最好是使用采样过的、关键信息被匿名化处理过

　　可视性验证

　　品牌广告主的另一个常见诉求是广告展示的曝光程度。显然，出现在第二屏的广告位比第一屏的广告位曝光程度要差很多。这个问题也属于广告安全的范畴。

　　可视性验证的技术方案一般是判断浏览器是否对广告创意发生了渲染过程，如果没有，那么这次展示实际上不是可视的。解决可视性验证，需要对各种浏览器做充分的针对性测试，目前的技术水平已经可以做到对 95%以上的浏览器内广告流量进行可视性验证；但是在移动应用内广告中，目前还没有很好的检测办法。

　　可视性验证同样有投放前的方案，也就是对那些可视比例很低的广告位直接不参与广告交易。

　　15.4 隐私保护和数据安全

　　广告是一个典型的个性化系统，它需要大量使用用户的行为数据进行受众定向，同时，在广告市场中还存在着数据交易的产品。无论是受众定向还是数据交易，都需要谨慎地考虑对行为数据的使用是否会泄露用户的隐私；同时也要考虑拥有数据的利益方，特别是广告主，是否在广告市场中被平台或竞争对手获得和利用了自己的关键商业数据。

　　15.4.1 隐私保护问题

　　隐私问题讨论的是用户个人信息的安全性，不过对这个问题，市场上存在着一定的认识误区。实际上，隐私保护除了关心那些成批的用户资料泄露意外，更大的挑战是针对熟人的隐私窥探，即窥探者在了解被窥探者一些背景信息的基础上，即用这些背景信息进一步试图获取其更多的隐私信息。后面一种挑战由于可能是人工与机器相结合，而且对成本往往不敏感，给隐私带来的风险也最大。一个最生动的例子，可以参见“清华学生用自拍照推理出王珞丹住址”（http://news.cntv.cn/ent/20110819/105071.shtml）这篇报道，在这个例子里，一名清华学生通过分析王珞丹的微博发帖和照片，准确地得到了其住址这一隐私信息。下面我们来具体看一下隐私保护的问题和原则。

　　1.隐私保护基本原则

　　隐私保护在互联网个性化服务发展的很早阶段就得到了大家的重视，欧盟的 A29委员会也对此问题做过深入的研究和规范。目前，工业界有以下一些共识性的隐私保护原则。

　　（1）要严格避免使用个人可辨识信息（Personal Identifiable Information，PII）。PII 是最为重要的隐私信息，它指的是那些被获取后可以被方便地定位到具体人的信息，例如身份证号、电话号码、电子邮件地址、家庭住址等。这些信息一旦被恶意获取，会给当事人带来非常大的不便和潜在风险，因此需要无条件地严格保护。需要说明，广告系统中经常使用的用户标识，如cookie、IMEI等，由于不具有方便地辨识人的作用，因此不属于PII。

　　（2）用户有权要求系统停止跟踪和使用自己的行为数据。如图15-8所示，当向用户提供行为定向广告时，广告提供商应该给出明确的提示，如图中的广告创意右上角的“AdChoices”。如果用户对自己的行为被使用感到不满，可以通过此入口得到更多的详细说明，并且可以通过说明页面上的“Opt Out”操作通知系统停止跟踪和使用自己的行为数据。系统得到通知后，必须停止记录该用户的行为信息，也不再向其投放行为定向广告。这样的入口给了用户决定是否接受个性化广告的权利，对特定情形下的隐私保护非常重要。

　　图15-8 Ad Choices示例

　　（3）不应长期保留和使用用户行为数据。即使用户同意接受行为定向广告，广告平台在数据的使用和存储上也应该有所节制，长期保留用户行为对受众定向价值有限，同时又加大了数据泄露的风险。因此应该只保存一段时期以内的行为数据，过期的数据如果并非与业务直接相关，物理上不应再存储。

　　（4）工程上还需要特别注意权限的严格分配和最小数据访问的原则。工程师在调试程序时，最好是使用采样过的、关键信息被匿名化处理过的数据子集，而在生产系统中通过特别的密钥访问原始数据全集。而不需要开发数据处理程序的人，包括管理层，也不应当有数据访问的权限。

　　上面的这些原则相当基本，也非常重要，是广告系统、推荐系统在用户行为数据使用中首先要遵循的。不过，这些原则并不能解决一些深层次的数据隐私泄露问题，对此我们还需要更加深入地认识与并给出对策。

　　2.Quasi-Identifier 与 K-Anonymity

　　PII是可以辨识个人身份的隐私信息，那么是不是非 PII的信息就无法辨识身份了呢？举个例子，假设有这样一条用户信息：“姓名：XXX；手机号：XXX；年龄：36；工作地点：上海市携程大厦；性别：男；职位：测试工程师；爱好：羽毛球；月薪：15000元”。其中的“姓名”、“手机号”等 PII已经被隐藏。不过，如果此用户的一个朋友看到这条记录，根据“年龄、工作地点、性别、职位、爱好”这些非PII的组合，还是很容易得知是谁的信息，从而也就得到了“月薪”这一隐私信息。

　　在上面的例子里，“年龄、工作地点、性别、职位、爱好”这组信息虽然单独看来都无法确定一个人，但组合在一起有可能让熟人确定出对应的人，这样的信息称为“Quasi-Identifier”。由于有这样的Quasi-Identifier的存在，即使没有提供PII，仍然存在比较高的隐私泄露风险，这一点希望引起大家的注意。

　　有没有什么办法能够降低这一挑战带来的风险呢？简单的思路