«Песочница конфиденциальности» идет на Android: что нужно знать рекламодателям

Эрик Сёферт разбирается с нововведениями Google в своей статье. Предлагаем вам ее перевод.

На прошлой неделе Google объявил о планах внедрить в Android «песочницу конфиденциальности». Первоначальная инициатива Google Privacy Sandbox была представлена ​​в 2019 году, и ее заявленная цель заключалась в создании совместной среды с открытым исходным кодом, в которой технологии конфиденциальности можно было бы разрабатывать в качестве веб-стандартов. Инициатива появилась вскоре после того, как Google объявил о прекращении поддержки сторонних файлов cookie в браузере Chrome. «Песочница конфиденциальности» была представлена ​​как средство создания инструментов и технологических подходов к сохранению эффективности рекламы при сохранении конфиденциальности пользователей таким образом, каким это не удалось сделать файлам cookie.

Большинству маркетологов мобильных приложений можно простить незнание «песочницы конфиденциальности», ее инструментов и фреймворков с загадочными названиями FLoC, TURTLEDOVE, Topics API и т.д. «Песочница конфиденциальности» была разработана для решения конкретной проблемы, которая в основном не имеет отношения к рекламе приложений — замены сторонних файлов cookie на сохраняющий конфиденциальность, но эффективный инструмент для таргетинга рекламы. В значительной степени рекламодатели мобильных приложений не беспокоятся об устаревании файлов cookie, потому что они в основном размещают рекламу в приложениях, а не в Интернете. Фреймворк конфиденциальности Apple App Tracking Transparency (ATT), развернутый в прошлом году, создал проблемы для рекламодателей мобильных приложений (и мобильных веб-рекламодателей) из-за отказа от идентификатора устройства iOS, IDFA, с целью защиты конфиденциальности потребителей.

Когда Apple впервые представила ATT, я предположил, что Google последует этому примеру, хотя и с более умеренным и контролируемым подходом. Песочница конфиденциальности для Android, по-видимому, таковым и является — это совместные усилия, которые приглашают представителей отрасли к участию в замене существующей системы таргетинга рекламы на Android чем-то, что более аккуратно относится к конфиденциальности потребителей. Хотя Google недавно представил некоторые новые инициативы в отношении конфиденциальности на Android, в том числе реанимацию своей в основном бездействующей системной настройки «Отказ от персонализации рекламы» в качестве Android-эквивалента настройки Apple «Ограничить отслеживание рекламы», очевидно, что компания хочет ввести дополнительные средства контроля конфиденциальности в Android. И они направлены на достижение этого с помощью реализации Privacy Sandbox для платформы.

Google заявляет в своем блоге, анонсирующем Песочницу конфиденциальности для Android, что хотя цель этой инициативе состоит в том, чтобы в конечном итоге заменить различные рекламные функции платформы — в первую очередь, идентификатор рекламы Google (часто называемый GAID) — она будет продолжать поддерживать эти функции в течение «не менее двух лет». Это резко контрастирует с политикой Apple в отношении ATT, которая была разработана без (насколько мне известно) какого-либо участия со стороны рекламной экосистемы и развернута в течение года после объявления, хотя ее первоначальное внедрение предполагалось даже раньше.

Технические спецификации Google Privacy Sandbox для Android в настоящее время состоят из двух компонентов: SDK Runtime и Privacy-Preserving API. Ниже я приведу общий обзор каждого из них.

SDK Runtime (среда выполнения SDK)

Операционная система Android использует метод, называемый «песочницей приложений», чтобы изолировать рабочую среду каждого приложения от сред других приложений и ограничить доступ приложений к ОС. Такой подход не позволяет вредоносным приложениям получать доступ к данным других приложений и вмешиваться в работу ОС, а каждому приложению предоставляются определенные разрешения в его собственной операционной среде.

Когда разработчик хочет реализовать функциональность стороннего сервиса, такого как рекламная сеть или CRM продукт, он должен интегрировать в свое приложение то, что известно как SDK (комплект для разработки программного обеспечения). В настоящее время SDK, интегрированный в приложение, работает в изолированной программной среде этого приложения, и ему предоставляются те же разрешения, что и исходному  приложению. В некоторых случаях разработчики приложений могут не знать о данных или параметрах устройства, к которым обращаются сторонние SDK, что создает уязвимости в системе безопасности и конфиденциальности.

В качестве компонента «песочницы конфиденциальности» для Android Google планирует представить среду выполнения SDK в Android 13: это отдельная выделенная среда выполнения для сторонних SDK в приложениях, которым могут быть предоставлены разрешения, отличные от разрешений приложения, что позволяет приложению управлять данными, к которым эти сторонние SDK имеют доступ. Google отмечает в своей документации «Песочница конфиденциальности для Android», что первая итерация функции SDK Runtime будет в первую очередь предназначена для «SDK, связанных с рекламой», которые описываются как SDK для служб, которые «обеспечивают показ рекламы, измерение рекламы, отслеживание фрода, и выявление злоупотреблений».

Один интересный аспект и полезная особенность подхода SDK Runtime заключается в том, что за счет разделения сред выполнения он создает возможность для SDK распространяться независимо от приложений, которые они обслуживают, а это означает, что SDK больше не нужно упаковывать в пакеты и «статично связывать» с хост-приложениями. Поставщики услуг смогут загружать свои SDK в магазины приложений независимо от любого приложения, которое может их интегрировать. Приложения, использующие эти SDK, могут затем просто указывать зависимости, при этом соответствующие SDK будут загружаться вместе с приложением в момент установки пользователем. Это позволит разработчикам сторонних SDK вносить некритические изменения, не требуя от разработчиков приложений обновлять пакеты.

Privacy-Preserving API (API сохранения конфиденциальности)

Предложение «Песочница конфиденциальности для Android» включает в себя набор API-интерфейсов для сохранения конфиденциальности, которые в основном копируют то, что было установлено в исходной песочнице конфиденциальности для веба. Эти API, согласно Google, «защищают конфиденциальность пользователей с помощью комбинации таких методов, как сохранение выбранных личных данных и обработка их на устройстве, агрегирование и рандомизация данных, а также выбор рекламы на устройстве». Три основных варианта использования, определенные в первоначальном предложении, фиксируются с помощью:

• Topics, которые похожи на Topics API для исходной песочницы конфиденциальности, представленной в конце января. Эта концепция создает грубые сигналы интереса пользователя на основе взаимодействия с приложениями, которые были классифицированы в стандартизированной таксономии, и позволяет ориентироваться на эти интересы;
• FLEDGE для Android, который на практике эквивалентен FLEDGE для веба. FLEDGE для Android позволяет разработчикам приложений определять индивидуальную аудиторию в своих приложениях и облегчает таргетинг и показ рекламы на устройстве;
• Attribution Reporting, которые позволяют измерять эффективность кампании на устройстве и сообщать об этом рекламным сетям и рекламодателям.

Я расскажу о каждой из концепций ниже.

Topics (темы)

Концептуальное предложение Topics для песочницы конфиденциальности в Android очень напоминает Topics API, который был недавно представлен для исходной песочницы конфиденциальности, проект GitHub которого можно найти здесь (я написал простую симуляцию, которая оценивает возможное количество комбинаций тем, учитывая логику выбора, которую можно найти здесь).

Детали системы менее интересны, чем общая цель, которая заключается в использовании данных на устройстве, полученных в результате взаимодействия с различными приложениями, которые были классифицированы как относящиеся к разным темам, для таргетинга рекламы способом, который не полностью основан на контексте. Идея, лежащая в основе тем, заключается в том, что использование определенного приложения может коррелировать с некоторым интересом со стороны пользователя, и этот интерес может быть учитываться рекламодателем с помощью этого классификатора тем таким образом, который не будет доступен или вычислим иными способами, учитывая гораздо более узкое поле зрения для рекламодателя.

Система тем как в вебе, так и в Android пытается предотвратить идентификацию приложений путем: 1) введения случайного шума в процесс выбора темы (в каждом случае в 5% выбирается случайная тема) и 2) присвоением нескольких тем одному свойству.

Реализация концепции тем для мобильных приложений довольно проста: различные рекламные SDK, интегрированные в приложения на телефоне пользователя, могут использовать темы, связанные с любым данным приложением, но только для этого приложения, чтобы заполнить инвентарь в этом приложении. Этот подход более полезен, чем простое использование контекста приложения для таргетинга, потому что Android может создавать ассоциации с интересами, связанными с этим приложением, которые не видны и не воспринимаются ни одним владельцем SDK, но позволяют не использовать личную информацию (например, ID устройства) в качестве основы для таргетинга.

Google указывает, что пользователи смогут контролировать использование своего приложения с темами. Кроме того, таксономия тем курируется людьми и позволяет исключить деликатные темы из использования.

FLEDGE for Android

Подобно концепции тем, FLEDGE для Android отражает предложение, которое было сделано для веба в оригинальной песочнице конфиденциальности. FLEDGE — это эволюция концепции TURTLEDOVE, которую я подробно обсуждаю в этом выпуске подкаста MDM. FLEDGE, по сути, позволяет перенацеливать и создавать индивидуальную аудиторию без необходимости синдицировать данные ряда сторонних поставщиков рекламных технологий. FLEDGE позволяет рекламодателям помещать пользователей в группы таргетинга на основе взаимодействия этих пользователей с их ресурсами, а также разрешать издателям проводить аукционы объявлений для заполнения инвентаря на своих ресурсах без необходимости вызывать внешнюю службу. Целью FLEDGE является организация пользователей в группы и управление аукционами исключительно на устройстве без какой-либо передачи данных группе поставщиков рекламных технологий.

Как и в случае с концепцией тем, Google указывает, что пользователи будут контролировать кастомные аудитории, к которым они принадлежат, и какие приложения могут группировать их в аудитории. В конечном счете, FLEDGE меняет направление потока данных в процессе показа рекламы: классификация аудитории происходит на устройстве, а платформы на стороне покупателя отправляют свою логику торгов на устройство в SSP, работающее на устройстве. В случае с песочницей конфиденциальности для мобильных устройств аукцион проходит в приложении, и как покупатель (успешная ставка), так и продавец могут сообщать о результатах аукциона своим собственным службам через API FLEDGE.

Attribution Reporting (Отчеты об атрибуции)

Концепция атрибуции, как и две предыдущие концепции, является мобильным аналогом для существующего предложения для Интернета. Отчеты по атрибуции можно рассматривать как эквивалент SKAdNetwork на Android: они обеспечивают грубый, зашумленный, не идентифицируемый пользователем учет конверсий кликов и просмотра рекламы, хотя, в отличие от SKAdNetwork, они делают это с помощью двух разных отчетов (зависящих от событий и агрегированных).

Цель создания отчетов об атрибуции в рамках инициативы «Песочница конфиденциальности для Android» состоит в том, чтобы обеспечить создание и перенацеливание пользовательской аудитории без использования рекламного идентификатора, который может (и должен) совместно использоваться различными поставщиками рекламных технологий.

Сохраняя все соответствующие данные на устройстве и выявляя только успешные конверсии на уровне кампании (при условии, что к отчетам на уровне событий применяется достаточный шум, так что отдельные события не могут быть сопоставлены на основе времени), такая система, как Attribution Reporting (и аналогичные реализации той же логики, такие как SKAdNetwork и PCM от Apple и AEM от Facebook) пытается обеспечить учет конверсий без раскрытия лежащих в основе атрибуций, которые и делают это возможным.

Шум или движение?

Первоначальная инициатива Privacy Sandbox породила какофонию теорий и мнений, но пока не принесла существенных улучшений конфиденциальности пользователей. Компонент SDK Runtime в песочнице конфиденциальности для Android, безусловно, предлагает реальные перспективы на конкретной временной шкале (Android 13), но другие компоненты являются просто воспроизведением идей, которые не получили поддержки в оригинальной песочнице конфиденциальности. С моими мыслями о подходе Apple к конфиденциальности можно несоглашаться, но Apple нельзя обвинить в нерешительности.