受质疑的“同意”:欧洲在线广告业遭遇“滑铁卢”?
(2021-11-25) 新闻来源:法治周末 
发刊日期:2021脛锚11脭脗25脠脮> > 总第126期 > 11 > 新闻内容

比利时数据保护局宣称,将裁定欧洲交互式广告协会引以为傲的“透明与同意框架”(TCF)违反欧盟《通用数据保护条例》(GDPR)。若裁定生效,这意味着欧洲至少80%的网站与APP将因违反GDPR而进行整改

视觉中国

罗浏虎 陈家宁

“我们赢了!”

115日,爱尔兰公民自由理事会(ICCL)的工作人员喜不自胜地发表了一则声明。此前,这一理事会牵头20余家隐私保护组织,向比利时数据保护局(APD)控诉欧洲交互式广告协会(IAB Europe)侵犯用户隐私。

在经历漫长的等待后,曙光终于出现。近日,比利时数据保护局宣称将裁定该协会引以为傲的“透明与同意框架”(TCF)违反欧盟《通用数据保护条例》(GDPR)。

若裁定生效,这意味着欧洲至少80%的网站与APP将因为违反GDPR而需要进行整改。IAB Europe的成员和供应商几乎覆盖了欧洲绝大部分的互联网企业。毫不夸张地说,欧洲人每次打开网页或APP时,IAB Europe都记录了其对个人信息的处理方式。

似乎,在线广告业的危机即将降临,而如何践行“同意原则“是其中的关键问题。

“同意”弹窗或是虚设

在线定向广告是如何成为隐私保护噩梦的?表面上看,在定向广告中,商家和消费者都能各取所需。广告商可以以最小的成本,将广告信息推送给有需要的用户,并避免过分骚扰用户。问题在于,GDPR原则上要求在线广告商需事先获取用户的明确同意,方可基于在线营销目的收集个人信息。

为了满足GDPR的规定,IAB Europe创设了透明与同意框架,并运营了“透明与同意管理平台”(Transparency and Consent Management Platform)。该平台充当用户与企业之间的中介,协助企业获得用户同意,管理用户异议。

透明与同意框架是由一系列技术规范和政策组成的在线生态系统,用以告知用户收集和处理个人信息的情况。例如,所访问的设备的信息、个人信息字段、处理目的、信息收集或处理的公司等,并向用户提供选择。同时,该系统会记录已经向用户披露的信息,以及用户的选择。

尽管如此,ICCL认为IAB Europe还是侵犯了数据保护法的帝王法则——同意原则。它认为,虽然IAB Europe为欧洲几乎所有的网站和应用程序设置了“同意”弹窗,但是这些弹窗形同虚设。

表面上,用户有了选择权,也可以限制广告商对数据的使用。但事实上,用户点击什么并不重要,不会妨碍IAB Europe推送定向广告。这造成的恶果便是:近四年来,这种“同意”的垃圾邮件一直侵扰着欧洲人。

更要命的是,IAB Europe被诟病收集了健康数据、性倾向、政治倾向等理应给予特别保护的敏感信息。依照GDPR,如收集此类信息,收集者需征求用户的明确同意。此外,比利时数据保护局认为,透明与同意框架缺乏对用户数据权利的保障。

投诉人之一约翰尼·瑞安(Johnny Ryan)博士认为:“我们希望比利时数据保护局的裁定能最终促使在线广告业进行改革。”

TC字符串属于个人信息吗?

就上述透明与同意框架而言,关键的组件是TC字符串(TC String)。该字符串是在网站上创建的一种数字符号,用以捕捉用户对数字广告与内容所作出的选择。

例如,在用户选择关闭某种广告推送,甚至点击拒绝广告推送时,这些行为都会被记录。通过字符串,广告商得以通过Cookies或其他跟踪技术收集和处理用户浏览习惯等信息,以向用户推送个性化广告。

在该案中,一个关键的争议是,TC字符串是否构成个人信息。如果答案是肯定的,那么IAB Europe便会成为数据控制者,并在广告商所引起的数据泄露事件中承担连带责任。

笔者认为,比利时APD认定TC字符串属于个人信息,这并非无稽之谈。GDPR序言第30条规定,自然人与其设备、应用程序、工具和网络协议提供的线上识别信息(如互联网协议位置、Cookies等信息)相关联,形成可供识别的个人信息。这些信息可能会留下自然人的上网痕迹,特别是结合其他个人信息后,即可建立用户画像。

用户的姓名、地址属于个人信息自不待言,但用户对网站处理数据所作的选择,同样应当受到保护。用户不仅有权拒绝网站收集个人数据,也应当有权拒绝网站记录自己的行为,这也是同意原则的应有之义。

有争议的是IAB Europe的角色问题。与我国个人信息保护法不同,GDPR将涉及个人信息的主体分为控制者与处理者。比利时数据保护局认为IAB EuropeGDPR项下规定的数据控制者,理由是它通过透明与同意框架与广告商等联合决定个人数据的收集目的与处理方式。这意味着,IAB Europe需遵守透明性原则、同意原则等一系列义务。

IAB Europe大喊委屈,认为TC字符串是由特定企业收集并控制,而自己只是标准制定者,并只提供了一个合规工具。并且,如若其被界定为数据控制者,则无异于制造寒蝉效应,打击业界制定自律标准的积极性。

暗流涌动的实时竞价广告系统

说到在线广告与隐私保护的关系,不得不提的是“实时竞价广告系统”(Real-Time Bidding)。此前,ICCL已经在德国汉堡提起诉讼,指责这一系统未经用户同意,而每日向数千家公司推送互联网用户的行为和地址等信息,而且毫不给予用户撤回同意的机会。

在早期,网站和APP上显示的广告由人工参与交易,但现在的广告主要是通过提前预设的程序自动分配。实时竞价广告系统就是主要的分配系统。

该系统可以预先确定网站或APP上的广告位,通过实时拍卖分配和显示广告。当用户进入网站或打开APP时,该请求会立即传递到广告交易平台,广告显示位将以拍卖的形式出售给出价最高的广告商,同时可在几毫秒间将广告加载到网页上,这对用户而言就是一瞬间的事。

理论上,该系统分配广告只与出价的高低有关,并不涉及个人数据和隐私。然而在实践中,实时竞价与个性化跟踪紧密相连。实时竞价系统除了出价高低外,还会使用用户的个人信息。

在竞价过程中,广告商会获得一份竞价邀请的副本,其中包括正在加载广告的用户信息。这些信息除了用户的设备型号外,还有用户的性别、生日、地理位置,以及IAB Europe一案中的争议焦点——有关“同意”的TC字符串。

竞价邀请中的信息非常细致,甚至可以直接指向用户个人。因此,越是具有针对性和指向性的竞价邀请,越容易为广告商带来理想的用户,这也更有利于在拍卖中拍得高价。

GDPR的透明度原则要求应当告知用户收集、存储和使用个人信息的数据控制者身份和联系方式。但在实时竞价广告系统的场景中,网站不可能提前知道谁会赢得拍卖,用户也不可能提前得知实时竞价广告系统场景中涉及到的每个数据控制者的身份。

从确定广告商到广告展现在用户面前,只在几毫秒之间,在这一瞬间想要提前告知用户是不现实的。要在海量的广告分发中理清每一项个人信息的流向,在技术上也是不能实现的。

当然,“不可能实现”并不是违法的抗辩理据。毫无疑问,如不能告知用户共享数据的第三方身份,那么这些使用实时竞价广告系统的网站和APP必然违反了GDPR的要求。

一些网站和APP为了合规起见,尽自己所能披露了第三方信息收集者的类别等信息——这也是网站和APP能够提前得知的第三方信息的最小颗粒度了。但是即使这样,也不能满足GDPR的要求。

如前所述,数据控制者应当使用“透明、清晰易懂、易于获取的形式,并使用清晰易懂的语言”。仅告知用户其个人数据可能会传输给“广告商”,并不能满足GDPR的要求。

英国信息专员和通信办公室(ICO)进行过一项有关实时竞价广告系统的调查。在向受访者解释了该广告系统的运作原理后,该广告系统的可接受率从63%降到了36%。因此,大多数网站和APP干脆回避了这一情况,不主动向用户展现有关实时竞价广告系统的信息。

毕竟对于用户而言,如果不知道该系统的存在,除了偶尔怀疑为何网页广告所呈现的恰好是自己想买的商品外,用户很难了解,这背后巨大的信息流动和算法推送都是悄无声息的。

上一篇 下一篇

联系我们 | 诚聘英才 | 广告征订 | 本站公告 | 法律声明 | 杂志订阅

版权所有 Copyrights ? 2014-2019 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》