חלק מהטכנולוגיות של ארגז החול לפרטיות יוצאות משימוש.

אפשר לעיין בעדכון שלנו בנושא התוכניות לשימוש בטכנולוגיות של ארגז החול לפרטיות.

סטטוס התכונות של ארגז החול לפרטיות מספק מידע נוסף על הסטטוס של ממשקי API ותכונות פלטפורמה ספציפיים.

דף זה תורגם על ידי Cloud Translation API.

דוחות ייחוס: יצירת דוחות סיכום

מדידת המרות ממודעות בצורה מצטברת בין משתמשים, בלי לחשוף נתונים אישיים. נקרא בעבר 'דוחות מצטברים'.

סטטוס ההטמעה

מהו דוח סיכום של שיוך (Attribution)?

הממשק Attribution Reporting API מאפשר למדוד מתי קליק על מודעה או צפייה במודעה מובילים להמרה באתר של מפרסם, כמו מכירה או הרשמה. ה-API לא מסתמך על קובצי Cookie של צד שלישי או על מנגנונים שאפשר להשתמש בהם כדי לזהות משתמשים ספציפיים באתרים שונים.

ה-API הזה מציע שני סוגי דוחות. דוחות ברמת האירועכבר זמינים לבדיקה ב-Chrome, והם משייכים קליק או צפייה במודעה ספציפית לנתוני המרה פחות מפורטים. הדפדפן מעכב את שליחת הדוחות לחברות טכנולוגיית פרסום למשך כמה ימים כדי למנוע קישור בין זהויות באתרים שונים.

דוח סיכום (לשעבר דוח מצטבר) מורכב עבור קבוצת משתמשים, כך שאי אפשר לקשר אותו למשתמש ספציפי. דוחות סיכום מציעים נתוני המרות מפורטים, כמו ערך רכישה ותוכן של עגלת קניות, עם גמישות לגבי נתוני קליקים וצפיות. העיכוב בדוחות האלה לא משמעותי כמו בדוחות ברמת האירוע.

אם עדיין לא עשיתם את זה, מומלץ לקרוא את הסקירה הכללית על דוחות שיוך לפני שתמשיכו לקרוא את שאר המסמך.

למה אנחנו צריכים דוחות סיכום?

אפשר לצבור המרות של קבוצת משתמשים שמבצעים את אותה פעולה בדפדפן (למשל, קניית נעליים). — קבוצה של משתמשים שמבצעים את אותה פעולה, וההמרות שלהם מצטברות.

כיום, מדידת ההמרות ממודעות מתבססת לרוב על קובצי Cookie של צד שלישי. דפדפנים מגבילים את הגישה לקובצי Cookie של צד שלישי כדי להקשות על מעקב אחרי משתמשים באתרים שונים ולשפר את הפרטיות של המשתמשים. ‫Attribution Reporting API מאפשר לטכנולוגיות פרסום למדוד המרות באופן ששומר על הפרטיות, בלי להסתמך על קובצי Cookie של צד שלישי.

בניגוד לדוחות ברמת האירוע של Attribution Reporting API, שמקשרים אירועים בודדים (כמו קליקים או צפיות) לנתונים גסים, דוחות הסיכום מספקים נתונים מצטברים (כמו מספר המשתמשים שהשלימו המרה) שמצורפים לנתוני המרה מפורטים (כמו המוצר הספציפי שהמשתמשים רכשו).

בשונה מקובצי Cookie של צד שלישי, סוגי הדוחות מ-Attribution Reporting API לא מאפשרים לאף ישות (כמו טכנולוגיית פרסום, קונים, בעלי תוכן דיגיטלי וכו') 'לראות' את התנהגות הגלישה של משתמש באתרים שונים, אבל עדיין מאפשרים למדוד המרות ממודעות.

איך נתוני המשתמשים נאספים ומצטברים?

בעזרת Attribution Reporting API, הפעילות המפורטת של משתמש ספציפי באתרים, ואולי גם הזהות של המשתמש באתרים, נשמרת כפרטית בדפדפן של המשתמש במכשיר שלו. אפשר לאסוף את הנתונים האלה בדוח מהנתונים הצבורים, וכל דוח מוצפן כדי למנוע מצדדים שונים לגשת לנתונים הבסיסיים.

כדי ליצור דוח סיכום:

דוחות עם נתונים שאפשר לצבור נשלחים אל מקור הדיווח, שמופעל על ידי ספק טכנולוגיית פרסום.
- הדוחות האלה עשויים לכלול פרטי מיקום, מספר הקליקים, ערך ההמרה (למשל מחיר רכישה) או מדדים אחרים שהוגדרו על ידי ספק טכנולוגיית הפרסום. הדוחות מוצפנים, כך שספקי טכנולוגיית פרסום לא יכולים לראות את התוכן של אף דוח או לגשת אליו.
אחרי שמקור הדיווח של טכנולוגיית הפרסום מקבל את הדוחות עם נתונים שאפשר לצבור, טכנולוגיית הפרסום שולחת את הדוחות אל Aggregation Service.
- בהטמעה הראשונית שלנו, שירות הצבירה מופעל על ידי ספק טכנולוגיית הפרסום עם סביבת מחשוב אמינה (TEE) שמארחת בענן. המתאם מוודא שרק ישויות מאומתות יכולות לגשת למפתחות הפענוח, וששום גורם מתווך אחר (ספק טכנולוגיית הפרסום, ספק שירותי הענן או כל צד אחר) לא יכול לגשת למידע אישי רגיש ולפענח אותו מחוץ לתהליך צבירת הנתונים.
שירות הצבירה משלב את הנתונים המפוענחים ומפיק דוח סיכום לספק טכנולוגיות הפרסום.
- דוח הסיכום כולל סיכום של הנתונים המשולבים. ספק טכנולוגיית הפרסום יכול לקרוא את דוח הסיכום ולהשתמש בו.

התהליך ליצירת דוח סיכום מיוצג על ידי דוחות מוצפנים שנשלחים לשרת איסוף. השרת של כלי האיסוף שולח את הנתונים לשירות צבירה מאובטח, שיש לו מפתח לפענוח הנתונים וליצירת דוח הסיכום. הדוח נשלח בחזרה לספק טכנולוגיות הפרסום. — לתרשים רצף מלא, אפשר לעיין במבוא לדוחות שיוך.

מכיוון שדוחות נפרדים עשויים להכיל מידע על התנהגות משתמשים באתרים שונים, שירות הצבירה חייב להתייחס למידע הזה כאל מידע פרטי. השירות יוודא שאף גורם אחר לא יוכל לגשת לדוחות השיוך הנפרדים והלא מוצפנים. בנוסף, השירות עצמו לא צריך לבצע פעולות שפוגעות בפרטיות.

כדי לוודא ששירות הצבירה מאובטח, השירות צריך לכלול אמצעי הגנה טכניים וארגוניים שניתן לאמת באמצעות ביקורת של הצרכן. אמצעי ההגנה האלה חשובים ל:

משתמשים פרטיים יכולים לדעת מה הנתונים שלהם, אבל הגישה לנתונים האלה אפשרית רק בצורה מצטברת ולא על ידי אף גורם יחיד
ספקי טכנולוגיית פרסום, שיכולים לוודא שתהליך הצבירה מתבסס על נתונים תקפים וניתן למעקב בצורה מתאימה

יצירת דוחות באמצעות Aggregation Service

העיצוב הראשוני מחייב כל ספק טכנולוגיית פרסום להפעיל מופע משלו של שירות הצבירה, בסביבת ביצוע מהימנה (TEE) שנפרסת בשירות ענן שתומך בתכונות האבטחה הנדרשות.

הקוד של ה-TEE הוא המקום היחיד ב-Aggregation Service שיש לו גישה לדוחות גולמיים. חוקרי אבטחה, תומכי פרטיות ומומחי טכנולוגיות פרסום יוכלו לבדוק את הקוד הזה. כדי לוודא שב-TEE פועלת בדיוק התוכנה שאושרה ושהנתונים נשארים מאובטחים, הרכיב המתאם מבצע אימות.

לרכז יש כמה תחומי אחריות:

שומרים רשימה של תמונות בינאריות מורשות. התמונות האלה הן גיבובים קריפטוגרפיים של גרסאות התוכנה של שירות הצבירה, ש-Google תפרסם מעת לעת. התהליך הזה ניתן לשחזור, כך שכל צד יוכל לוודא שהתמונות זהות לבנייה של שירות הצבירה.
הפעלת מערכת לניהול מפתחות. כדי להצפין דוחות מצטברים, דרושים מפתחות הצפנה ל-Chrome במכשיר של המשתמש. מפתחות פענוח נחוצים כדי להוכיח שהקוד של Aggregation Service תואם לתמונות הבינאריות.
כדאי לעקוב אחרי הדוחות הניתנים לצבירה כדי למנוע שימוש חוזר בצבירה לצורך דוחות סיכום, כי שימוש חוזר עלול לחשוף פרטים אישיים מזהים (PII).

כדי לאפשר בדיקה של שירות הצבירה בניסוי המקור שהושלם עכשיו, Google מילאה את תפקיד המתאם. בטווח הארוך, אנחנו פועלים כדי לזהות ישות עצמאית אחת או יותר שיכולות לשתף את התפקיד הזה.

איזה מידע נאסף?

דוחות הסיכום מציגים שילוב של נתונים מצטברים לצד נתונים מפורטים על מודעות והמרות.

לדוגמה, ספק טכנולוגיית פרסום מפעיל קמפיין פרסום ב-news.example, שבו המרה מייצגת משתמש שלוחץ על מודעה למכירת נעליים ומשלים רכישה של נעליים ב-shoes.example. טכנולוגיית הפרסום מקבלת דוח סיכום על הקמפיין הפרסומי הזה עם המזהה 1234567, שבו מצוין שהיו 518 המרות בכתובת shoes.example בתאריך 12 בינואר 2022, עם הוצאה כוללת של 38,174$. ‫60% מההמרות היו של משתמשים שקנו נעלי ספורט כחולות עם מק"ט מוצר 9872, ו-40% היו של משתמשים שקנו סנדלים צהובים עם מק"ט מוצר 2643. מזהה הקמפיין הוא נתונים מפורטים בצד המודעה, ומספרי המלאי של המוצרים הם נתוני המרות מפורטים. מספר ההמרות וההוצאה הכוללת הם נתונים מצטברים.

ההמרות מוגדרות על ידי המפרסם או חברת טכנולוגיית הפרסום, ויכול להיות שהן יהיו שונות בקמפיינים שונים. בקמפיין אחד אפשר למדוד את מספר הקליקים על המודעות שהובילו לרכישת הפריט שפורסם על ידי משתמש. קמפיין אחר יכול למדוד כמה צפיות במודעות הובילו לביקורים באתר של המפרסם.

איך נתונים מהדפדפן נאספים לפני הצבירה?

דוחות הסיכום מורכבים מנתונים של קבוצת אנשים, אז נתחיל עם פעולות בדפדפן של אדם אחד.

משתמש מבקר באתר של בעל תוכן דיגיטלי וצופה במודעה או לוחץ עליה. האירוע הזה נקרא גם אירוע מקור שיוך.
כמה דקות או ימים לאחר מכן המשתמש מבצע המרה, כלומר מפעיל אירוע טריגר של שיוך. לדוגמה, אפשר להגדיר המרה כרכישת מוצר.

המשתמש רוכש את המוצר.
תוכנת הדפדפן מתאימה בין הקליק על המודעה או הצפייה במודעה לבין אירוע ההמרה. על סמך ההתאמה הזו, הדפדפן יוצר דוח ניתן לצבירה עם לוגיקה ספציפית שנוצרה על ידי ספק טכנולוגיית פרסום.
הדפדפן מצפין את הנתונים האלה, ואחרי עיכוב קצר שולח אותם לשרת של טכנולוגיית הפרסום לצורך איסוף. שרת טכנולוגיית הפרסום צריך להסתמך על שירות צבירה כדי לגשת לתובנות המצטברות מהדוחות האלה שאפשר לצבור.

הדפדפן שולח דוח ניתן לצבירה לשרת של טכנולוגיית הפרסום.

סינון מזהים

‫Attribution Reporting API ו-Aggregation Service מאפשרים להשתמש במזהי סינון כדי לעבד מדידות בקצב שונה, במקום לעבד בבת אחת את כל התרומות למדידה בדוח שניתן לצבירה.

דיאגרמת ARA — תרשים זרימת התהליך של Attribution Reporting API.

חשוב לזכור שכל הערכים צריכים להיות בפורמט של מחרוזות, ויש הבחנה בין אותיות רישיות לאותיות קטנות. צריך להגיב עם המטא-נתונים של טריגר השיוך בכותרת ה-HTTP‏ Attribution-Reporting-Register-Trigger. כדי להתחיל, מומלץ לבצע את הפעולות הבאות:

   app.get('/register-trigger', async (req, res) => {
      …
      res.setHeader('Attribution-Reporting-Register-Trigger',
         JSON.stringify({
               "filtering_id_max_bytes": 1
               "aggregatable_trigger_data": [{
                     "key_piece": "0x400",
                     "source_keys": ["campaignCounts"]
               }],
               "aggregatable_values": {
                     "campaignCounts": { "value": 32768, "filtering_id": "1" }
               }
         })
      );
      res.sendStatus(200);
      …
   });

דוחות שאפשר לצבור יישלחו לנקודת הקצה שהגדרתם /.well-known/attribution-reporting/report-aggregate-attribution. אחרי שחבילות של דוחות הנתונים הנצברים נשלחות אל Aggregation Service שהגדרתם ועוברות עיבוד, התוצאות המסוננות אמורות להופיע בדוח הסיכום הסופי.

אפשר להמשיך אל המדריך לסינון מזהים ב-Aggregation Service. אפשר לעיין גם במאמר בנושא סינון מזהים ב-Private Aggregation API.

יצירת דוח סיכום

כדי שספקי טכנולוגיות פרסום יוכלו לאחזר דוח סיכום, צריך לבצע את השלבים הבאים:

ספק טכנולוגיית הפרסום אוסף דוחות עם נתונים שאפשר לצבור מדפדפנים של משתמשים נפרדים.
הערה: ספקי טכנולוגיות פרסום יכולים לפענח את הדוחות האלה רק בשירות הצבירה. הנתונים המפוענחים לא זמינים מחוץ ל-TEE.
ספק טכנולוגיית הפרסום מחלק את הדוחות עם נתונים שאפשר לצבור לקבוצות ושולח את הקבוצות לשירות Aggregation Service.
שירות הצבירה מתזמן עובד לצבירת הנתונים.
הערה: לפני שהעובד יכול לצבור נתונים, נדרש אישור מהמתאם. אם העובד עובר את האימות, מפתחות הפענוח יסופקו.
תהליך הצבירה מפענח וצובר נתונים מדוחות של נתונים נצברים, וגם נתונים עם רעש (מנגנון פרטיות לנתונים).
‫Aggregation Service מחזיר את דוח הסיכום לספק טכנולוגיות הפרסום.

ספק טכנולוגיית הפרסום יכול להשתמש בדוח הסיכום כדי לשפר את הבידינג ולספק דוחות ללקוחות שלו. סכימה עם קידוד JSON היא הפורמט של דוחות סיכום.

השתתפות ושיתוף משוב

אתם יכולים להשתתף ולהתנסות ב-API הזה.

אתם יכולים לקרוא על דוחות שניתן לצבור ועל Aggregation Service, לשאול שאלות ולשלוח משוב.
מומלץ לקרוא את המדריכים בנושא דוחות שיוך (Attribution).

מידע נוסף

מומלץ לקרוא את המבוא לדוחות שיוך (מדידת המרות)
מומלץ לקרוא את ההסבר על Aggregation Service ואת הוראות ההגדרה המפורטות.
העמקה בנושא ארגז החול לפרטיות