Advertisers' cookieless checklist: what to ask vendors

Due to the nature of certain cookieless technology, 从活动分析和跟踪中获得的见解可能会变得不那么具体.

As such, 当采用无cookie方法进行在线广告和跟踪时, 在理解和评估风险时，考虑以下因素将是关键:

• Undertake your usual data due diligence on the provider
• Consider the provider’s role as controller or processor
• The type of cookieless technology being deployed (see below)
• The quality of the output (what insight are you actually getting?)
• Importantly, 该技术是否真的“无cookie”，因此不属于 PECR 经用户同意后，将在修订后的商业环境内运作

作为评估正在部署的无cookie技术类型的一部分, and the roles of the parties, 你可考虑向卖主询问下列问题.

要注意那些似乎意在通过技术“把戏”规避监管或商业规则的方法。. 这些解决方案带来的任何好处都可能是短暂的, 此外，它们还伴随着一个重大的相关风险，即负责对cookie和标识符的使用实施各自规则的监管机构和/或商业实体会将这些方法的使用视为故意采取不合规的方法, with associated consequences.

Questions to ask prospective vendors

1. 供应商直接或间接地从用户那里收集了哪些数据? And how is this data collected?

2. What on-device technologies are being used by the vendor/publisher?

这些问题很重要，因为建立响应可以帮助确定哪些技术可能被营销为“无cookie”，但实际上使用的技术, although not strictly third-party cookies, 遵守相同的同意监管要求(通过访问和/或在用户设备上存储信息), 同样，也无法在ATT和隐私沙盒的新商业环境中合规运营.

3. 广告主和供应商/发行商之间交换了哪些数据?

就需方与有关供应商/出版商之间交换的任何个人资料，确立你的角色, 确定各方之间交换了哪些数据非常重要. 这样就可以对决定处理手段和目的的当事方进行评估, and hence identifying the data controller(s).

4. 广告商能否直接将受众与供应商/出版商受众联系起来并/或进行匹配?

5. Can the advertiser directly address single identities?

6. 供应商/出版商是否会直接连接标识符，以建立供应商/出版商与广告平台之间的匹配?

所有这些问题都有助于根据上面讨论的类别对技术进行分类.

Remember, if a technology:

• 发布者根据其第一方数据生成的受众或兴趣群体的功能, without any direct access to individual identifiers, this technology likely makes use of unlinked audiences.
• 通过使用底层浏览器或操作系统提供的受众或兴趣组来实现功能, 在设备上生成，不暴露底层的直接标识符, this technology likely makes use of Browser/Operating-System linked audiences.
• allows direct linking of advertiser and publisher audiences, including through the use of directly connected identifiers, this technology likely makes use of linked audiences.

You can find out more about each of these technologies via IAB UK here. 理解上述问题的答案将有助于识别和管理与使用该技术相关的遵从性风险, 包括了解您在任何处理过的数据和相关数据的控制者方面的角色, 以及您可能需要在您的隐私政策或类似政策中反映的相关透明度义务.

7. 如果是，在哪个框架下使用哪些标识符(UID2、用户启用的ID令牌等).)?

了解相关的无cookie解决方案是否正在部署行业标准框架非常重要，因为它可以告知您的风险视图. 您可能希望考虑对关键标识符框架(例如UID2)进行一般评估——随后对这些框架下的技术进行审查，然后可以交叉参考先前确定的一般风险状况.

8. 供应商/出版商处理个人资料的法律依据(同意或合法权益)是什么? If consent, who is responsible for obtaining this consent?

This is important to establish, 因为它会影响每一方关于其合规义务的义务, 特别是在考虑到各方在建立处理的合法基础方面的责任时.