个性化广告 | 欧盟的自动化程序广告即将迎来由GDPR引发的“震动”
编者按:
个人信息保护方面的一个重点和难点在于个性化广告,或者西方语境中所提到的行为定向广告(behavioral
targeting
advertising)。本公号持续对这个问题开展跟踪和分析。此系列的文章包括:
今天这篇文章提供了欧洲即将到来的对自动化程序广告的“疾风暴雨”的两份预告。一份来自于建立TCF框架的IAB欧洲。第二份来自于投诉方之一的爱尔兰公民自由委员会。
比利时数据保护局对IAB欧洲调查的最新情况
布鲁塞尔,2021年11月5日——比利时数据保护局(APD)通知IAB欧洲,其诉讼庭即将完成一项裁决草案,该草案将结束对IAB欧洲及其在透明与同意框架(TCF)中的作用的调查。根据GDPR规定的合作程序,该裁决草案预计将在未来2-3周内与其他数据保护机构(DPA)分享。这些DPA将有30天的时间来审查它。根据审查结果,APD可能会通过一项最终裁决,或将此事提交给欧洲数据保护委员会,以做出具有约束力的决定。
该裁决草案显然将确定IAB欧洲公司违反GDPR的行为,但它也将提出,这些违反行为应该能够在最终裁决发布后的六个月内得到补救,在这个过程中,APD将监督IAB欧洲执行商定的行动计划。
所谓的侵权行为是由APD对GDPR的特定解释造成的,如下所述。
该裁决草案预计将认定IAB欧洲是TCF框架中的"TC字符串"的数据控制者,这些数字信号是在网站上创建的,用于捕捉数据主体对其个人数据处理的选择,以用于数字广告、内容和测量。据了解,APD认为这些信号是个人数据。在OpenRTB的特定情况下,预计IAB欧洲也将成为TC Strings的共同控制者。
根据迄今为止其他DPA的指导,以及IAB欧洲不以任何方式处理、拥有或决定使用特定的TC字符串,以及相关的案例法和它自己对GDPR的解释,IAB欧洲不认为自己是TCF场景下的数据控制者。因此,它自然没有履行该条例规定的数据控制者应承担的某些义务。该裁决草案将要求IAB欧洲与APD合作,以确保这些义务在未来得到履行。
我们乐观地认为,在APD的监督下,行动计划的工作应使TCF作为GDPR跨国行为准则(CoC),并得到APD和欧洲数据保护委员会(EDPB)的批准。自2018年推出TCF以来,IAB欧洲一直积极将其发展为CoC,这一愿望得到了一些DPA的明确鼓励,但不得不搁置,等待本案的结果。
我们期待着合作程序的结果,并随时准备与APD和其他DPA合作,以支持数字广告行业的公司,确保他们完全遵守欧盟法律的要求。
追踪行业机构IAB欧洲被告知:其已经违反了GDPR,谷歌和其他科技公司使用的 "同意 "弹出窗口是非法的
谷歌和整个追踪行业都依赖IAB欧洲的同意系统,现在已经被认定为非法。
2021年11月5日,我们已经赢了。网络广告业及其行业机构"IAB欧洲"已被发现剥夺了数亿欧洲人的基本权利。
IAB欧洲设计了误导性的"同意"弹出窗口,几乎所有(80%以上)的欧洲网站和应用程序都使用了这样的弹窗。该系统被称为IAB欧洲的"透明度和同意框架"(TCF)。这些弹出式窗口声称让人们控制他们的数据如何被在线广告业使用。但事实上,人们点击什么并不重要。
近四年来,网站和应用程序一直用这种"同意"垃圾邮件困扰着欧洲人。但我们的证据显示,IAB欧洲在推出同意系统之前,就知道传统的基于追踪的广告是 “不符合GDPR的同意"。
这是因为基于追踪的广告系统,称为"实时竞价"(RTB),将互联网用户的行为和现实世界的位置广播给成千上万的公司,每天数十亿次。RTB是有史以来最大的数据泄露。在这种情况下,没有办法保护数据。同时,我们也正在汉堡对RTB进行诉讼。
在由爱尔兰公民自由委员会协调的一群投诉人发起的诉讼中,比利时数据保护局即将通过一项决定草案,认定IAB欧洲的"同意"弹出式系统违反了GDPR,证明了我们几年来的论点。
具体而言:
根据一个人使用的应用程序和访问的网站,以及他们在同意弹出窗口中点击的内容,所创建的关于一个人的识别代码将被视为"个人数据",因此受到欧洲数据保护法的保护。IAB欧洲试图否认这一点。
IAB欧洲将被视为"数据控制者",因此有责任保护人们的个人数据。IAB欧洲试图否认对保护人们的数据有任何责任。
当个人数据被广播到RTB数据的自由竞争中时,IAB欧洲与数以千计的网络广告公司负有共同责任和义务。IAB欧洲曾试图否认这一点。
此外,IAB欧洲的 "同意 "弹出系统违反了GDPR,因此是非法的。
欧洲各地的投诉人群体包括。Panoptykon基金会(波兰)、Stichting Bits of Freedom(荷兰)、Ligue des Droits Humains(比利时)、Jef Ausloos博士、Pierre Dewitte博士和Johnny Ryan博士。这是一个漫长的过程。比利时的投诉程序建立在Johnny Ryan博士(ICCL的)在2018年发起的结束在线广告核心的巨大数据泄露的运动之上。
"谷歌和整个跟踪行业都依赖于IAB欧洲的同意系统,现在将被发现是非法的",ICCL的Johnny Ryan博士说,"IAB欧洲创建了一个假的同意系统,每天向每个人发送垃圾邮件,除了给网络广告核心的大规模数据泄露提供一个薄薄的法律掩护外,没有任何作用。我们希望比利时数据保护局的决定将最终迫使网络广告业进行改革"。
我们感谢我们在Timelex的法律团队。我们也感谢比利时数据保护局。
比利时数据保护局的决定是GDPR的"一站式 "机制下的决定草案。现在它将与其他一些欧洲数据保护机构共享,以便最终确定和执行。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
关于人工智能安全和监管,本公号发布过以下文章:
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
数字贸易协定的相关文章有:
中国个人信息保护立法的相关文章包括:
《数据安全法》相关的文章包括:
数据要素治理相关的文章包括: