Privacy Sandbox 計畫的分析與評論

市面上已有許多瀏覽器,其實已停止支援第三方 Cookie,包含 Apple 的 Safari 及 Firefox,都已預設封鎖第三方 Cookie。

Google Chrome 也即將在 2024 年停止支援第三方 Cookie,但由於停用第三方 Cookie 的影響極大,尤其是對 MarTech 及 AdTech 的個人化廣告業務,所以必須要有合適的替代方案來降低衝擊,在 2019 年推出了 Privacy Sandbox 計畫, 規劃了 FLoC (Federated Learning of Cohorts, FLoC 同類群組聯合學習),不過被認為仍有跨域追蹤的疑慮,於是之後再基於 FloC 的基礎,發展出一系列的 Topics,Google 宣稱 Topics 讓興趣分類的範圍更加寬鬆模糊 (從數以萬計的主題標籤,縮減至幾百、幾千等級的主題),且只保留最後三週,讓追蹤難度提高,這也是當前準備要承接 Chrome 第三方 Cookie 退場後的機制。

Privacy Sandbox 是什麼

Privacy Sandbox 計畫的用意是打造可保護使用者網路隱私的技術,並讓公司和開發人員取得有助數位業務蓬勃發展的工具。Privacy Sandbox 可減少跨網站和跨應用程式的追蹤作業,同時協助持續為所有人提供免付費的線上內容和服務。

網頁版 Privacy Sandbox

網頁版 Privacy Sandbox 將逐步淘汰第三方 Cookie,並限制隱密追蹤。這項計畫將建立新的 網路標準,為發布商提供更安全的方式來取代現有技術,使其能夠在保障使用者資料隱私的前提下持續拓展數位業務。

網頁版 Privacy Sandbox 將採用差異化隱私、k-anonymity 和裝置端處理等最新的隱私權保護技術,逐步淘汰第三方 Cookie。

此外,Privacy Sandbox 也會限縮網站可存取的資訊量,進而限制數位指紋採集等其他追蹤形式,這樣就能保障使用者資訊的隱私和安全性。

Android 版 Privacy Sandbox

Android 版 Privacy Sandbox 加強對隱私權的保護,同時提供應用程式開發人員所需的工具,以便他們支援及拓展自家業務。它將引入無需跨應用程式 ID (包括廣告 ID) 即可運作的新解決方案,並限制與第三方分享資料。

Privacy Sandbox 將推出不需廣告 ID 等跨應用程式 ID 就能運作的新技術,以協助應用程式透過廣告持續提供免付費服務,並確保使用者的資料安全無虞。

此外,Privacy Sandbox 也致力於限制隱密追蹤作業和使用者資料蒐集行為,包括讓應用程式更安全地整合第三方開發人員的產品。

名詞解釋

差異化隱私
此系統不必透露使用者的私人資訊,或指出這類資訊是否隸屬於資料集,就能分享資料集相關資訊來顯示行為模式。

k-anonymity
資料集內的去識別化措施。如果匿名性為 k=1000,表示您的資訊無法與資料集內另外 999 人的資訊區別。

裝置端處理
在裝置 (手機或電腦)「本機」執行運算作業,而不與外部伺服器通訊。

數位指紋採集
為了識別身分所蒐集的使用者軟硬體相關資訊。

個人解讀

上面的介紹都是取自 Privacy Sandbox 計畫 的網站,重點目標是減少跨網站和跨應用程式的追蹤作業,取代目前第三方 Cookie 造成使用者隱私權被嚴重侵害的現況。

Google 淘汰 Chrome 的第三方 Cookie 只是手段,提高用戶隱私才是目的,然而用戶的隱私保護與個人化廣告是一體兩面,廣告平台能取得的用戶行為資料越受限,資料聚合分析的能力就會越弱,造成廣告投放不精準。這也是為什麼我們需要探究 Privacy Sandbox 「隱私沙盒」的運作邏輯,以便檢討在 Privacy Sandbox 的機制下,如何做出較佳的應對安排,例如廣告投放預算的重新分配、廣告素材的重新編製、Landing Page 的重新設計、活動內容的重新設計等等。

網頁版 Privacy Sandbox 時程表

各個 Privacy Sandbox 提案處於不同的開發過程階段。這份時程表列出了估算的時間,預期屆時新的隱私保護 API 和其他技術就可以支援重要使用情境,而 Chrome 在確定負責任地將一切準備就緒後,就能逐步淘汰第三方 Cookie。

網頁版 Privacy Sandbox 時程表的資訊可能會有所異動,並將於每個月更新。

Privacy Sandbox 計畫也涵蓋專為限制隱密追蹤所設計的措施,包括因應數位指紋採集和網路層級追蹤等特定隱密追蹤技術的提案。

網頁版 Privacy Sandbox 提案

防範網路上的垃圾內容和網路詐騙

Private State Tokens

Private State Tokens 可協助網站區分訪客是真人、機器人或惡意攻擊者。網站會根據訪客在網站上的行為 (例如定期登入帳戶),選擇是否核發 Private State Tokens 給瀏覽器。接著,其他網站可以查看該權杖,確認訪客是真人而非機器人。Private State Tokens 經過加密處理,無法識別個人資訊,也無法透過連結受信任和不受信任的執行個體來辨識使用者身分。

顯示相關內容和廣告

Topics API

主題是瀏覽器根據造訪的頁面推斷出的可識別類別。使用第三方 Cookie 時,造訪過哪些特定網站的資訊可能會在網路上分享,但如果使用 Topics,就不再需要擔心發生這類情況。在 Chrome 中,您可以查看主題並移除不喜歡的主題,或者在「設定」中將其完全停用。

FLoC API

FLoC 是 Privacy Sandbox 中的一項提案,旨在將具有相似瀏覽模式的使用者聚集到大型群組或「同類群組」中。這種「以數量確保安全」的方法旨在有效地將任何人融入具有相似興趣的人群中。FLoC 已於 2021 年停止開發。

Protected Audience API

Protected Audience API 是全新的再行銷方式,不必依賴第三方 Cookie,就能讓您回想起感興趣的網站和產品。當您上網時,造訪過的廣告商網站可向瀏覽器表明之後想顯示廣告。他們也可以直接與瀏覽器分享資訊,這包括他們想顯示的特定廣告以及他們願意支付多少費用以顯示廣告。當您造訪含有廣告空間的網站時,瀏覽器的演算法會決定網站可能會顯示哪些廣告。

評估數位廣告

Attribution Reporting API

行銷人目前在蒐集個人瀏覽活動和使用者如何回應廣告等資料時,須仰賴第三方 Cookie。為了讓廣告商能以保護隱私的方式投放相關廣告並評估廣告成效,Privacy Sandbox 將以新的評估和報表工具取代第三方 Cookie,避免使用者的身分遭跨網站識別。為此,我們提出了幾個相關的提案。

強化跨網站隱私界線

相關網站集合

一個機構的相關網站可能會有不同的網域名稱,也可能需要載入影片等資源,或需要跨這些網域執行其他活動,而目前嘗試限制跨網站追蹤的做法,並無法解決這種常見情形。
透過本 Privacy Sandbox 提案,屬於同一實體的網域能夠宣告為「相關網站集合」。在「相關網站集合」之外,資訊交換會受到限制以保護使用者隱私。

Shared Storage API

為了防止跨網站追蹤,瀏覽器開始隔開所有形式的儲存空間,例如快取、本機儲存空間等。但是,在許多正當情況下仍需要使用共用儲存空間,而本提案便是希望可以解決這些問題。本提案提供未分區的「共用儲存空間」,但確保其中的資料只能在安全的環境中讀取。

CHIPS

有時候,即時通訊小工具或嵌入地圖等嵌入服務需要掌握使用者在指定網站上的活動才能正常運作。Privacy Sandbox 採用分區 Cookie,即 CHIPS (具有獨立分區狀態的 Cookie),會向瀏覽器指示,只允許必要的 Cookie 在相關網站 (或相同相關網站集合中的網站) 與嵌入小工具之間「跨網站」運作。

Fenced Frame API

Fenced Frame 是一種嵌入框架,就像 iframe,不能與代管網頁通訊。這使得 Fenced Frame 可以安全地存取未分區的儲存空間,因為當中的識別碼資訊無法與頂層網站分享。

Federated Credential Management

Federated Credential Management 旨在補足依賴第三方 Cookie 的聯合身分在設計上的不足。針對依賴第三方 Cookie 的聯合身分措施,該 API 提供所需的基本功能,包括登入、登出和撤銷。

限制隱密追蹤

使用者代理程式用戶端提示

使用者代理程式字串中包含使用者使用的瀏覽器和裝置的詳細資訊,以便讓造訪的網站能夠正常呈現內容並順利運作。但是,它也是遭人利用以進行所謂被動式指紋辨識的一大途徑。Client Hints API 使網站能直接請求所需資訊,達到減少使用者代理程式字串中所含詳細資訊的目的,藉此限制在使用者相關的資訊在網路上分享。

使用者代理程式縮減

使用者代理程式 (UA) 縮減設定是盡量減少在使用者代理程式字串中分享的識別資訊,以免此類資訊遭人用於被動式數位指紋採集。

DNS-over-HTTPS

DNS-over-HTTPS 是一項加密協定,會將 HTTPS 訊息中的網域名稱系統 (DNS) 查詢和回覆編碼,這有助於防止攻擊者觀察使用者造訪的網站或將使用者導向網路詐騙網站。

IP 保護

「IP 保護」是 Privacy Sandbox 在隱藏 IP 位址方面的提案,做法是隱藏使用者的 IP 位址,讓第三方無法根據 IP 跨網站追蹤使用者。

隱私預算

「隱私公開程度上限」是一項結合多種因素以限制數位指紋採集的提案。這項提案的目的在於限制允許網站存取的識別資訊量,藉此避免使用者身分遭明確識別。

儲存空間分區

如果網站上的嵌入服務使用用於儲存或通訊的網站平台 API (亦即在第三方環境中使用),儲存空間分區功能會將這些 API 隔離。這將有助於讓網路更加私密且安全,同時在很大程度上保持與現有網站的網路相容性。

網路狀態分區

瀏覽器的網路資源 (例如連線、DNS 快取和替代服務資料) 通常在全域內共用。網路狀態分區功能會將大部分狀態進行分區,以免這些資源跨第一方環境共用。為此,每項請求都會有一個額外的「網路分區索引鍵」,這個索引鍵必須相符才能重複使用資源。
這個額外的索引鍵可讓網站在載入其他網站時,無法存取所取得的共用資源和中繼資料,藉此保護使用者隱私。

跳轉追蹤因應措施

跳轉追蹤因應措施可限制或禁止跳轉追蹤功能跨環境辨識使用者身分,但不會破壞系統在有狀態重新導向時導入的支援用途,讓使用者仍可享有優質體驗。

(持續更新中 …)