Mechanizmy kontroli prywatności w Centrum danych reklam

Ochrona prywatności użytkowników leży u podstaw wszystkich aspektów działania Centrum danych reklam – to fundament, na którym opiera się funkcjonowanie tej platformy. Aby chronić prywatność użytkowników i zapewnić naszym klientom zgodność z przepisami, stosujemy pewne ograniczenia i mechanizmy kontroli, które mają zapobiegać przekazywaniu danych dotyczących poszczególnych użytkowników¹ w informacjach pobieranych przez Ciebie z tej platformy.

Poniżej znajdziesz omówienie funkcji ochrony prywatności w Centrum danych reklam. W sekcjach poniżej znajdziesz więcej szczegółów:

• Mechanizmy kontroli statycznej służą do sprawdzania instrukcji w zapytaniach pod kątem oczywistych i bezpośrednich problemów z ochroną prywatności.
• Limity dostępu do danych ograniczają łączną liczbę możliwości uzyskania dostępu do konkretnego zbioru danych.
• Mechanizmy kontroli agregacji powodują, że każdy wiersz zawiera taką liczbę użytkowników, która wystarcza do ochrony ich prywatności.
• Sprawdzanie różnic (lub „sprawdzanie różnic”) porównuje zbiory wyników, aby zapobiegać gromadzeniu informacji o poszczególnych użytkownikach przez porównywanie danych z różnych zbiorów użytkowników.
• Wstrzykiwanie szumu to alternatywa dla sprawdzania różnic. Tryb szumów jest dostępny tylko w Centrum danych reklam dla marketerów. Więcej informacji o wstrzykiwaniu szumu znajdziesz na stronie Centrum danych reklam dla marketerów.

Jeśli wynik nie przejdzie kontroli prywatności, Centrum danych reklam wyświetli lub zwróci wiadomość dotyczącą ochrony prywatności, zawierającą informację o odfiltrowaniu wiersza. Zakres filtracji może być dowolnie szeroki: od pojedynczego wiersza do całego zbioru wyników. Aby mieć pewność, że sumy raportowania są prawidłowe, użyj podsumowania wierszy po zastosowaniu filtra do sprawdzenia ilości danych w pominiętych wierszach².

Kontrole statyczne

Służą one do sprawdzania instrukcji w zapytaniach pod kątem oczywistych i natychmiastowych problemów z ochroną prywatności, np. eksportowania identyfikatorów użytkowników lub dowolnej ich funkcji albo korzystania z funkcji niedozwolonych w polach zawierających dane na poziomie użytkownika. Aby uniknąć błędów zapytań z powodu kontroli statycznej, zapoznaj się ze sprawdzonymi metodami i dowiedz się, które funkcje są dozwolone.

Limit dostępu do danych

Ogranicza on łączną liczbę możliwości uzyskania dostępu do konkretnego zbioru danych. Użytkownicy, których budżet jest bliski wyczerpania, będą powiadamiani o tym w wiadomości dotyczącej ochrony prywatności typu DATA_ACCESS_BUDGET_IS_NEARLY_EXHAUSTED. Budżet możesz sprawdzać, korzystając z punktu wejścia budżetu dostępu do danych lub obserwując w interfejsie powiadomienia dotyczące budżetu.

Wymagania dotyczące agregacji

Podstawą mechanizmów kontroli prywatności w Centrum danych reklam jest próg agregacji użytkowników. W przypadku większości zapytań możesz otrzymywać tylko dane do raportu dotyczące co najmniej 50 użytkowników. Zapytania obejmujące wyłącznie kliknięcia i konwersje mogą jednak służyć do raportowania dotyczącego już co najmniej 10 użytkowników.

• Zdarzenia podające liczbę wyzerowanych identyfikatorów użytkowników są przy sprawdzaniu progu agregacji zliczane jako 1 użytkownik. Nie ma przy tym znaczenia, ilu tak naprawdę użytkowników wywołało te zdarzenia.
• Użytkownicy, którzy w polu identyfikatora mają wartość null, nie wliczają się do progu agregacji.

Sprawdzona metoda: skonfiguruj podsumowanie wierszy po zastosowaniu filtra, aby raportować dane, które zostały pominięte. Pomaga to w utrzymywaniu w raportach stabilnego punktu odniesienia.

W przykładzie poniżej wiersz z kampanią 125 zostanie odfiltrowany z ostatecznych wyników, ponieważ zawiera wyniki pochodzące od 48 użytkowników, czyli poniżej progu wynoszącego 50 użytkowników.

Sprawdzanie różnic

Sprawdzanie różnic pomaga zapobiec zidentyfikowaniu użytkowników przez porównanie wielu wystarczająco zagregowanych wyników. Robi to na te sposoby:

• Porównuje ono wyniki realizowanego obecnie zadania z poprzednimi wynikami.
• Porównuje też wiersze w tym samym zbiorze wyników.

Naruszenia związane ze sprawdzaniem różnic mogą być spowodowane przez zmiany danych podstawowych wprowadzone w czasie między realizacją jednego a drugiego zadania. Porównując wyniki zadania z poprzednimi wynikami, Centrum danych reklam szuka luk w ochronie prywatności na poziomie poszczególnych użytkowników. Z tego względu nawet wyniki z różnych kampanii lub wyniki, które dotyczą tej samej liczby użytkowników, mogą zostać odfiltrowane, jeśli zawierają dużą liczbę pokrywających się użytkowników.

Z drugiej strony 2 zagregowane zbiory wyników mogą mieć taką samą liczbę użytkowników (czyli wydawać się pozornie identyczne), jednak zupełnie różnych. Dzięki temu nie będą naruszać prywatności użytkowników i nie zostaną odfiltrowane.

Przy ocenie występowania luk w zabezpieczeniach nowego wyniku Centrum danych reklam korzysta z danych pochodzących z historycznych wyników. Oznacza to, że ciągłe powtarzanie tego samego zapytania powoduje zbieranie coraz większej ilości danych służących do sprawdzania różnic na potrzeby oceny poziomu prywatności w nowym wyniku. Poza tym dane źródłowe mogą się zmienić, co spowoduje, że mechanizmy kontroli prywatności zgłoszą naruszenia zasad w przypadku zapytań uznawanych dotąd za stabilne.

Gdy wyniki na poziomie zadania będą się wystarczająco różnić, ale pojedynczy wiersz będzie podobny do wiersza w poprzednim zadaniu, Centrum danych reklam odfiltruje taki wiersz. W tym przykładzie wiersz zawierający w 2. wyniku kampanię 123 zostanie odfiltrowany, ponieważ różni się od poprzedniego wyniku tylko jednym użytkownikiem.

Jeśli suma liczby użytkowników we wszystkich wierszach zbioru wyników jest podobna do tej z poprzedniego zadania, Centrum danych reklam odfiltruje cały zbiór wyników. W tym przykładzie zostaną odfiltrowane wszystkie wyniki z 2. zadania.

Podsumowanie wierszy po zastosowaniu filtra

Podsumowania wierszy po zastosowaniu filtra zliczają dane, które zostały odfiltrowane w efekcie kontroli prywatności. Dane z przefiltrowanych wierszy są sumowane i dodawane do wiersza zbiorczego. Odfiltrowanych danych nie można dokładniej analizować, ale przynajmniej uzyskujesz podsumowanie ilości danych, które zostały odfiltrowane z wyników.

Filtrowanie ze względu na ochronę prywatności

Jeśli musisz podzielić zapytanie, ale chcesz połączyć wyniki zbiorcze, możesz wyraźnie zastosować mechanizmy kontroli prywatności do kilku mniejszych zapytań, a potem zsumować te wyniki w sposób zapewniający ochronę prywatności.

Przykładowe przypadki użycia:

• Jesteś reklamodawcą, który szuka na połączonym koncie Google Ads wszystkich konwersji według typu zdarzenia atrybucji, w tym danych z Europejskiego Obszaru Gospodarczego.
• Jesteś partnerem ds. pomiarów i chcesz na swoim połączonym koncie Google Ads zobaczyć wszystkie konwersje według typu zdarzenia atrybucji.

Aby uzyskać sumę konwersji na koncie Google Ads, możesz przeformułować zapytanie, używając klauzuli OPTIONS(privacy_checked_export=TRUE), aby zastosować mechanizmy ochrony prywatności w poszczególnych usługach Google.

Przykładowa operacja przekształcania w tej sekcji:

1. Wysyła zapytania do każdej usługi Google osobno, stosując wyraźnie mechanizmy kontroli prywatności do każdego pośredniego zbioru wyników.
2. Tworzy osobną tabelę tymczasową dla wyników zweryfikowanych pod kątem prywatności w poszczególnych usługach Google: YouTube, Gmailu i Google Network.
3. Zbiera i sumuje liczby konwersji z tabel tymczasowych, które zostały sprawdzone pod kątem ochrony prywatności.

CREATE TEMP TABLE youtube_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_youtube
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE network_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_network
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE gmail_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_gmail
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

SELECT
 campaign_id,
 attribution_event_type,
 SUM(num_convs) AS num_convs
FROM (
 SELECT * FROM youtube_agg
 UNION ALL
 SELECT * FROM network_agg
 UNION ALL
 SELECT * FROM gmail_agg
)
GROUP BY campaign_id, attribution_event_type

Pamiętaj, że to zapytanie nie używa funkcji JOIN do bezpośredniego łączenia danych między tabelami, ale zamiast tego najpierw wykonuje zapytanie dotyczące każdej tabeli, stosuje mechanizmy kontroli prywatności do każdej tabeli pośredniej, a potem używa funkcji UNION do sumowania wartości, dla których została sprawdzona prywatność.

Doradca ds. zapytań

Jeśli kod SQL jest prawidłowy, ale może powodować nadmierne filtrowanie, doradca ds. zapytań wyświetla praktyczne porady na etapie tworzenia zapytania, aby pomóc Ci uniknąć niepożądanych wyników.

Porady te mogą się wyświetlać w takich przypadkach:

• złączanie zbiorczych zapytań pomocniczych,
• złączanie niezagregowanych danych z potencjalnie różnymi użytkownikami,
• występowanie tabel tymczasowych zdefiniowanych rekurencyjnie.

Aby korzystać z pomocy doradcy ds. zapytań:

• Interfejs użytkownika: rekomendacje wyświetlają się w Edytorze zapytań nad treścią zapytania.
• Interfejs API: używaj metody customers.analysisQueries.validate.