FLEDGE คือข้อเสนอ Privacy Sandbox เพื่อแสดงกรณีการใช้งานรีมาร์เก็ตติ้งและกลุ่มเป้าหมายที่กำหนดเอง ซึ่งออกแบบมาโดยมีจุดประสงค์เพื่อป้องกันไม่ให้บุคคลที่สามติดตามพฤติกรรมการท่องเว็บของผู้ใช้ในเว็บไซต์ต่างๆ เบราว์เซอร์จะป้องกันการกำหนดเป้าหมายแบบไมโครโดยแสดงโฆษณาเฉพาะในกรณีที่มีการแสดง URL การแสดงผลเดียวกันต่อผู้ใช้จํานวนมากพอ เราจะกำหนดให้ผู้ใช้ 50 คนต่อครีเอทีฟโฆษณาในช่วง 7 วันที่ผ่านมาเพื่อให้แสดงผลโฆษณาได้ นอกจากนี้ ยังช่วยปกป้องผู้ใช้จากการติดตามข้ามเว็บไซต์ด้วยการป้องกันการรายงาน URL ที่แสดงผลซึ่งไม่เป็นไปตามเกณฑ์ขั้นต่ำ
การปกป้องนี้เรียกว่า "การลบข้อมูลระบุตัวบุคคลบางส่วน" (𝑘-anonymity) และเปิดใช้โดยเซิร์ฟเวอร์ส่วนกลางที่ Google เป็นผู้ดำเนินการซึ่งจะเก็บจำนวนข้อมูลทั่วโลก เมื่อครีเอทีฟโฆษณามีคุณสมบัติตรงตามเกณฑ์ขั้นต่ำ ระบบจะอนุญาตให้แสดงผลต่อผู้ใช้ ดูรายละเอียดเพิ่มเติมเกี่ยวกับเกณฑ์ 𝑘 และการออกแบบบริการการลบข้อมูลระบุตัวบุคคล 𝑘 ภายใน FLEDGE ได้ที่คำอธิบาย
แม้ว่าบริการการลบข้อมูลระบุตัวบุคคลได้ 𝑘 รายการจะมอบการปกป้องความเป็นส่วนตัวที่สำคัญ แต่ก็อาจเปิดเผยข้อมูลผู้ใช้ที่มีความละเอียดอ่อนต่อเซิร์ฟเวอร์ส่วนกลางนี้ด้วย เช่น ที่อยู่ IP และสตริง User-Agent ของเบราว์เซอร์ ด้วยเหตุนี้ เราจึงปรับปรุงมาตรการความเป็นส่วนตัวของ Chrome โดยเป็นพาร์ทเนอร์กับ Fastly ซึ่งเป็นแพลตฟอร์ม Edge Cloud ที่ให้บริการนำส่งเนื้อหา การเคานต์ดาวน์ การรักษาความปลอดภัย และความสามารถในการสังเกตการณ์ เพื่อดำเนินการกับรีเลย์ HTTP แบบไม่ระบุตัวตน (รีเลย์ OHTTP) ซึ่งเป็นส่วนหนึ่งของเซิร์ฟเวอร์การลบข้อมูลระบุตัวตนตาม 𝑘 ของ FLEDGE
เมื่อมีการรีเลย์ข้อมูลผ่านรีเลย์ OHTTP เซิร์ฟเวอร์การลบข้อมูลระบุตัวบุคคลบางส่วนของ Google จะไม่รับที่อยู่ IP ของผู้ใช้ปลายทาง เซิร์ฟเวอร์การลบข้อมูลระบุตัวบุคคลได้ 𝑘 รายการเป็นขั้นตอนที่เพิ่มขึ้นเพื่อการติดตั้งใช้งาน FLEDGE อย่างเต็มรูปแบบ โปรดทราบว่าการดำเนินการนี้ไม่ส่งผลต่อที่อยู่ IP ที่แสดงต่อต้นทางของผู้เผยแพร่โฆษณาผ่านพฤติกรรมการท่องเว็บตามปกติ
เราร่วมมือกับ Fastly เพื่อดําเนินการทรัพยากรรีเลย์ในนามของเราเพื่อติดตั้งใช้งาน OHTTP เบราว์เซอร์ Chrome ของผู้ใช้จะส่งเพย์โหลดที่เข้ารหัสในเนื้อหาของข้อความ HTTP POST สำหรับเซิร์ฟเวอร์การไม่ระบุตัวตนแบบ 𝑘 ไปยังรีเลย์นี้ เบราว์เซอร์จะเข้ารหัสข้อความโดยใช้คีย์ที่ดึงมาจากเซิร์ฟเวอร์การไม่ระบุตัวตนแบบ 𝑘 โดยตรงในโดเมน Google โดยรีเลย์จะส่งต่อคําขอไปยังเกตเวย์ที่จะทํางานบนเซิร์ฟเวอร์ของ Google ดังนั้น รีเลย์จึงไม่เห็นเนื้อหาของคำขอ แต่ทราบที่อยู่ IP ของผู้ใช้ ในทางกลับกัน เซิร์ฟเวอร์ (และเกตเวย์) ที่ไม่ระบุตัวตนแบบ 𝑘 จะไม่ทราบว่าผู้ใช้เป็นใคร แต่สามารถดูเนื้อหาของคำขอได้
Google ตั้งใจที่จะดําเนินการเซิร์ฟเวอร์การลบข้อมูลระบุตัวบุคคล 𝑘-anonymity ในนามของผู้ใช้ Chrome ทุกคนที่ใช้ FLEDGE การตรวจสอบการลบข้อมูลระบุตัวบุคคล 𝑘-anonymity จะมีผลกับเทคโนโลยีโฆษณาของบุคคลที่สามทั้งหมดและบริการโฆษณาของ Google เอง ผู้ใช้คือบุคคลที่ได้รับประโยชน์จาก 𝑘-anonymity และเบราว์เซอร์คือซอฟต์แวร์ที่สามารถเลือกติดตั้งใช้งานและบังคับใช้
พร็อพเพอร์ตี้การรักษาความเป็นส่วนตัวของ FLEDGE มีผลกับ Google และระบบนิเวศโดยรวมอย่างเท่าเทียม ระบบจะเรียกใช้เซิร์ฟเวอร์นี้จาก Chrome โดยคาดว่าจะรองรับ Android ภายในปี 2023
รูปภาพโดย Ian Battaglia ใน Unsplash