グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない

今回は「グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない」についてご紹介します。

関連ワード （Cookie、Google、イギリス、プライバシー、広告、競争・市場庁 / CMA等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

大きな決定だ。Google（グーグル）がサードパーティークッキーのサポート終了に向けて動く中、英国の競争規制当局はこれを阻止できるサイドブレーキを手にする模様だ。Cookieは現在オンライン上のターゲティング広告に使用されているテクノロジーで、進行中の廃止計画によって競争に悪影響が及ぶとされている。

今回の出来事は、Google独自の「プライバシーサンドボックス」について、2021年初めに競争・市場庁（CMA）が行った調査を受けてのものだ。

規制当局は、GoogleがChrome（クローム）上でサポートしているCookieを削除しようとした場合に、少なくとも60日間この動きを停止するよう命じる権限を持つことになる。そのためには、規制当局はGoogleが提示した法的拘束力のあるいくつかの契約に同意する必要があるが、当局は現地時間6月11日、契約に応じる意思を示す通知を発表した。

また、Googleにトラッキングクッキーの廃止を停止するよう命じた段階で状況が思わしくない場合、競争・市場庁は全面的な調査を再開することもできるという。

その上、競争に悪影響を及ぼさない形でGoogleの「プライバシーサンドバッグ」テクノロジーに移行することはできないと規制当局が判断した場合、規制当局はこの広範なテクノロジーの移行を全面的にブロックする権限も有する。しかし、競争・市場庁は本日の発表で、競争に関するこの計画の懸念点はGoogleが提示した一連の契約によって暫定的に解消されたとの見方を示している。

現在は協議委員会が設けられ、業界が同意するかどうかのフィードバックを7月8日まで受け付けている。

競争・市場庁のAndrea Coscelli（アンドレア・コシェリ）主席常任委員は、声明で次のようにコメントしている。

Googleをはじめとする巨大なテクノロジー企業の台頭により、世界各国の競合規制当局は新しいアプローチを必要とする新たな課題に直面している。

そのため、競争・市場庁は世界をけん引して強大なテクノロジー企業と連携し、消費者の利益のためにこれら企業の行動を方向づけ、競争を保護する取り組みを進めている。

Googleから受け取った契約に同意した場合、これらの契約には法的拘束力が生じるため、デジタル市場での競争を促進し、ユーザーのプライバシーを保護しながら、広告を通じてオンライン上のパブリッシャーが売上を確保する権利を保護する助けとなるだろう。

Googleが契約内容を概説したブログ記事には「Consultation and collaboration（話し合いとコラボレーション）」「No data advantage for Google advertising products（Googleの広告製品にデータのアドバンテージはなし）」、そして「No self-preferencing（自社に対するひいきはなし）」という3つの大筋の副見出しが並んでいる。この記事の中で、Googleは競争・市場庁が契約に同意した場合はこれを「世界中で適用する」としており、英国の介入を顕著に示すことになる。

英国のEU離脱によって生じた少々意外な変化の1つは、世界のデジタル広告の規則に関して英国が主な決定を下す立場となった点だろう（欧州連合も大手プラットフォームの運営に関する新しい規則の制定に動いているが、プライバシーサンドボックスに対する競争・市場庁の介入に匹敵するほどの動きは、まだ欧州連合本部からは見られていない）。

Googleが英国の競争介入を世界的に適用するとした決定は、非常に興味深いものだ。もしかすると、競争・市場庁を世界の模範のように見せることで、当庁に提示内容を承諾してもらおうというごますり的な要素もあるのかもしれない。

同時に、ビジネスが求めるのは運営の確実さだ。Googleが（そこそこ）大きな英国市場で認められる規則を最終的にまとめられるのであれば、英国内の監督機関と共同で規則を策定し、それを世界中に展開する形となるため、これは将来他の規制当局が強制措置を取るような事態を回避する近道となる可能性がある。

そのため、Googleは今回の件について、アドテック事業をポストCookieの未来へ移行させる上での、よりスムーズな道のりと捉えているのかもしれない。もちろん、全面的な停止を命じられる事態を避けたいという思いもあるだろう（いや、どうだろうか？どちらの結果でも、Googleにはプラスとなるだろう）。

This is a clear win for Google — they can now credibly say that they are unable to phase out third-party cookies. Because the regulator is not agreeing to this! The reasoning goes: so Google wants to introduce a « replacement ». Do you see what just happened? Tech policy/PR! https://t.co/8ZvvAfo37R

— Lukasz Olejnik (@lukOlejnik) June 11, 2021

さらに広く見れば、テンポの速い英国の規制当局と連携することは、Googleにとって政治的なこう着状態やリスクを回避するための戦略とも考えられる。実際、他の市場ではデジタル規制に関する議論でこのような事態が見られているからだ（特に本拠地の米国では、巨大なテクノロジー企業を解体しようとする声が大きくなっている他、実際にGoogleは現在独占禁止法に基づく調査を複数受けている）。

関連記事
・グーグルの「独占力」を非難する米国35州が新たな反トラスト法訴訟を提起
・グーグルに対する司法省の反トラスト訴訟は公判開始が2023年にずれ込む

Googleが求めているのは、規制当局の認可を受けた「準拠」のハンコをもらい、自社が築いた広告の帝国を解体する必要はないと証拠で示すことなのかもしれない（あるいは、プライバシー重視の変更を行ってはいけないと規制当局から命令を受けることかもしれない）。

Googleが提示した契約からは、巨大テクノロジー企業の力に立ち向かおうと最もスピーディーに動いた規制当局が、世界中のウェブユーザーに適用される基準と条件の定義づけを支援する立場となることが如実に表れている。少なくとも、より極端な介入が巨大テクノロジーになされない限りはそうだろう。

プライバシーサンドボックスは、（ユーザーのプライバシー面で最悪という見方の多い）現行の広告トラッキング手法を代替インフラストラクチャに置き換えるものとして提案されたインターロッキング技術の集合体だ。Googleはこれについて、個人のプライバシー保護の観点ではるかにすぐれていながら、アドテック業界やパブリッシング業界が（Google曰く、今までとほぼ同じように）ウェブユーザーのコーホート（オンラインで閲覧するコンテンツに基づいて「似た興味関心のボックス」別に分類）ごとにターゲティング広告を表示させることで、収益を生み出せるインフラストラクチャだという。

関連記事：グーグルはCookieに代わるターゲット方式による広告収入はほぼ変わらないと主張するもプライバシー面は不透明

本提案（これには、Googleが提案する、協調機械学習により生成されたコーホートに基づいた新しい広告IDのFLoCや、Turtledoveを拡張したGoogleの新しい広告提供テクノロジー、Fledgeなどが含まれている）の完全な詳細は、まだ確定されていない。

とはいえ、Googleは2020年1月の時点で、2年以内にサードパーティークッキーのサポートを終了するつもりであることを発表しているため、この厳しいタイムフレームが反対の声を呼び寄せたと思われる。アドテック業界や（いくつかの）パブリッシャーからは、業界レベルの広告ターゲティングが失われると広告の収益に甚大な被害が及ぶおそれがあるとして抵抗の声が上がっている。

競争・市場庁は、Googleが考案した新しいインフラストラクチャへの移行はGoogleの市場権力を増大させるものにすぎないと苦情が上がったことを踏まえ、Googleが計画しているトラッキングクッキーの廃止について調査を開始した。これらの苦情では、サードパーティーが広告ターゲティング用にインターネットユーザーを追跡できないようサードパーティーを締め出しておきながら、Googleは（消費者ウェブサービスを独占しているため）膨大なファーストパーティーデータにアクセスでき、オンラインでのユーザーの挙動を高レベルで把握できるという点が指摘された。

競争・市場庁が本日発表した通知書のエグゼクティブサマリーには、規制当局による適切な監督がない場合、プライバシーサンドボックスが以下の影響を生じさせる可能性があると懸念が示されている。

一方、インターネットユーザーへの広告トラッキングやターゲティングに対するプライバシー面での懸念から、Googleは間違いなくクローム（当たり前だが、ウェブブラウザの市場シェアを独占している）を一新するよう圧力を受けている。他のウェブブラウザが何年もの間トラッカーをブロックするなどしてユーザーをオンライン監視の目から保護する取り組みを自発的にしていることも、この圧力の理由だ。

ウェブユーザーは、不快な広告を非常に嫌がる。彼らがこぞって広告ブロッカーを使うのもそのためだ。データにまつわる数えきれないほどの大スキャンダルも、プライバシーやセキュリティに関する認知度を高めてきた。その上、ヨーロッパをはじめとする国では、ここ数年の間にデジタルプライバシー規制が強化されたり、新たに導入されたりしている。つまり、広告事業がオンラインで行うアクションの「許容ライン」が変わってきているということだ。

しかし、ここでの主な問題は、プライバシーと競争規制がどのように互いに作用（あるいは衝突）するかという点だ。考えが足りず、切れ味の鈍い状態で競争介入が行われた場合、ウェブユーザーのプライバシー侵害を根本的に固定化させてしまうリスクはその顕著な例である。つまり、オンラインプライバシー規制の実施が緩やかな場合、インターネットユーザーに対して同意のない過剰な広告トラッキングやターゲティングを行う事業が利益を拡大する事態を許容することになり、本来の目的が失われてしまうということである。

禁止令発令の権力を振りかざす競争規制当局と、緩やかなプライバシー規制の実施というコンビネーションは、ウェブユーザーの権利を保護する上で理想的とは言えないだろう。

一方、この状況を楽観視するには注意が必要だ。

先月、競争・市場庁と英国個人情報保護監督機関（ICO）は共同声明を発表し、デジタル市場における競争とデータの保護の重要性について述べたが、ここで競争・市場庁によるGoogleプライバシーサンドボックスの調査が、きめ細かな共同作業を必要とするケースの好例として取り上げられているのだ。

共同声明の内容はこうだ。「競争・市場庁と英国個人情報保護監督機関は、Googleやその他の市場参入者と連携してGoogleの提案に関する共通理解を醸成するとともに、提案の詳細が明らかになる過程でプライバシーと競争に関する懸念を払拭できるよう徹底的に取り組む」。

英国個人情報保護監督機関が過去に権利を踏みにじるアドテックに対して実施した措置は、はっきりいうと存在しない。当機関がアドテック業界のロビー活動に対して規制の不履行を選ぶ傾向にあることを踏まえると、英国のプライバシーおよび競争を監督する規制当局が「共同作業」すると述べた事実は、ほんの小さな楽観的要素も打ち消す力があるだろう。

（対して競争・市場庁は英国のEU離脱後に今までより大きな調査権限を手にして以来、デジタル領域に関して非常に積極的に取り組んでいる。ここ数年の間にデジタル広告市場の競争実態が明らかになってきたこともあり、当庁が有する知識は膨大だ。また、当庁は競争重視の制度を監督する新たな機関の立ち上げも進めており、英国はこの機関を通じて大手テック企業の行動を制限する意思を明言している）

関連記事
・英国、新型コロナ危機で広告業界に対するプライバシー侵害調査を一時見合わせ
・英国の競争監視当局はフェイスブックのGIPHY買収を未だ検討中、2021年3月末に進展か
・英国でテック大企業を監視する新部署「DMU」発足、デジタル分野の競争を促進
・英国は大手テック企業を規制するにあたり画一的なアプローチを採用しない方針

競争・市場庁はGoogleがプライバシーサンドボックスについて「大規模かつ幅広い」契約を提示したとし、その一部として以下を開示している。

Googleはこのようにも述べている。「この過程で、私たちは競争・市場庁や業界とオープンかつ建設的で継続的な対話を続けていきます。その一環として、競争・市場庁および広範なエコシステムに対し、プライバシーサンドボックス案の開発に関するタイムライン、変更、および試験について積極的に情報を共有し、今まで行ってきた透明性確保のアプローチを踏襲していきます」。

Googleの声明はこのように続く。「競争・市場庁が英国個人情報保護監督機関から直接意見を取り入れる過程で、Googleは競争・市場庁と協力し、新しい提案に関する懸念事項を解消するとともに、試験に用いる評価基準を共同で策定していきます」。

Googleの契約は、競争に直接関連する複数の領域を網羅している。自社へのひいきや、差別撤廃、さらにはサードパーティーと比較して自社のアドバンテージになる可能性のある特定のソースからはユーザーデータを組み合わせないといった規定だ。

一方、競争に関する検討事項の中にはプライバシーも明示的に織り込まれており、競争・市場庁はこれらの契約によって（私たち側に）以下が実現されると述べている。

Googleの提案を計画、実施、および評価する際に考慮に入れる基準を策定する。これは、プライバシーサンドボックス案に関する以下の影響を含めた基準とする。データ保護の原則と照らし合わせた際のプライバシー保護の実態とコンプライアンス。デジタル広告における競争と、とりわけGoogleとその他の市場参入者との競争のゆがみが生じるリスク。パブリッシャーが広告インベントリから収益を生み出す可能性。ユーザーエクスペリエンスとユーザーデータの使用に関する管理権。

英国個人情報保護監督機関の報道官はまた、競争・市場庁の介入を受けてGoogleから受け取った契約のうち、最初に受け取ったものの1つが「プライバシーおよびデータの保護に注力したもの」だったとしきりに述べている。

声明の中で、データ規制当局は次のように補足している。

私たちが受け取った契約は、プライバシーサンドボックス案の評価に際する重要な節目と言える。これらの契約からわかるのは、デジタル市場における消費者の権利を最もよい形で守るには競争とプライバシーの両分野を合わせて考慮する必要があるということだ。

競争・市場庁との最近の共同声明で概説したように、私たちは消費者のデータを合法的かつ責任を持って使用し、デジタルイノベーションと競争を促進することが消費者の利益になると確信している。私たちは引き続き競争・市場庁との建設的かつ密接な関係を強化し、提案を評価する過程で消費者の権益を確実に保護していく。

競争・市場庁の調査に関するこの進展は大小さまざまな疑問を呼んでいるが、そのほとんどは将来の主要ウェブインフラストラクチャについて、またGoogleと英国の規制機関との間でまとめられた変更事項が、世界中のインターネットユーザーにどのような影響を及ぼすのかという疑問だ。

ここでのカギとなる問題は、1つの巨大テクノロジー企業が消費者向けデジタルサービスとアドテックの両業界を複占していることで生じた市場権力の不均衡を修正する上で、監督機関との「共同策定」が本当に最適な方法なのかという点である。

また別の人は、Googleと消費者向けテクノロジーとGoogleのアドテックを解体する他権力乱用を修正する方法はない、それ以外の方法は非常に何もしないのと同じだ、というだろう。

例えばGoogleは、実施前の議論や微調整がいくらあったとしても、結局は変更事項の提案そのものを統括する立場にある。結局船を操縦しているのはGoogleのため、オープンウェブに関してこのような管理モデルを導入するのは許容できないと考える人は山ほど存在している。

しかし競争・市場庁は、せめて今のところはGoogleに全面的に任せたいようだ。

と同時に、注目すべきなのは英国政府と競争・市場庁がより広範な競争重視制度を打ち出そうと動いていることだ。これはGoogleやその他の巨大プラットフォームの今後の運営方法について、より大規模な調査の実施につながるかもしれない。さらなる調査の発生は、まず確実だろう。

とはいえ、今のところGoogleは英国の規制当局と協力状態にあることに喜んでいるようだ。Googleが思いのままに（あるいはしかたなく）細かな変更を重ね、監督機関の気を紛らわせることができるのなら、事業解体を命じられる（実際、競争・市場庁は以前解体に関する意見を募集している）よりも、Googleははるかに安心して状況を見渡せるだろう。

私たちは、Googleに対しプライバシーサンドボックス契約に関するいくつかの質問を提出した（更新：以下にいくつかの回答を記載）。

英国インターネット広告局（IAB）のCEOであるJon Mew（ジョン・ミュー）氏は、進展を受けて発表した声明の中で次のように述べている。

インターネット広告局は、サードパーティークッキーの段階廃止について、広告で賄われるウェブを根本的に改善する機会だと以前から明白に述べてきたため、今回一般的なユーザーIDソリューションすべてが遵守すべきと考える明確な原則を策定した。私は、プライバシーサンドボックスに関する競争・市場庁の調査、加えて競争に与えかねない影響の懸念事項を対処するためのGoogleの契約は、この過程において重要かつ価値のある動きと考える。

これらの契約により、幅広い業界がGoogleの提案について、競争とプライバシーの両面での方針を考慮に入れ、競争・市場庁による規制監督を経て策定されているとの確信を得ることができる。サードパーティークッキーの段階廃止はデジタル広告業界が経験してきた変化の中で最も重大なものであり、この分野における計画が適切な精査を受けるべきなのは当然である。

私たちの質問を受け、Googleからいくつかの追加の背景情報を得ることができた。これらの補足では、Googleはプライバシーサンドボックスのいかなる「共同設計」の提案も拒否すること、そしてこの契約はあくまで競争・市場庁による監督と当庁との連携に関するものだとしている。とはいえ、これはGoogleの屁理屈に過ぎないかもしれない。

Googleはまた、提示した（設計および試験に関する）契約にはプライバシーサンドボックスで提案されているすべてのテクノロジーが記載されていることを認めている。つまり、これは明らかにトラッキングクッキーに限定された契約ではなく、それを置き換える（あるいは置き換えない）すべてのテクノロジーに適用されるということだ。

さらに、Googleはこの契約が正式に合意に至った場合、英国の競争・市場庁に対する契約を世界的に適用すると認めている。

競争・市場庁がトラッキングクッキーを廃止してはいけないと命令した場合、代替案はあるのか、あるいはそうした命令はそのままプライバシーサンドボックスの死を意味するのかという質問に対しては、Googleは明言を避けた。

しかしながら、Googleはプライバシーに関するユーザーの期待に応えなければウェブを危険にさらしてしまうと確信していること、そしてプライバシーサンドボックスプロジェクトの進行に向けて全力で取り組んでいくことを約束した他、競争・市場庁との連携が、移行計画に関する業界の懸念を和らげる助けとなることを願うと述べている。

また、競争・市場庁の議論の結果を待って作業を中断するのではなく、今後もプロジェクトの進行を続けていくとしている。

ただし、規制当局による介入によってプライバシーサンドボックスの本来の実装タイムラインに（遅延などの）変更が生じているかという質問に対しては、回答が拒否された。

プライバシーサンドボックスの管理モデルについて、またGoogleがウェブインフラストラクチャのこれほど核となる部分を再設計するのは公平かどうかという質問については、Googleはワールド・ワイド・ウェブ・コンソーシアム（W3C）などのフォーラムを通じ、業界と連携して進めていると主張した。

しかし、ワールド・ワイド・ウェブ・コンソーシアムグループには、Googleの決定に影響を及ぼす力はない。そのため、実際にはGoogleがオンライン業界全体に適用される大規模な再設計を一方的に進めていながら「見せかけのコラボレーション」を行っているのではないかという懸念が一部で上がっているのだ。そして、英国の規制当局を提案の議論に引き込み、アウトリーチを広げる目的で連携を進めていながらも、提案と決定権を持っているのは結局のところGoogleである。

管理面については、独立した立場にあるプライバシーおよびサイバーセキュリティ研究員・コンサルタントのLukasz Olejnik（ルカス・オレイニク）博士（プライバシー保護システムの管理についての著書あり）からTechCrunchに次のような所見が寄せられた。「Googleは確かに最善を尽くしてコラボレーションを進め、さまざまな関係者からの意見を聞こうとしているようだ。例えば、ワールド・ワイド・ウェブ・コンソーシアムグループの会場ではこのような場面が見られている。プライバシーサンドボックスに関する管理モデルがあるのかどうか、現時点でははっきりとは分からないが、私には存在しないように思われる。ここでの問題点は、契約の細かな点だ」。

「問題なのは、実装された変更や修正に関して同意する際のプロセスがなければならないという点だ。ふさわしい提案が出されたとして、それが本当に実装される保証はあるだろうか。また、提案に関する今後の維持管理や開発がどうなるのかも不透明だ。これを正当化していいのだろうか」。

「当然、Googleは自社のみが一方的に決定を下せるとは主張しない。その真偽についても、おそらく議論したくはないだろう。私が提案するのは、ユーザーやパブリッシャー、ユーザーエージェント、広告主、そしてプライバシーに関する専門家および研究員といった関係者から意見を受け付けたり、それを代表したりする準公式の管理構造だ。プライバシーを保護する広告システムの導入は今回が初めての試みとなるため、将来にも対応できるシステムにすることが重要だろう」。

他にも、TechCrunchはGoogleに対し、プライバシーサンドボックス案の広告配信について、そして提案されたアーキテクチャがどのようにユーザーのプライバシーを保護すると確信しているかについて伺った。

Googleからは詳しい回答は得られなかったが、トラッキングクッキーを使用した現行のシステム（個人レベルでのターゲティング）と比べ、タートルダヴ案ではプライバシー保護を強化できるとの示唆があった。タートルダヴでは、広告主が1つまたは複数の興味関心グループに基づいて広告を配信し、興味関心グループをユーザーのその他の情報とは組み合わせない仕組みとなっている。

また、この提案で述べられたフレッジはタートルダヴを基盤としており、信頼できるサードパーティーサーバーを導入することで、ブラウザ内に情報を保管することへの懸念に対応するとしている。

Googleは、プライバシーサンドボックスに関して競争・市場庁と協力する過程で、両方のテクノロジー提案の開発および試験についても積極的に連携していくとし、この過程で競争規制当局が英国個人情報保護監督機関から直接意見を取り入れることを補足した。つまり、繰り返しになるが、英国の規制当局は変更案が議論される際にはテーブルの最前列を確保できるということだ。

その上で、提示した契約が市場を安心させる大きな一歩であるとの確信が述べられている。

この「コラボレーション」がプライバシーサンドボックスの「競争重視」の面を促進しながらもユーザーのプライバシーを悪化させることになるのか、今後に注目だ。

そうなれば、競争・市場庁と英国個人情報保護監督機関が主張する（「プライバシーと競争に関する懸念を払拭」するための）共同作業は大きな失敗となってしまう。とはいえ、壮絶なロビー活動を行うアドテックの影響力を前に、ユーザーの権利が今までことごとくプライバシー規制当局に無視されてきたのは事実だ。

それでも、競争規制当局をこの議論に引き入れようとしていることから、アドテック企業は少なくとも主要な問題においては規制当局による措置を実行に移すかもしれない。ヨーロッパの他の地域では、プライバシーの侵害は競争の問題ともみなされている。どのような結末を望むのか、決定には注意が必要だ。

画像クレジット：Tekke / Flickr under a CC BY-ND 2.0 license.

【原文】

Well this is big. The U.K.’s competition regulator looks set to get an emergency brake that will allow it to stop Google ending support for third-party cookies, a technology that’s currently used for targeting online ads, if it believes competition would be harmed by the depreciation going ahead.

The development follows an investigation opened by the Competition and Markets Authority (CMA) into Google’s self-styled “Privacy Sandbox” earlier this year.

The regulator will have the power to order a standstill of at least 60 days on any move by Google to remove support for cookies from Chrome if it accepts a set of legally binding commitments the latter has offered — and which the regulator has today issued a notification of intention to accept.

The CMA could also reopen a fuller investigation if it’s not happy with how things are looking at the point it orders any standstill to stop Google crushing tracking cookies.

It follows that the watchdog could also block Google’s wider “Privacy Sandbox” technology transition entirely — if it decides the shift cannot be done in a way that doesn’t harm competition. However, the CMA said today it takes the “provisional” view that the set of commitments Google has offered will address competition concerns related to its proposals.

It’s now opened a consultation to see if the industry agrees — with the feedback line open until July 8.

Commenting in a statement, Andrea Coscelli, the CMA’s chief executive, said:

The emergence of tech giants such as Google has presented competition authorities around the world with new challenges that require a new approach.

That’s why the CMA is taking a leading role in setting out how we can work with the most powerful tech firms to shape their behaviour and protect competition to the benefit of consumers.

If accepted, the commitments we have obtained from Google become legally binding, promoting competition in digital markets, helping to protect the ability of online publishers to raise money through advertising and safeguarding users’ privacy.

In a blog post sketching what it’s pledged — under three broad headlines of “Consultation and collaboration”; “No data advertising advantage for Google products”; and “No self-preferencing” — Google writes that if the CMA accepts its commitments it will “apply them globally”, making the U.K.’s intervention potentially hugely significant.

It’s perhaps one slightly unexpected twist of Brexit that it’s put the U.K. in a position to be taking key decisions about the rules for global digital advertising. (The European Union is also working on new rules for how platform giants can operate but the CMA’s intervention on Privacy Sandbox does not yet have a direct equivalent in Brussels.)

That Google is choosing to offer to turn a U.K. competition intervention into a global commitment is itself very interesting. It may be there in part as an added sweetener — nudging the CMA to accept the offer so it can feel like a global standard-setter.

At the same time, businesses do love operational certainty. So if Google can hash out a set of rules that are accepted by one (fairly) major market, because they’ve been co-designed with national oversight bodies, and then scale those rules everywhere, it may create a shortcut path to avoiding any more regulator-enforced bumps in the future.

So Google may see this as a smoother path toward the sought-for transition for its adtech business to a post-cookie future. Of course it also wants to avoid being ordered to stop entirely (or, well, maybe not! Either outcome would surely work for Google).

More broadly, engaging with the fast-paced U.K. regulator could be a strategy for Google to try to surf over the political deadlocks and risks which can characterize discussions on digital regulation in other markets (especially its home turf of the U.S. — where there has been a growing drumbeat of calls to break up tech giants; and where Google specifically now faces a number of antitrust investigations).

The outcome it may be hoping for is being able to point to regulator-stamped “compliance” — in order that it can claim it as evidence there’s no need for its ad empire to be broken up. (Or to have a regulator order that it can’t make privacy-centric changes.)

Google’s offering of commitments also signifies that regulators who move fastest to tackle the power of tech giants will be the ones helping to define and set the standards and conditions that apply for web users everywhere. At least — unless or until — more radical interventions rain down on big tech.

What is Privacy Sandbox?

Privacy Sandbox is a complex stack of interlocking technology proposals for replacing current ad tracking methods (which are widely seen as horrible for user privacy) with alternative infrastructure that Google claims will be better for individual privacy and also still allow the adtech and publishing industries to generate (it claims much the same) revenue by targeting ads at cohorts of web users — who will be put into “interest buckets” based on what they look at online.

The full details of the proposals (which include components like FLoCs, aka Google’s proposed new ad ID based on federated learning of cohorts, and Fledge/Turtledove, Google’s suggested new ad delivery technology) have not yet been set in stone.

Nonetheless, Google announced in January 2020 that it intended to end support for third-party cookies within two years — so that rather nippy time frame has likely concentrated opposition, with pushback coming from the adtech industry and (some) publishers that are concerned it will have a major impact on their ad revenues when individual-level ad targeting goes away.

The CMA began to look into Google’s planned depreciating of tracking cookies after complaints that the transition to a new infrastructure of Google’s devising will merely increase Google’s market power — by locking down third parties’ ability to track internet users for ad targeting while leaving Google with a high dimension view of what people get up to online as a result of its expansive access to first-party data (gleaned through its dominance for consumer web services).

The executive summary of today’s CMA notice lists its concerns that, without proper regulatory oversight, Privacy Sandbox might:

At the same time, privacy concerns around the ad tracking and targeting of internet users are undoubtedly putting pressure on Google to retool Chrome (which ofc dominates web browser market share) — given that other web browsers have been stepping up efforts to protect their users from online surveillance by doing stuff like blocking trackers for years.

Web users hate creepy ads — which is why they’ve been turning to ad blockers in droves. Numerous major data scandals have also increased awareness of privacy and security. And — in Europe and elsewhere — digital privacy regulations have been toughened up or introduced in recent years. So the line of “what’s acceptable” for ad businesses to do online has been shifting.

But the key issue here is how privacy and competition regulation interacts — and potentially conflicts — with the very salient risk that ill-thought-through and overly blunt competition interventions could essentially lock in privacy abuses of web users (as a result of a legacy of weak enforcement around online privacy, which allowed for rampant, consent-less ad tracking and targeting of Internet users to develop and thrive in the first place).

Poor privacy enforcement coupled with banhammer-wielding competition regulators does not look like a good recipe for protecting web users’ rights.

However. there is cautious reason for optimism here.

Last month the CMA and the U.K.’s Information Commissioner’s Office (ICO) issued a joint statement in which they discussed the importance of having competition and data protection in digital markets — citing the CMA’s Google Privacy Sandbox probe as a good example of a case that requires nuanced joint working.

Or, as they put it then: “The CMA and the ICO are working collaboratively in their engagement with Google and other market participants to build a common understanding of Google’s proposals, and to ensure that both privacy and competition concerns can be addressed as the proposals are developed in more detail.”

Although the ICO’s record on enforcement against rights-trampling adtech is, well, non-existent. So its preference for regulatory inaction in the face of adtech industry lobbying should off-set any quantum of optimism derived from the bald fact of the U.K.’s privacy and competition regulators’ “joint working”.

(The CMA, by contrast, has been very active in the digital space since gaining, post-Brexit, wider powers to pursue investigations. And in recent years took a deep dive look at competition in the digital ad market, so it’s armed with plenty of knowledge. It is also in the process of configuring a new unit that will oversee a pro-competition regime which the U.K. explicitly wants to clip the wings of big tech.)

What has Google committed to?

The CMA writes that Google has made “substantial and wide-ranging” commitments vis-à-vis Privacy Sandbox — which it says include:

Google also writes that: “Throughout this process, we will engage the CMA and the industry in an open, constructive and continuous dialogue. This includes proactively informing both the CMA and the wider ecosystem of timelines, changes and tests during the development of the Privacy Sandbox proposals, building on our transparent approach to date.”

“We will work with the CMA to resolve concerns and develop agreed parameters for the testing of new proposals, while the CMA will be getting direct input from the ICO,” it adds.

Google’s commitments cover a number of areas directly related to competition — such as self-preferencing, non-discrimination and stipulations that it will not combine user data from specific sources that might give it an advantage versus third parties.

However privacy is also being explicitly baked into the competition consideration, here, per the CMA — which writes that the commitments will [emphasis ours]:

An ICO spokeswoman was also keen to point out that one of the first commitments obtained from Google under the CMA’s intervention “focuses on privacy and data protection”.

In a statement, the data watchdog added:

The commitments obtained mark a significant moment in the assessment of the Privacy Sandbox proposals. They demonstrate that consumer rights in digital markets are best protected when competition and privacy are considered together.

As we outlined in our recent joint statement with the CMA, we believe consumers benefit when their data is used lawfully and responsibly, and digital innovation and competition are supported. We are continuing to build upon our positive and close relationship with the CMA, to ensure that consumer interests are protected as we assess the proposals.

This development in the CMA’s investigation raises plenty of questions, large and small — most pressingly over the future of key web infrastructure and what the changes being hashed out here between Google and U.K. regulators might mean for internet users everywhere.

The really big issue is whether “co-design” with oversight bodies is the best way to fix the market power imbalance flowing from a single tech giant being able to combine massive dominance in consumer digital services with duopoly dominance in adtech.

Others would say that breaking up Google’s consumer tech and Google’s adtech is the only way to fix the abuse — and everything else is just fiddling while Rome burns.

Google, for instance, is still in charge of proposing the changes itself — regardless of how much pre-implementation consultation and tweaking goes on. It’s still steering the ship and there are plenty of people who believe that’s not an acceptable governance model for the open web.

But, for now at least, the CMA wants to try to fiddle.

It should be noted that, in parallel, the U.K. government and CMA are speccing out a wider pro-competition regime that could result in deeper interventions into how Google and other platform giants operate in the future. So more interventions are all but guaranteed.

For now, though, Google is probably feeling pretty happy for the opportunity to work with U.K. regulators. If it can pull oversight bodies deep down in the detail of the changes it wants to (or feels it has to) make that’s likely a far more comfortable spot for Mountain View versus being served with an order to break its business up — something the CMA has previously taken feedback on.

Google has been contacted with questions on its Privacy Sandbox commitments. (Update: see below for some responses.)

In a statement responding to the development, the Internet Advertising Bureau (IAB) UK’s CEO Jon Mew, said:

“At the IAB, we have always been really clear that the phasing out of third-party cookies is an opportunity to reset the ad-funded web for the better, which is why we have laid out clear principles that we believe any viable User ID solutions must meet. I think that the CMA’s investigation into Privacy Sandbox and Google’s commitments to address its concerns about the potential impact on competition are an important and valuable part of this process.

“The commitments allow the wider industry to have confidence that Google’s proposals are being developed in a way that takes into account both competition and privacy objectives, with the benefit of regulatory oversight brought by the CMA. The phasing out of third-party cookies is the most seismic shift that the digital ad industry has ever experienced and it’s only right that developments in this space are subject to appropriate scrutiny.”

Some wider questions

In response to our questions, Google has now sent some additional background information. Via these additional remarks the company resists the suggestion that there will be any “co-designing” of Privacy Sandbox under the proposed commitments, saying rather that this is about oversight from and collaboration with the CMA. But, well, that might just be Google seeking to split hairs.

It confirmed the commitments it’s offered (around design and testing) cover all the proposed technologies in the Privacy Sandbox. So this definitely isn’t just about tracking cookies — and will apply to whatever may (or may not) replace them.

Google also affirmed that — if formally accepted — it would apply commitments made to the U.K.’s CMA globally.

Asked whether it has an alternative/s in mind, if the CMA orders that it can’t depreciate tracking cookies — or whether such an order would essentially mean Privacy Sandbox is dead — Google declined to speculate.

But it also said it believes the web is at risk if it doesn’t keep up with users’ expectations around privacy, claiming it’s strongly committed to the Privacy Sandbox project and adding that it’s hopeful the engagement with the CMA will help alleviate industry concerns about the planned transition.

It also told us it will be continuing to work on the project — rather than halting work to wait for the outcome of the CMA’s consultation.

But it declined to provide a response when asked if it sees any implications (e.g. a delay) for the original timeline for implementing Privacy Sandbox as a result of the regulator’s intervention.

Asked about the governance model for Privacy Sandbox — and whether it’s fair that Google is the entity redesigning such a core piece of web infrastructure — it argued it’s doing this collaboratively with the industry via fora such as the W3C.

However W3C groups don’t have leverage over Google’s decisions. So the concern for some is that Google is engaging in what amounts to a “theatre of collaboration” — providing cover as it unilaterally conducts a major retooling with implications for entire online industries. And while it is being made to widen its outreach now — by looping U.K. regulators into proposal discussions — the proposals and decisions are still Google’s own.

Commenting on the governance point, Dr Lukasz Olejnik, an independent privacy and cybersecurity researcher and consultant who has written about the governance of privacy-preserving systems, told TechCrunch: “It seems that Google is certainly trying its best at collaborations and trying to hear the feedback from various parties. This happens, for example, within the W3C Group venue. It is not clear to me if at the present moment there is any governance model of the Privacy Sandbox. I would say there is none. And the devil here is in the details.

“The issue is, there has to be a way of agreeing to some changes or modifications being deployed. What are the guarantees that, assuming a good proposal is put forward, it is actually taken for implementation? Furthermore it is not clear how the future maintenance or development of the proposal stacks would look like. What is the legitimisation now?

“Google certainly cannot claim that they alone have a legitimate right to unilaterally take decisions. I don’t think they also want to argue that this is the case. I would suggest a semi-formal governance structure, that would accept feedback from, or represent, the actors involved — the users, the publishers, the user agents, the advertisers, and privacy experts or researchers. It’s the first time we see an attempt to deploy privacy-preserving ad systems, so it would be great to have it future-proofed.”

TechCrunch also asked Google about the ad serving component of the Privacy Sandbox proposals — and how Google believes its proposed architecture respects user privacy.

Google didn’t offer a lot of detail on this but it suggested the Turtledove proposal — i.e. that advertisers serve ads based on one or more interest groups without combining that interest group with other information about the user (e.g. who they are or what page they are visiting) — is more privacy-preserving than the current way of doing things with tracking cookies (i.e. individual level targeting).

It also suggested that the Fledge component of its proposal aims to build on Turtledove by proposing a trusted third-party server — to address concerns about information being stored in the browser.

Google confirmed it will be engaging proactively with the CMA about the design and testing of both technology proposals, as they sit within the Privacy Sandbox, further noting the competition watchdog will be getting direct input from the ICO during this process. So, again, U.K. regulators will now have a front row seat at the table where the proposed changes are being discussed.

And Google added that it believes its proposed commitments represent a significant step in reassuring the market.

Whether this “collaboration” results in tweaks to the Privacy Sandbox that are “pro-competition” but worse for people’s privacy remains to be seen.

It would be a massive failure of the CMA-ICO claims of joint working (“to ensure that both privacy and competition concerns can be addressed”) if so. But it’s fair to say that users’ rights have all too often been ignored by privacy regulators faced with the frenzied lobbying of adtech interests.

Still, in seeking to co-opt competition regulators to their cause, the adtech lobby may at least force a regulatory reckoning on a key issue. And, elsewhere in Europe, abuse of privacy is being seen as a competition concern too. So they should be careful what they wish for. 

This report was updated with additional comment and context 

（文：Natasha Lomas、翻訳：Dragonfly）