广告数据中心内的隐私权检查

保护最终用户的隐私是广告数据中心一切工作的核心,也是我们平台的构建基础。为了帮助保护最终用户的隐私,协助客户遵守相关法规,我们实施了特定检查和限制机制,以防止平台提供的数据中包含与具体用户相关的数据1。下文简要介绍了这些检查,您可以参阅以下各部分了解详情:

  • 静态检查。静态检查会检查查询中的语句,以发现显而易见的隐私问题,例如:
  • 数据访问预算。数据访问预算会限制您可以访问指定数据的总次数。预算即将用尽时,用户会收到类型为 DATA_ACCESS_BUDGET_IS_NEARLY_EXHAUSTED隐私权消息通知。 您可以使用数据访问预算入口点或通过观察界面中的预算通知来监控预算使用情况。
  • 汇总要求。汇总要求可确保每一行都包含足够数量的用户,以保护最终用户的隐私。
  • 差异检查。差异检查会将您正在运行的作业的结果与之前的结果以及同一结果集中的行进行比较。通过比较符合汇总要求的多组用户的数据,可以防止您收集具体用户的相关信息。如果更改两个作业之间的基础数据,就可能会导致差异检查违规。

如果结果未通过隐私权检查,广告数据中心会显示或返回一条隐私权消息,通知您某行已被滤除。被滤除的可以是单个行,也可以是整个结果集。为了确保报告总计值准确无误,请使用被滤除的行摘要来统计被舍弃行的数据2

汇总要求

广告数据中心隐私权检查的核心是用户汇总阈值。对于大多数查询,汇总的用户需至少达到 50 位才能生成报告数据。不过,对于仅访问点击次数和转化次数的查询,只需达到 10 位用户就能生成报告数据。(ID 为 null 的用户不计入此汇总阈值。)

在下面的示例中,包含广告系列 125 的行将从最终结果中滤除,因为该行汇总的是 48 位用户的结果,这低于最少 50 位用户的数量限制。被滤除的行因隐私权限制而从结果中省略。

广告系列 用户数量 展示次数
123 314 928
124 2718 5772
125 48 353

差异检查

差异检查有助于确保用户身份不能通过比较多个已充分汇总的结果而被识别出来。将某个作业的结果与之前的结果进行比较时,广告数据中心会在单个用户层面查找漏洞。因此,即使结果来自不同广告系列,或结果报告的用户数量相同,只要包含大量重叠的用户,就可能会被滤除。

另一方面,两个汇总结果集可能具有相同数量的用户(看起来好像是相同的结果集),但包含的用户并不重叠,因此可保护隐私安全,在这种情况下,结果不会被滤除。

广告数据中心在评估新结果的漏洞时,会参考历史结果中的数据。这意味着反复运行同一查询会产生更多数据,可供差异检查在评估新结果的漏洞时使用。此外,基础数据可能会发生变化,导致那些本应稳定的查询出现隐私权检查违规的情况。

如果您的作业级结果存在明显差异,但个别行与上一个作业中的某一行类似,广告数据中心会滤除类似的行。在下面的示例中,第二个结果中包含广告系列 123 的行将被滤除,因为该行与上一个结果相差一位用户。

作业 1 作业 2
广告系列 ID 用户数量 广告系列 ID 用户数量
123 400 123 401
124 569 224 1325

如果结果集中所有行的用户总数与上一个作业中类似,广告数据中心会滤除整个结果集。在下面的示例中,第二个作业中的所有结果都将被滤除。

作业 1 作业 2
广告系列 ID 用户数量 广告系列 ID 用户数量
123 400 123 402
124 1367 124 1367

被滤除的行摘要

被滤除的行摘要会统计因隐私权检查而被滤除的数据。系统会对被滤除的行中的数据求和,并将结果添加到一个汇总行中。虽然无法对被滤除的数据进行进一步分析,但可以大致了解从结果中滤除了多少数据。

查询顾问

如果您的 SQL 有效,但可能会触发过度过滤,查询顾问会在查询形成过程中显示切实可行的建议,帮助您避免不理想的结果。

触发器包括以下模式:

可以通过以下方式使用查询顾问:


  1. 用户同意分享的数据除外,例如样本组成员的数据。

  2. 除非受到隐私权限制,例如,被滤除的行摘要中的用户不符合汇总要求。