합니다. 예를 들어, 사용자 또는 사용자의 행동을 식별하는 데 사용할 수 있는 고유한 데이터 포인트인 엔트로피의 사용 가능한 비트를 추적하거나 줄이기 위한 시간 창을 제한합니다.

Webkit은 ITP 프로젝트에 의도하지 않은 부작용이 있음을 알고 있습니다. 단일 사이트의 맥락에서 분석 및 잠재고객 측정은 차단하려는 것이 아닙니다. 사용자 경험을 개선하기 위해 작동하는 분석 및 A/B 테스트 도구는 상대가 되지 않습니다.

이 문제는 새로운 유럽 ePrivacy Directive 지침(2019년 7월 업데이트) 및 아직 구현되지 않은 ePrivacy 규정이 다루는 것과 유사합니다. 새로운 규칙과 기술은 우리가 아직 커버할 수 없는 법적 또는 기술적 격차를 만듭니다.

브라우저와 관련하여 isLoggedIn, 비공개 클릭 측정 및 Chrome SameSite OrganizationID(자사 세트)와 같은 새로운 기능이 제공되기를 바랍니다.

그러나 아직 이러한 대안이 없기 때문에 우리에게 남은 것은 무엇입니까? ICO 및 CNIL의 ePrivacy Directive 업데이트에 따라 대부분의 회사와 마찬가지로 이를 무시해야 합니까?

유럽 ​​GDPR은 법적 제한을 위한 길을 닦고 있습니다

세계에서 가장 엄격한 개인정보 보호법은 유럽의 GDPR입니다.

ICO(영국의 개인 정보 보호 기관) 및 CNIL(프랑스 개인 정보 보호 기관)의 최근 업데이트된 지침도 적극적인 동의(및 "모두 수락" 버튼, 미리 선택된 확인란 또는 라디오 버튼). 2019년 7월에 업데이트된 가이드라인은 2020년 7월까지 시행되지 않습니다. 동시에 ePrivacy Regulations(아직 초안임)는 쿠키에 대한 일부 제외를 설정했습니다. 이 모든 것은 A/B 테스트, 분석 및 광고의 효과 측정(테스트 광고 포함) 이 허용됨을 나타냅니다.

2019년 11월 8일 핀란드 정부는 일부 수정 사항이 포함된 전자 개인 정보 보호 규정에 대한 수정 제안서를 발표했습니다. 이 제안에서 전자 개인 정보 보호 규정의 최신 초안(2019년 11월부터)이 아래 8조, 17aa조 및 21a조에 명시되어 있는 것처럼 일부 쿠키는 동의 없이 배치될 수 있습니다 .

제 8조: “최종 사용자의 단말 장비 정보 보호, 1(d) 최종 사용자 가 요청한 정보 사회 서비스 제공자 또는 규정(EU) 2016/679의 28조 또는 해당되는 경우 26조에 명시된 조건이 충족되는 경우 정보 사회 서비스의 하나 이상의 제공자를 대신하는 제3자. 2(c) 이 목적에 필요한 범위 내에서 시간과 공간적으로 제한된 통계적 계산 을 위해 필요하며 데이터는 이 목적에 더 이상 필요하지 않은 즉시 익명으로 처리되거나 삭제됩니다.”

제 17aa 조: “ 최종 사용자는 신체적 움직임을 포함하여 통신의 기밀성을 중요하게 생각하므로 이러한 데이터는 최종 사용자의 성격이나 특성을 결정하거나 최종 사용자의 프로필을 작성하는 데 사용할 수 없습니다. 예를 들어, 데이터가 분할 목적으로 사용되는 것을 피하기 위해, 특정 최종 사용자의 행동을 모니터링하거나 최종 사용자의 사생활에 관한 결론을 도출하기 위해. 같은 이유로 최종 사용자는 이러한 처리 활동에 대한 정보를 제공받아야 하며 이러한 처리에 반대할 권리가 부여되어야 합니다.”

제21a조: "쿠키 는 웹사이트 디자인 및 광고와 같은 전달된 정보 사회 서비스의 효율성을 평가하거나 웹사이트를 방문하는 최종 사용자의 수를 측정하는 데 도움을 주는 등 합법적이고 유용한 도구가 될 수 있습니다. 웹사이트의 특정 페이지 또는 애플리케이션의 최종 사용자 수. 그러나 사이트를 사용하는 사람의 특성을 결정하는 데 사용되는 쿠키 및 유사한 식별자에 대해서는 그렇지 않으며 항상 최종 사용자의 동의가 필요합니다.”

간단히 말해서 분석 또는 타사 도구를 사용하여 웹 잠재고객을 측정하는 경우 쿠키 동의가 필요하지 않습니다. 이 데이터에서 통계를 얻을 수 있지만 "최종 사용자의 사생활에 관한 결론을 도출"하기 위해 분류할 수는 없습니다. 데이터는 익명이어야 합니다.

GDPR은 콘텐츠, 광고 또는 디자인에 대한 A/B 테스트 및 개인화(경험의 효과를 측정하기 위한 보류 옵션 포함)를 위한 공간을 제공합니다. 이것은 우리가 현재 가지고 있는 강력한 A/B 테스트 솔루션을 유지하면서 메시지의 효율성과 더 나은 웹 경험을 제공하는 데 초점을 맞추는 올바른 길에 있다는 희망을 갖게 합니다. 우리는 성별, 인종, 연령 또는 개인 데이터(GDPR에 정의된 대로)와 같이 쉽게 식별할 수 있는 특성을 기반으로 소그룹이나 개인을 선별하고 세분화하는 것과 같은 관행을 규탄해야 합니다.

브라우저와 개인 정보 보호법은 모두 같은 것을 추구합니다. 그들은 둘 다 이 움직임을 주도하고 있으며, 이는 그들이 새로운 대안 솔루션보다 훨씬 앞서 있음을 의미합니다. 그들의 주요 목표는 (귀하의 사이트에서) 사용자 분석을 중단하거나 사용자 경험을 개선하고 최적화하기 위해 A/B 테스트를 수행하는 것이 아닙니다. 이는 활성 사용자 동의 없이 단일 사이트 컨텍스트 외부의 타사 위치에 ID가 구축되는 것을 방지하기 위한 것입니다. 내가 쓴이 기사에서 이것에 대해 더 많이 설명합니다.

브라우저의 미래

현재 가장 많이 사용되는 세 가지 브라우저는 Chrome, Safari 및 Firefox이지만 Brave와 같은 개인 정보 보호에 민감한 대안이 빠르게 성장하고 있습니다. 이 요약에 따르면 Chrome이 가장 많이 사용되며(전 세계 기기의 64%) Safari가 18%(태블릿 최대 60%), Firefox가 약 4%(모바일에서 1% 미만)로 사용됩니다. 전 세계 트래픽의 76% – 85%를 안내하는 이 파워 블록이 기술로 수행하는 작업은 온라인 마케팅에 사용해야 하는 것을 이해하는 데 중요합니다.

모질라 파이어 폭스

Mozilla는 전체 시장 점유율의 약 4%를 차지하며 데스크톱에서는 8~12%, 모바일에서는 1% 미만으로 추정됩니다(출처: Statcounter, NetmarketShare 및 WikiMedia). ETP(Enhanced Tracking Protection)를 사용하여 지문 및 타사 쿠키에 대한 개인 정보 보호 기능을 제공합니다.

ETP는 연결 해제의 이 목록에 있는 모든 타사 쿠키를 차단합니다. 퍼스트 파티 쿠키는 차단되지 않으며 연결 해제 목록은 중간 단계를 사용하여 분류된 것으로 보이며 커뮤니티 대화에 따르면 Mozilla 선별 목록으로 완전히 대체될 수 있습니다. 이 목록을 유지 관리하는 것은 상당히 노동 집약적인 프로세스이지만 개인 정보 보호를 위한 확실한 단계입니다. 소스가 목록에 있으면 해당 소스의 타사 쿠키를 설정할 수 없습니다. Mozilla Firefox ETP가 어디로 향하고 있는지에 대한 명확한 로드맵은 없지만 쿠키 목록과 지문의 개선, 분류 및 확장이 우선인 것 같습니다.

애플 사파리

Wikipedia(2019년 11월)에 따르면 기본 iOS 브라우저는 모바일 및 태블릿에서 20%에서 60% 사이의 시장 점유율을 가지고 있습니다. 전체 시장 점유율은 18%입니다. Safari는 개인 정보 보호에 대해 가장 목소리가 높은 브라우저입니다. 2019년에는 ITP 2.1, ITP 2.2 및 ITP 2.3이 출시되었습니다. 이것은 ITP 뒤에 있는 Webkit의 팀이기도 하며, ITP가 도입한 문제에 대한 대안 솔루션을 추진하고 있습니다.

이제 LoggedIn, Private Click Measurement 및 Storage Access API를 자세히 살펴보고 2019년에 도입된 일부 문제를 해결할 수 있는 방법을 살펴보겠습니다.

로그인

Apple Webkit의 John Wiander는 계약의 GDPR의 법적 근거를 지원할 수 있는 표준에 대한 W3C 개선(2019년 9월)을 제안했습니다. 유럽에서 그 법적 기반은 사용자에게 쿠키를 사용할 수 있는 자유와 그 이상을 제공하지만 사용자 동의가 있는 경우에만 가능합니다. Wilander는 브라우저 수준에서 비슷한 것을 사용할 것을 제안합니다. 이것은 브라우저가 미래에 법적 근거로 받아들일 것이라고 생각합니다.

isLoggedIn은 사용자가 신뢰할 수 있는 공급자에 로그인하지 않는 한 클라이언트 측 상태(예: 비세션 쿠키, localStorage)를 거부할 수 있는 브라우저 기능입니다. 사용자 데이터를 얻으려는 집착은 isLoggedIn 상태에 도달하기 위한 무의미한 로그인과 광고 리타게팅과 같은 작업을 수행하기 위한 GDPR 법적 기반 '계약'으로 이어질 수 있다는 우려가 있습니다. 저는 이것을 직접 경험했습니다. 아래 예시에서 스페인 부동산 사이트 Habitaclia는 로그인을 시도하고 있는데 팝업을 닫아 정보를 확인할 수 있습니다. 사용자로 로그인하는 것의 가치는 null이므로 이 관행은 겉보기에는 무의미합니다(이것은 GDPR이 시행되는 스페인에서 온 것입니다).

그러나 ITP와 마찬가지로 isLoggedIn도 시도되고 개선될 것이며 적응되기를 바랍니다. 2019년에는 W3C 채널에서 이것에 대해 많은 우여곡절이 있었지만 그 이후로 더 이상의 조치는 없었습니다. 이론적으로 이것은 현재 쿠키와 동의만이 제공할 수 있는 법적 기반 끈적임에 대한 기술적 솔루션을 만들 수 있습니다. 유럽에서 이것은 사용자가 사이트에 로그인했는지와 개인 데이터를 수집할 법적 근거가 있는지 모든 도구가 알 수 있는 간단한 방법을 제공합니다.

비공개 클릭 측정

Webkit 팀의 Private Click Measurement(이전에는 Privacy-Preserving Ad Click Attribution이라고 함)는 간단하지만 효과적인 전환 기여를 허용하는 W3C 제안입니다. isLoggedIn의 개선을 위한 보다 공식적인 제안이지만 아직 W3C 표준으로 간주되지는 않습니다. A/B 테스트의 경우 오프사이트 장바구니 환경에서 변환할 때 유용할 수 있습니다. 공개적으로 사용할 수 있게 되면 구현을 고려할 것입니다. 이 기사에서 구현 제안을 읽을 수 있습니다. 1월 중순 Apple Safari와 Mozilla Firefox는 이 이니셔티브를 지원하여 공식 표준으로 끌어 올렸습니다. 제한은 64개의 캠페인과 24-48시간 지연이 있는 임의의 전환 트리거(전환을 정확히 찾아내기가 더 어려워 개인 정보 보호가 향상됨)이지만 Firefox 및 Safari의 지원으로 견인력을 얻은 것 같습니다.

llimits는 Chrome(Chromium) 팀이 너무 제한적이라고 생각하는 부분이기도 합니다. 이것이 그들이 새로운 Conversion Measurement API를 제안한 이유입니다.

구글 크롬

Chrome은 전 세계 시장 점유율의 64% 이상을 차지하고 있습니다(데스크톱에서만 67%). Chrome은 브라우저 세계의 강자이자 Google의 광고 제품에서 주요 수익이 나오는 논란의 여지가 있는 플레이어입니다. 모바일은 25~65%, 데스크톱은 67%의 점유율로 세계에서 가장 지배적인 브라우저입니다. 그러나 상황이 변하고 우리는 전에 그것을 보았습니다 ... 브라우저는 선호도가 떨어질 수 있습니다 . 모든 Android 사전 설치는 개인 정보 보호에 초점을 맞추지 않으면 Chrome을 저장하지 않을 수 있습니다.

Digiday는 이를 다음과 같이 멋지게 요약합니다.

Apple의 Safari 및 Mozilla의 Firefox 브라우저에서 타사 추적을 제한하는 최근 변경 사항은 게시자, 광고 기술 공급업체 및 대행사에 지장을 주는 것으로 입증되었습니다. 그러나 웹 개인 정보 보호가 점점 더 주류 소비자 관심사가 되면서 Google은 방향을 잡아야 하는 경쟁 압력을 받고 있습니다.

동의 관리 플랫폼 Crownpeak의 마케팅 부사장 Ian Low는 다음과 같이 말합니다.

부담이 커짐에 따라 Google은 수익 모델을 유지하면서 개인 정보 보호 방향으로 긍정적으로 이동할 수 있는 점점 더 많은 방법을 모색하고 있습니다.

같은 사이트

Chrome 80에 관한 2020년 2월 SameSite 업데이트에서는 웹사이트 소유자가 다른 사이트에서 사용할 수 있는 타사 쿠키에 명시적으로 레이블을 지정해야 합니다. Digiday는 변경 사항을 다음과 같이 잘 설명합니다.

Google은 작년 5월에 Chrome 버전 80 이상에서 광고 기술 회사와 같은 제3자가 "SameSite=None" 및 "Secure" 레이블을 포함하지 않는 쿠키에 액세스할 수 없다고 처음 발표했습니다. 보안 레이블은 HTTPS 연결을 통해 쿠키를 설정하고 읽어야 함을 의미합니다.

현재 Chrome SameSite 쿠키 기본값은 "없음"이며 타사 쿠키가 사이트 전체에서 사용자를 추적할 수 있습니다. 그러나 2월부터 쿠키는 기본적으로 "SameSite=Lax"로 설정됩니다. 즉, 브라우저 URL의 도메인이 쿠키의 도메인(제1자 쿠키)과 일치할 때만 쿠키가 설정됩니다.

"SameSite=None" 레이블이 있는 모든 쿠키에는 보안 플래그도 있어야 합니다. 즉, HTTP를 통한 요청을 통해서만 생성되고 전송됩니다. 한편 "SameSite=Strict" 지정은 동일한 게시자가 소유한 서로 다른 도메인 간에도 사이트 간 공유를 완전히 제한합니다."

Mozilla의 Firefox와 Microsoft의 Edge도 SameSite=Lax 기본값을 채택할 것이라고 발표했습니다. 이 레이블이 없으면 아래와 같은 Chrome 콘솔 팝업에 점점 더 많은 경고가 표시되기 시작합니다.

Digiday에 따르면:

Google의 2월 SameSite 및 Google Ads 업데이트는 소비자와 주요 관계가 없는 광고 기술 회사가 콘텐츠 카테고리를 사용하여 사용자 프로필을 구축하기 위해 광고 경매를 "듣는" 것을 방지합니다. 현재 시스템에서 사용자가 ESPN.com과 같은 사이트를 방문하면 Google 거래소는 문맥 주제 "스포츠"를 포함하는 입찰 스트림의 정보를 잠재적 입찰자에게 다시 보냅니다. 수요측 플랫폼 및 데이터 관리 플랫폼과 같은 기타 광고 기술 회사는 해당 정보를 볼 수 있으며 이론적으로 이를 사용하여 사용자가 모르는 사이에 행동 사용자 프로필을 생성할 수 있습니다. 이것이 실제로 정기적으로 발생하는지 확실하지 않지만 그 가능성은 GDPR 위험을 내포하고 있습니다. 입찰 데이터를 기반으로 사용자 프로필을 작성하는 것도 Google 광고 정책에 의해 금지됩니다.

SameSite 변경 사항은 Google Chrome이 개인 정보 보호 샌드박스라고 하는 보다 일반적인 프로젝트에 속하는 것으로 보입니다.

프라이버시 샌드박스

이 Chromium 페이지에 따르면 Privacy Sandbox의 임무는 "사용자를 존중하고 기본적으로 비공개인 번창하는 웹 생태계를 만드는 것"입니다. Webkit과 마찬가지로 Chrome의 일반적인 접근 방식은 사이트 간 추적을 다시 활성화하지만 사용자에 대한 개인 정보 보호 영향은 없습니다. 즉, 광고 기능을 잃고 싶지 않지만 개인 정보 보호가 더 이상 무시할 수 없는 문제가 된다는 것을 알 수 있습니다.

다음은 팀의 중요한 진술입니다.

우리는 웹의 마법 중 일부는 콘텐츠 작성자가 게이트키퍼 없이 게시할 수 있고 콘텐츠 작성자가 온라인 광고를 통해 자금을 조달할 수 있기 때문에 웹 사용자가 해당 정보에 자유롭게 액세스할 수 있다는 점이라고 믿습니다. 그 광고는 게시자와 광고주에게 훨씬 더 가치가 있으며 사용자와 관련이 있을 때 사용자에게 더 매력적이며 덜 성가시다. 현재 교차 사이트 추적(또는 교차 사이트 추적과 구별할 수 없는 방법)을 통해 수행되는 정상적인 웹의 일부인 사용 사례를 제공하기 위해 새로운 기능을 도입할 계획입니다. 해당 기능을 사용할 수 있게 됨에 따라 오늘날 교차 사이트 추적을 위한 가장 일반적인 메커니즘인 타사 쿠키의 사용에 점점 더 많은 제한을 가하고 결국 완전히 사용하지 않게 될 것입니다. 이와 병행하여 당사는 지문, 캐시 검사, 링크 장식, 네트워크 추적 및 개인 식별 정보(PII) 조인과 같은 쿠키를 기반으로 하지 않는 교차 사이트 추적에 대한 현재 기술에 적극적으로 대처할 것입니다 .

Chrome에서 개인 정보 보호 및 추적 방지를 담당하는 Google 소프트웨어 엔지니어인 Michael Kleber는 추적 없는 웹으로 전환하려는 회사의 계획에 대해 설명합니다. 그는 쿠키에서 웹 전체의 개인을 자유롭게 추적할 수 없는 "적절한 크기의 API"로 전환할 것을 제안하고 Chrome이 FLoC(Federated Learning of Cohorts)(프라이버시 샌드박스 프로젝트의 일부) 사용을 탐색하는 방법에 대해 논의합니다. 웹에서 관심 기반 광고를 계속 허용합니다. 그는 개발자들이 "타사 쿠키나 기타 추적 벡터가 없는 세상을 상상할 수 있도록 도와주세요"라고 격려합니다.

동일한 조직에 속하는 자사 쿠키 선언

개인 정보 보호 샌드박스 이니셔티브에 따라 Chrome이 진행 중인 또 다른 프로젝트는 First Party Sets입니다(Chrome 엔지니어링 이사 Justin Schuh는 2019년 8월에 이에 대해 이야기하기 시작했습니다).

이 프로젝트는 관련 도메인 모음을 자사 집합으로 선언하는 새로운 웹 플랫폼 메커니즘을 제안합니다. 이것은 Wilander의 "Single Trust and Same-Origin Policy v2"와 "affiliated domains"의 반복입니다.

여기에서 브라우저는 도메인이 옵트인되고 집합이 사용자 및 사이트 요구 사항을 모두 통합하기 위해 UA 정책을 충족하는 경우 도메인을 집합의 구성원으로 간주합니다. 도메인은 https://<domain>/.well-known/first-party-set에서 JSON 매니페스트를 호스팅하여 선택합니다. 보조 도메인은 소유 도메인을 가리키고 소유 도메인은 집합의 구성원, 업데이트를 트리거할 버전 번호 및 UA 정책을 알리는 서명된 주장 집합을 나열합니다. 다음은 이에 대한 예입니다.

 https://a.example/.well-known/first-party-set { "owner": "a.example", "version": 1, "members": ["b.example", "c.example"], "assertions": { "chrome-fps-v1" : "<base64 contents...>", "firefox-fps-v1" : "<base64 contents...>", "safari-fps-v1": "<base64 contents...>" }, } https://b.example/.well-known/first-party-set { "owner": "a.example" } https://c.example/.well-known/first-party-set { "owner": "a.example" }

브라우저에 자사 도메인을 선언하면 조직의 모든 도메인을 포함할 수 있습니다. 이렇게 하면 브라우저가 자사 쿠키 및 스크립트를 사용하는 타사 도구를 더 쉽게 차단할 수 있습니다. 개인화, A/B 테스트, 분석, 기여 시스템 또는 추천 도구가 있는 경우 서버 측 쿠키 및 CNAME과 같은 조직의 도메인으로 가져옵니다. 귀하의 도메인 아래에 있는 당사자가 귀하의 책임이 되므로 반드시 확인하십시오(곧 방문자 장치에 들어가기 전에 브라우저 '세관'에 신고해야 함).

전환 측정 API

전환 측정 API 사양을 참조하여 Mozilla의 Steven Englehardt는 다음과 같이 말했습니다.

앞서 언급한 TPAC 회의에서도 표현한 높은 엔트로피 교차 사이트 식별자 도입에 대한 Mozilla의 우려를 표명하고 싶습니다. 높은 엔트로피 "노출 데이터" 식별자는 게시자 사이트가 자신의 사이트가 아닌 다른 사이트에서 개별 사용자의 활동에 대한 정보를 배울 수 있는 기능을 제공합니다. 이것은 Firefox의 추적 방지 정책에 대한 명백한 위반이며, 교차 사이트 추적을 가능하게 하기 때문에 이러한 위반을 조장하는 API를 구현하지 않을 것입니다. 게시자 사이트는 전환 등록 시(즉, 사용자가 게시자 사이트에서 광고를 클릭할 때) 사용자 식별자와 "노출 데이터" 값을 연결하여 개인에 대한 정보를 학습할 수 있습니다. 그런 다음 "conversion-metadata" 값에 의해 공개된 정보는 "impression data" 값에 의해 생성된 링크를 통해 해당 사용자의 계정과 연관될 수 있습니다. 실제로 이것은 해당 사용자가 대상 사이트에서 구매했는지 여부 또는 계정에 등록했는지 여부와 같은 민감한 정보일 수 있습니다. 게시자가 이 API를 통해 개인과 관련된 활동 데이터를 수집하도록 허용하는 것과 관련된 위험의 심각성을 이해하려면 게시자가 웹의 나머지 부분에 대한 사용자의 기본 액세스 지점 역할을 하는 검색 엔진 또는 소셜 네트워크일 수 있다는 점을 고려하십시오. . 이 위치에 있는 게시자는 다수의 대상 사이트에서 개별 사용자의 활동에 대해 알게 될 가능성이 높으므로 해당 사용자의 오프사이트 구매 활동, 오프사이트 등록 활동 등에 대한 상당히 포괄적인 그림을 구축할 수 있습니다.

또한 Safari(Webkit)는 특히 64비트 노출 메타데이터에 대한 대중의 회의론을 나타냅니다.

어떤 식으로든 다른 모든 브라우저는 Chrome에서 제안한 Conversion Measurement API 또는 Safari에서 제안한 Private Click Measurement API를 사용하여 광고주의 어트리뷰션 문제를 해결하려고 합니다. 이것이 마련되면 모든 브라우저는 광고주에게 웹 개인 정보를 보호하면서 그들과 협력할 수 있는 충분한 인센티브를 제공할 것입니다.

거북이 또는 코호트 연합 학습(FLoC)

Michael Kleber는 Two Uncorrelated Requests, then Locally-Executed Decision On Victory(TURTLE-DOV) 또는 TURTLEDOVE(PIGIN의 업데이트된 버전)라는 새로운 제안을 개발했습니다.

Turtledove 또는 FLoC(Federated Learning of Cohorts)가 어떻게 될지는 아직 명확하지 않지만 Chrome 팀은 이러한 모든 솔루션을 토론에 게시하고 Safari, Firefox 및 Brave의 개인 정보 보호 팀에서 관심을 끄는 솔루션을 확인하고 있습니다. FLoC 제안은 특정 행동보다 사람들의 일반적인 관심사에 초점을 맞춘 광고 타겟팅에 대한 다른 접근 방식을 제공합니다.

FLoC 모델에서 광고주와 광고 네트워크는 사람들이 속한 그룹을 제어할 수 없습니다. 대신 브라우저 자체는 유사성 개념을 도출하는 방법에 있어 광범위한 자유도를 가지고 "유사한 사람들" 무리를 어떻게든 그룹화하는 책임이 있습니다. . 그런 다음 브라우저는 그룹화가 민감한 특성을 추적하거나 드러내는 것을 허용하지 않도록 조치를 취할 수 있습니다. PIGIN은 이 사용 사례를 충족하며 해당 설명자의 일부가 여기에서 재사용됩니다. 이 제안에서 브라우저는 관심 그룹 구성원 자격을 제어했지만(이 경우와 같이) 정기적인 문맥 광고 요청과 함께 소량의 관심 그룹 정보가 전송되었습니다(브라우저 내 경매는 없었습니다).

W3C Web-Advertising Business Group 및 Privacy Interest Group, 브라우저 및 개인 정보 연구 커뮤니티의 피드백은 이 디자인의 약점을 강조했습니다.

광고주의 이익 그룹 할당을 게시자 사이트에 있는 개인의 자사 ID와 연결하는 기능은 Explainer가 제안한 완화 조치에도 불구하고 개인 정보 유출이 너무 높은 것으로 간주됩니다. 실제 사용자 목록 구성원을 분석한 결과 제안된 "소량의 이익 그룹 정보"라도 페이지의 개인 정보 예산을 너무 많이 소비하는 것으로 나타났습니다. TURTLEDOVE에 브라우저 내 경매를 추가하면 두 가지 개인 정보 약점을 모두 해결할 수 있습니다. 광고 생태계 참가자들과의 논의를 통해 브라우저 내 경매 구성요소를 채택할 수 있다는 가능성이 높아졌습니다.

TURTLEDOVE는 어떻게 작동합니까? 이 제안은 몇 가지 주요 개인 정보 보호 기능을 제공하면서 이 사용 사례를 해결하는 새로운 API입니다.

• 광고주가 아닌 브라우저는 광고주가 개인에게 관심을 갖고 있다고 생각하는 정보를 보유합니다.
• 광고주는 관심을 기반으로 광고를 게재할 수 있지만 그 관심을 사람에 대한 다른 정보, 특히 그들이 누구인지 또는 방문하는 페이지와 결합할 수는 없습니다.
• 사용자가 방문하는 웹사이트와 해당 사이트에서 사용하는 광고 네트워크는 방문자의 광고 관심분야를 알 수 없습니다.

이것은 개인 정보 보호를 위한 좋은 솔루션처럼 보이며 브라우저를 광고 세계에서 강력한 플레이어로 만듭니다. 그런 식으로 Apple(Safari Webkit), Firefox 및 Brave와 같은 회사는 여전히 개인 정보를 존중하면서 새로운 수익 모델로 이를 뒷받침하고 있습니다. 그러나 이를 위해서는 광고 네트워크에서 브라우저로의 막대한 권력 이동이 필요합니다.

서버 측이 우리 모두를 구할 것입니다

일부 공급업체는 서버 측 방법이 모든 문제를 해결하고 개인화 또는 A/B 테스트를 허용한다고 가장합니다. 그러나 서버 측 방법을 사용하면 클라이언트(브라우저의 사용자) 상태를 이해하지 않고는 많은 작업을 수행할 수 없습니다. 이를 위해서는 여전히 자사 쿠키가 필요합니다. 이러한 자사 쿠키를 어떻게 설정합니까? A/B 테스트 및 개인화에 대해 동일한 변형을 세션 간에 유지하는 방식으로 제시해야 이것이 작동합니다. 지문은 합법이 아니며 브라우저는 이러한 방법을 추적하고 비활성화합니다. 전혀 투명하지 않습니다. 기본 사이트의 하위 도메인 아래에 설정된 자사 쿠키만 사용할 수 있으며 자사 쿠키를 사용하여 이 하위 도메인을 소유하고 있음을 표시할 수 있습니다.

클라이언트 측 대 서버 측은 이 토론에서 의미가 있는 토론이 아닙니다.

쿠키 설정 책임을 조직 내의 신뢰할 수 있는 도메인(자사 세트)으로 옮기기 때문에 클라이언트 사이트 개인화 및 A/B 테스트 도구를 하이브리드라고 부를 수 있습니다. 그러나 이 경우 모든 클라이언트 사이트 도구는 하이브리드가 될 것입니다. 이것이 미래에 이것을 할 수 있는 유일한 방법이 될 것이기 때문입니다.

타사 쿠키 제거. 무엇 향후 계획?

징후는 분명하고 쿠키는 죽었습니다... 글쎄요, 사실은 아닙니다. 대부분의 온라인 기사는 쿠키의 죽음에 대해 이야기합니다. 쿠키 작업의 일부를 대신할 수 있는 API를 많이 보았지만 쿠키가 아직 어디로든 가고 있다는 징후는 없습니다.

타사 쿠키는 완전히 사라지며 이는 개인 정보 보호에 좋은 것입니다.

Chrome 엔지니어링 이사인 Justin Schuh는 최근 다음과 같이 말했습니다. Chrome은 2020년 말까지 첫 번째 오리진 평가판을 시작할 계획인 전환 마케터와 함께 시작하여 전환 측정을 시작으로 개인화에 이을 것입니다.

Webkit(Apple Safari) 및 Chrome(Google)은 브라우저 개인 정보 보호를 위한 길을 안내하는 데 도움이 될 것이며, Apple은 많은 iOS 자금 조달자 개인 정보 문제를 해결하지 않으면서 Google에 더 많은 개인 정보 보호 정책을 추진할 것을 촉구합니다.

나는 점점 더 많은 유럽 기업이 사용자가 로그인 및 등록(Google 또는 Apple 서비스를 사용하지 않기를 바랍니다)하고 계약에 대한 법적 근거를 적용하도록 하는 데 집중할 것으로 예상합니다.

동의를 최적화하거나 로그인 단계에서 일부 이점(Amazon의 원 클릭 등)을 제공하는 것에 대한 관심은 유럽에서의 전투가 로그인에 관한 것임을 분명히 합니다.

옵티마이저로서 우리는 조직 수준에서 브라우저와 공유할 준비가 된 모든 (자사) 도메인이 있는지 확인해야 합니다. 그 방향으로 나아가는 단계는 개인 정보 보호 친화적 인 스크립트 및 공급자의 인벤토리를 만드는 것입니다. 그런 다음 개인 정보에 민감한 도구(교차 사이트 프로필 작성)를 유지하면서 중앙 CNAME 솔루션을 통해 자사 쿠키 액세스 권한을 부여합니다.

우리는 법적으로 영국에서 동의를 요청해야 하지만(ICO에 따라) A/B 테스트 및 제한된 분석에 대한 예외에 대한 CNIL의 지침이 유럽 예외에 대한 길을 열어줄 것으로 예상합니다. 새로운 전자 개인 정보 보호 규정. 이것이 없으면 세션 기반 분석만 가능하며 개별 사용자에게 연결할 수 없습니다. 표준 사용자 수준 모니터 및 변환 루프를 사용하는 A/B 테스트는 이 경우에 적용되지 않으며 우리는 이러한 변환 개선 사항을 모니터링하고 상호 관련하여 지속적인 개선으로 되돌아가야 합니다.

비유럽인은 자사 쿠키(Convert Experiences에서 제공하는 쿠키)를 사용하여 테스트할 수 있으며 조직에서 CNAME을 사용하여 이러한 쿠키를 하위 도메인으로 가져오기 위해 신뢰하는 모든 스크립트 및 공급업체의 인벤토리로 시작해야 합니다. 개발 중인 다양한 클릭 또는 전환 기여 API를 사용하여 전환을 추적할 수 있습니다. 아마도 A/B 테스트는 브라우저가 쿠키 블록에서 이들을 제외하는 CNIL의 생각을 따르지 않는 경우 다양한 변형에 대해 이러한 요소를 강화하고 일관성을 유지할 수 있지만 현재 형식에서는 그럴 것 같지 않습니다. 일관성은 신뢰할 수 있는 자사 쿠키에서 비롯됩니다.

isLoggedIn과 같은 기술을 사용하는 사용자 기반 분석은 브라우저 전반에 걸쳐 확장되고 통합되어 개인정보 보호법이 계약 정의 책임을 브라우저 메커니즘으로 이전할 수 있습니다. 이것은 브라우저에 새로운 힘을 제공합니다. 의도 측정, 광고 카테고리 및 전환 추적을 위한 새로운 API와 결합되어 누가 가장 큰 브라우저 시장 점유율을 소유하고 세계에서 가장 큰 광고 네트워크를 제공하는지에 대한 싸움이 시작됩니다.

앞으로의 흥미로운 시간들... 이 기사가 개인정보 보호법과 브라우저가 어디로 가야 하는지 명확하게 이해하는 데 도움이 되기를 바랍니다. 한 가지는 확실합니다. 최적화 및 분석 팀이 때가 되면 변경을 계획할 수 있도록 준비하십시오(생각보다 빠를 것입니다).

질문이 있으신가요? LinkedIn에서 대화를 계속합시다.