这几乎是SE此次元公告的后续活动。理想情况下,该公告将解决此问题,但其中的语言含糊而回避,并且自发布以来的2.5周内,SE一直未进行任何澄清。

触发此问题的原因是一份报告,说SO上的广告之一试图在浏览器中启动音频环境。答案之一表明,可疑脚本的主要目的是对浏览器进行指纹识别。我自己看了一下那个脚本,该广告包含一个约80 kB的精简Javascript文件,看起来它的唯一目的实际上是查询有关环境的各种晦涩细节,而我看不到任何其他目的为此,除了跟踪不受限制的cookie或其他系统施加的用户。

来自Stack Exchange的原始响应如下:


我们知道这一点。我们对此不满意。


这仍然在原始帖子上,并且没有撤回。 SE的后续meta帖子描绘了一个完全不同的图景。它是回避的,我认为完全没有指出要点。 Stack Exchange响应声称没有收集任何PII,这实际上不是问题所在。指纹识别是指能够跨站点跟踪用户而不会妨碍浏览器安全,因此识别用户是一个单独的过程。您不必将PII收集给指纹用户,但这仍然是一项非常具有侵略性的事情,会对用户的隐私产生巨大影响。

Stack Exchange响应还声称广告符合一些广告标准和其他规定。据我所知,这只是重复广告技术提供商的声明。但这也避免了最初的问题,这些广告是否使Stack Exchange用户指纹识别并跨站点跟踪他们?

因此,我将要求SE对以下问题做出答复,以明确澄清至少在以前使我感到困惑的答复:


是创建浏览器环境指纹的广告, SE?
SE是否认为使用指纹来跟踪跨站点的用户的广告?
SE是否考虑了原始元发布中提到的广告的活动或跨站点跟踪?
如果SE允许广告对用户进行指纹识别和跟踪,那么如何将其与SE隐私权政策相符?


评论

值得记住尼克的SRE,他正努力从他在Twitter上所说的内容中总结出一些信息。胡安是个CM。实际上-做出这些决定的人完全在另一个团队中。

您不必将PII收集给指纹用户,但这仍然是一件非常具有侵入性的事情,会对用户的隐私产生巨大影响。信息一旦足以对指纹用户进行识别,难道不是就将其定义为PII吗?

@JAD的细微差别是,这是“相同用户”,而此“相同用户”是JAD。前者不被视为PII。

@rene还算公平,但是我不是100%相信GDPR会关心这种区别。例如,一旦“相同用户”登录到Facebook,就可以轻松地将前者扩充为后者。

@rene iirc,只需要个人识别即可。因此,据我所知,“具有浏览器规格x,y,z和a1-a9001的用户足以将它们与其他任何用户区分开”就是PII(无论如何,GDPR观点)

@Magisch很有意思。我将把它带到即将与我开会的DPO。

对于要成为PII的信息,不需要@rene实名或假名。如果我有足够的数据点知道它是您,这个人正式称为rene,那么它就是PII,即使我没有该正式名称,并且您的别名仅为492304923或系统中的任何其他ID。关键问题在于,这些信息可以合理地用于个人识别您的身份并将您与他人区分开。是使它成为PII的唯一性,而不是名称。尽管他们在任何地方都没有我的全名,但SE对于我成为PII的原因也是如此。

@Magisch我发现最好在GDPR上下文中避免使用“ PII”一词,因为它并不意味着个人数据定义的全部范围:与可识别自然人有关的任何信息。但是GDPR所说的在这里并不重要,因为ePrivacy指令的要求更有趣:当出于不必要的原因(无论是Cookie,指纹或类似技术)访问用户的设备时,该网站需要征得同意第一。当然,实际上没有人能做到这一点。

感谢您提出这个重要问题。我鼓励每个人在使用任何网站时都在Firefox上使用uBlock起源附加组件之类的东西,以最大程度地减少被跟踪的可能性。

#1 楼

来自隐私政策:


在提供此机会时,Stack Overflow及其第三方合作伙伴可能会收集并使用您的个人信息来定制您的广告体验,以适合您的兴趣,技能以及以便监视您的帐户活动以优化我们的产品和服务。

我们试图限制广告客户和类似第三方可以访问的信息,并确保您的用户在公共场合的使用体验私有Stack Overflow网络不会被广告计划淹没。但是,我们的广告产品和服务要求我们收集有关您的某些个人和非个人信息,包括:


来自广告技术的数据,例如Cookie,网络信标,像素,广告标签以及浏览器/设备标识符

您直接提供给我们的信息,包括个人资料信息,开发人员故事以及在有限的情况下您的工作历史记录
使用情况分析,包括您对网络的访问,浏览和搜索历史记录
来自我们广告合作伙伴的信息(例如设备类型和位置)



所以看起来不错,但是获得官方回应。

评论


我不是律师,但是我希望该条款涵盖用户代理,屏幕分辨率和类似内容之类的内容,但不会涵盖有关广告实际使用的指纹识别方式。

–疯狂科学家
19年9月2日在21:41

另一个选择是,它只是一个CYA子句,从不意味着实际上没有任何作用。但是,这只是一厢情愿。

– John Dvorak
19年9月2日在21:42

服务条款说一件事,员工说另一件事,另一名员工试图撒谎。这三个来源相矛盾-一个说发生,一个说不应该,一个假装没有发生。除非他们提供规范的答案,否则我们不知道公司的真正地位。

– 1337年的佐伊公主(Zoe)
19 Sep 8'在11:19



@PrincessOlivia我认为我们正在看到的是建立一个特定任务,然后建立与该任务相冲突的收入流而产生的精神错乱。如果SO像其他许多公司一样,那么青睐公司(从而保护其收入流)的高管将不可避免地最终掌权于青睐使命的公司。

–罗伊·廷克(Roy Tinker)
19/09/23在19:45

显而易见的解决方案是停止依赖整个Internet的仁慈和能力,并安装一套阻止扩展的套件,这些扩展可以在不破坏太多内容的情况下阻止其中的大多数。仅带有基本列表和PrivacyBadger的uBlock Origin似乎是不错的选择。

– Jan Schejbal
19-09-23在21:04

IANAL但作为具有GDPR的欧盟公民,我应该可以访问我的这些数据。有人尝试过吗?

– aggsol
19-09-24在6:59

根据欧盟法律,此处描述的方式并不构成有效的同意。每个人都已经知道了,但是现在有了欧盟法院的裁决。这意味着当前没有有效的同意,其次,当前格式的声明不符合明确和明确的最低要求(iapp.org/news/a/cjeu-clarify-cookie-consent-requirements)因此,除非SE可以成功辩称它不受GDPR和ePrivacy指令的约束(我无法当场确定),它目前违反了其欧盟用户(与许多其他网站一样)

–涡流
19-10-21在14:43

#2 楼

几乎每个广告网络的性质都是,您允许在特定条件下并按照指导原则(例如,没有未播放的声音,没有自动播放的视频等)允许第三方内容进入您的网站。

在这种情况下,SE / SO似乎确实制定了政策。

但是,到最后,SE像任何有广告的网站一样,只有在广告违反其要求时才具有反应性政策出现。它是一种w鼠游戏。他们只能将用户投诉报告给第三方,如果他们获得足够的信息来识别广告(屏幕截图等),他们便可以找到该广告系列并将其定位为目标。

这是互联网上的广告状态,而不是特定于SE的问题。总体而言,这很糟糕。

我并没有为SE辩护(尽管由于可用资源有限,我觉得他们的双手束手无策),但问题可能也发生在广告网络之外。 br />

评论


您的解释是任何情况下任何网站都不可接受使用第三方广告网络的主要原因。

– Mag
19/09/24'9:47

有一种叫做Adsafe的技术(我想是来自Douglas Crockford / Yahoo),旨在使网站中的第三方代码可以在沙盒中运行。广告没有直接访问全局对象或DOM的权限,而是必须通过特定的API来执行操作。 adsafe.org。

– rjmunro
19年9月24日在13:08

根据官方声明,他们完全意识到这一点并认为可以:这是数字广告的一种正常标准做法。 (...)因此,我们将继续允许我们的广告客户使用IAS”

– Groo
19-10-3在22:32