Mozilla развивает механизм передачи телеметрии рекламным сетям, обеспечивающий конфиденциальность

Mozilla совместно с Facebook работает над реализацией технологии IPA (Interoperable Private Attribution), дающей возможность рекламным сетям получать и обрабатывать статистику об эффективности рекламных кампаний, соблюдая при этом конфиденциальность пользователей. Для обработки статистики без раскрытия данных о конкретных пользователях применяются криптографических механизмы дифференциальной приватности и многосторонних конфиденциальных вычислений (MPC, Multi-Party Computation), позволяющие нескольким независимым участникам производить вычисления не получая информации о чужих данных (web-сайты, браузеры и рекламодатели по отдельности не имеют доступ ко всей информации) и выполняя операции над зашифрованными данными.

IPA вводит понятие ключа сопоставления (match key), генерируемого в привязке к пользователю, но доступного только на запись. В привязке к данному ключу генерируются исходные (source) и итоговые (target) события, информация о которых передаётся в зашифрованном виде сторонним серверам-арбитрам, которые не связаны с рекламными сетями и которым доверяет пользователь или браузер. Указанные серверы позволяют рекламным сетям и рекламодателям сформировать запрос, выводящий агрегированную статистику, связывающую исходные и итоговые события на разных сайтах.

Разработчикам предоставляется API, включающих три базовые функции – назначение ключа сопоставления (navigator.setMatchKey), генерация исходного события (navigator.generateSourceEvent) и генерация итогового события (navigator.generateTriggerEvent). Под исходными событиями (source) понимаются такие действия как показ рекламы и клик пользователя на рекламе. Итоговые события (target) характеризуют действия, совершённые на другом сайте после реагирования пользователя на рекламу, такие как покупка товара, регистрация и загрузка приложения.

Так как указанные события выполняются на разных сайтах, для оценки эффективности рекламы рекламные сети выполняют отслеживание активности пользователя при посещении разных сайтов, применяя такие методы, как идентификационные Cookie, что воспринимается как нарушение конфиденциальности. Предложенный механизм IPA даёт возможность связать исходные и итоговые действия без утечки информации о пользователе – ключи сопоставления могут быть только назначены, а обрабатываются только в зашифрованном виде, поэтому можно отследить статистику, но не видно с каким именно пользователем она связана. В итоге при помощи IPA рекламодатели смогут не нарушая конфиденциальности оценить результаты рекламных кампаний, а владельцы сайтов проанализировать пути оптимизации размещения рекламы.

Для усиления защиты конфиденциальности также предусмотрена возможность добавления случайного шума в результаты агрегирования и применение принципа “Privacy Budget”, в соответствии с которым браузер отдаёт информацию, связанную с конфиденциальными данными, только в определённом объёме, если лимит обращений к API превышен, выдача дальнейшей информации блокируется.

Развиваемый API преследует три основные цели:

  • Сохранение конфиденциальности – ограничение общего объёма информации об отдельных пользователях, публикуемой за определённый период времени, и защита от злоупотреблений (попытки обхода ограничений через регистрацию большого числа доменов, попытки дополнительного отслеживания и идентификации).
  • Поддержка агрегированных измерений всех основных видов конверсии рекламы, включая анализ статистики по просмотрам, переходам, активности после повторного входа, сравнение конверсии между пользователям посмотревшими и не посмотревшими рекламу, оценка эффективности на разных сайтах, связывание взаимодействия с рекламой одного пользователя в разных браузерах и на разных устройствах.
  • Поддержание конкуренции – доступность статистики для всех игроков рынка интернет-рекламы и отсутствие помех для подключения новых участников.

Release. Ссылка here.