个性化广告 | 英国CMA和ICO对谷歌隐私沙盒承诺方案的态度解析
编者按:
个人信息保护方面的一个重点和难点在于个性化广告,或者西方语境中所提到的行为定向广告(behavioral
targeting
advertising)。本公号持续对这个问题开展跟踪和分析。此系列的文章包括:
今天,公号君和大家分享的是英国有关部门对谷歌在互联网生态中引入的隐私沙盒的态度。文章首发于北京理工大学法学院团队运营的【数据治理与竞争法研究】——【数据治理】英国:CMA暂时接受谷歌隐私沙盒承诺方案,仍将与ICO联合持续监督监管
英国当地时间2月11日,英国市场竞争管理局(CMA)发布公告,称其目前已接受谷歌的隐私沙盒承诺方案,该方案主要涉及谷歌在Chrome浏览器中移除第三方cookies的建议。但CMA也表示,“现在进入下一阶段”,它将“持续密切关注”监督谷歌对于承诺方案的执行,以确保隐私沙盒的发展方向有利于消费者,并与ICO继续保持合作展开联合调查。与此同时,针对此公告,英国信息通信委员会(ICO)也对于CMA的“接受承诺”做出回应:“我们赞同谷歌对于CMA的承诺方案,未来将与竞争和市场管理局(CMA)持续密切合作,评估谷歌的隐私沙盒方案。” 自2021年开始,谷歌公司率先采用“隐私沙盒”计划来替代传统的cookie技术发布互联网广告,其中一项名叫 Federated Learning of Cohorts (FLoC)的技术会使用机器学习算法来分析用户数据,然后根据个人访问的站点创建人群的集合,避免广告商获得用户的本地数据,从而进行广告发放。使用“隐私沙盒”替代方案的公司认为这样可以更好的保护用户隐私、同时保障公司数据合规,但是此前英国市场竞争管理局认为这些技术也可能导致自我优待等竞争问题。ICO与CMA因此展开联合调查,以平衡隐私保护与公平竞争。
本文梳理了案件发展过程中CMA、ICO以及谷歌公司三方的观点与案件关注要点,并附上完整的案件时间表,以飨读者。
有关数据监管沙盒的问题,由于在国内讨论较少,但是在英国以及欧盟部分国家已有数次尝试,因此本公众号也会展开一系列讨论紧密围绕“监管沙盒sandbox”展开,敬请持续关注。
ICO在2021年发表的委员会意见中,提出了明确的数据保护标准,要求互联网公司在开发在线广告技术时必须满足这些标准、以保障人们的数据隐私,并且对广告技术行业的其他领域进行了干预。ICO之后与CMA(竞争和市场管理局)展开合作,从竞争和隐私的合规角度联合审查谷歌公司的广告收集与发布计划。对于谷歌隐私沙盒承诺方案的调查,也进一步证明了英国CMA和ICO之间的合作关系,以及竞争利益和数据保护之间的密切关系。
CMA的竞争调查于2021年1月启动,因为担心新的在线广告发布方案会导致在线广告支出更加集中于谷歌公司,削弱相关市场内的竞争,从而损害最终支付在线广告费用的消费者利益。同时,CMA还担心这类技术会削弱报纸等在线出版商的创收能力,影响其未来继续生产有价值的内容——最终使得公众对新闻来源的选择减少。
CMA的一系列干预措施,以及谷歌改进后的承诺方案,旨在确保谷歌有关互联网广告的技术既能够完善隐私保护、又不会对竞争产生不利影响,从而最终保障用户的利益。
2021年6月,CMA就谷歌提供的初步承诺方案回复了咨询意见,该承诺方案的内容使得CMA在其隐私沙盒建议的设计和发展中发挥了至关重要的监督作用。同时谷歌还宣布,只要英国CMA接受其承诺方案,那么谷歌公司将在全球范围内适用这些承诺。CMA听取了40多家第三方的意见,这些第三方对于CMA的竞争关切点都表示同意,但也建议在一些领域加强承诺。其中包括:增加谷歌的算法透明度和及其与整个行业的接触,增加某些功能不应该在第三方cookies之前被删除,改进谷歌自我推荐其广告产品和服务的规定(自我优待问题),以及加强对谷歌隐私合规性的监督。
作为对40多家第三方所提整改意见的回应,谷歌公司提出的整改承诺为:
◾ 确保在谷歌的主要公告中提及CMA的作用和正在进行的CMA调查程序;
◾ CMA和ICO参与隐私沙盒建议的开发和测试,以确保它们为消费者实现有效的结果,以保护竞争和隐私。
◾ 指示其员工不能向客户提出与承诺方案相抵触的要求;
◾ 定期向CMA报告谷歌公司是如何针对第三方意见进行合规整改的;
◾ 解决用户对谷歌在隐私沙盒完全改变之前删除功能或信息的担忧,包括推迟执行其隐私预算提案,并围绕引入减少访问IP地址的措施作出承诺;
◾ 澄清谷歌可以使用的数据的内部限制;
◾ 为开发替代技术的第三方提供更大的确定性。谷歌将参与一个比最初提议更透明的过程,包括与第三方的接触和公布测试结果,CMA可以选择要求谷歌解决CMA或第三方提出的问题。
◾ 承诺限制其生态系统内的数据共享,以确保在删除第三方cookies时不会获得比竞争对手更多的优势;并承诺不对其广告服务进行自我推荐(自我优待)。
◾ 改进关于报告流程和遵守承诺方案的规定,将任命一名监督受托人与CMA一起工作,以确保承诺得到有效监督、谷歌遵守其义务。规定从决定接受谷歌修改后的承诺之日起,期限延长为6年。
◾ 在CMA认为其竞争问题得到解决之前,谷歌将不会删除第三方cookies。如果CMA不满意其竞争问题得到解决,CMA可能会采取进一步的行动(即重新开始调查,实施临时措施或进行裁决)。
CMA 2月11日接受的最终承诺是深入调查以及与谷歌和市场参与者广泛接触的结果,包括经历了两次正式的公开咨询。CMA认为目前的承诺可以解决其所担心的竞争问题,谷歌还表示,这些承诺将在全球范围内推广。
CMA的首席执行官Andrea Coscelli表示:CMA对此案的干预表明我们致力于保护数字市场的竞争,以及我们在塑造世界领先的科技公司的行为方面的全球角色。CMA从谷歌获得的承诺将促进竞争,有助于保护在线出版商通过广告筹集资金的能力,并保障用户的隐私。虽然这(接受承诺)是一个重要的步骤,但我们并不认为调查工作已经完成。CMA的工作将进入一个新的阶段,我们将密切关注谷歌继续发展这些建议。我们将在这个过程中与所有市场参与者接触,以确保谷歌考虑到提出的关切和建议。
英国政府已建议在CMA内设立一个法定的数字市场部门(DMU),以监督针对最强大的数字公司的新监管制度,促进这些市场的更大竞争和创新,并保护消费者和企业免受不公平的做法。政府目前正在分析对关于DMU权力的咨询的回应。虽然监测任何承诺的执行情况的作用将在其有效期内由CMA负责,但从中期来看,DMU的建立可以为监管监督和审查提供一个适当的框架。
CMA还将与信息通信办公室(ICO)持续密切合作,监督这些建议的制定,以便在不过度限制竞争和损害消费者的情况下保护隐私。ICO和CMA在2021年5月曾发表了一份关于竞争目标和数据保护之间关系的联合声明。而在关于此份承诺方案调查结果的通知中,CMA阐述了它打算如何就建议中与数据保护有关的方面与ICO进行磋商。2021年11月25日,ICO也发表了一份意见,提到了CMA的竞争调查。针对此次承诺方案的接受,ICO发表声明称:“当企业认识到数据保护、隐私和竞争目标必须一起考虑时,消费者就会受益,而这些承诺使谷歌有义务这样做。我们将继续与两个组织合作,以确保谷歌的隐私沙盒建议符合数据保护法,并为个人提供良好的隐私结果。我们的专员意见列出了明确的数据保护标准,组织在开发在线广告技术时必须满足这些标准。由于几个建议正在积极开发中,我们将继续与开发这些建议的组织接触,以确保他们提高数据保护和隐私的标准。”
此后,谷歌公司发布了新的公告,介绍其在承诺下的义务以及隐私沙盒发展的下一阶段。并且公布了进一步落实承诺的细节,详细介绍了他们在与第三方接触时将遵循的程序:
◾ “隐私沙盒”方案的目的:建立一个更私密、更开放的网络。隐私沙盒计划旨在创造网络技术,既保护人们的在线隐私,又为公司和开发人员提供工具,以建立繁荣的数字业务,保持网络对每个人的开放和访问。
◾ 实现网络革命:随着人们寻求了解和控制他们的个人信息在网上的使用情况,隐私问题成为公众对话的前沿问题。网站和第三方收集的一些信息对于提供用户期望的丰富内容和服务是必要的。然而,用于提供这些信息的工具在识别用户、用户的在线活动和用户使用的设备的能力方面已经远远超出了它们的初衷。隐私沙盒将为一个更安全、更可持续、更私密的网络奠定新的基础。
◾ 新技术的架构:隐私沙盒倡议目前正在开发中。新技术被设计为:
在用户浏览网页时防止被跟踪。人们应该能够浏览网络而不必担心什么个人信息被收集,以及被谁收集。隐私沙盒计划旨在消除常用的跟踪机制,如第三方cookies,并阻止隐蔽的技术,如指纹识别。
使出版商能够建立尊重用户隐私的可持续网站。网站开发者和企业应该能够从他们的网站上赚钱,并接触到他们的客户,而不依赖于整个网络的侵入性跟踪。隐私沙盒倡议正在开发创新的、以隐私为中心的替代方案,以满足关键的在线业务需求,包括提供相关广告。
保护开放网络的活力。开放的网络是一个宝贵的信息资源,它具有独特的能力,既可以与数十亿人分享内容,又可以根据个人需求定制内容。隐私沙盒建议的目的是既保护用户的网络安全,又保持每个人对信息的自由访问,从而使网络能够继续支持经济增长,现在和将来。
◾ 隐私沙盒建议的数据保护:隐私沙盒建议由新技术组成,以更安全的解决方案取代传统的、数据密集型的机制,如第三方cookies,以保护用户的隐私。
附1:谷歌隐私沙盒提议案接受调查的时间表
Case timetable办案时间表
附2:变更日志change log
自2021年1月首次公布以来,对案件时间表进行了以下修改。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
中国个人信息保护立法的相关文章包括:
《网络数据安全管理条例(征求意见稿)》系列文章:
个性化广告系列文章包括:
《数据安全法》的相关文章包括:
赴美上市的中国公司在网络、数据安全的文章如下:
关于健康医疗数据方面的文章有:
关于人工智能安全和监管,本公号发布过以下文章:
关于中美与国家安全相关的审查机制,本公号发布过以下文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
关于数据要素治理的相关文章包括:
关于数据执法跨境调取的相关文章:
业务场景中的数据跨境流动的文章如下:
数字贸易专题的系列文章有: