英国政党数据审计发现失败清单

他说：“政党可以合法地持有数百万人的个人资料，以帮助他们有效地进行竞选活动。但各政党在使用数据分析和社交媒体方面的发展意味着，许多选民并不知道他们的数据是如何被使用的，“英国信息专员办公室(ICO)今天警告称。

报告还说：“所有政党都必须清楚、透明地告知公众他们的个人数据是如何被使用的，并且应该改善治理和问责。”

“政党一直希望利用数据来了解选民的利益和优先事项，并通过向正确的人解释正确的政策来回应。现在，技术使这一点在更细微的层面上成为可能。这可能是积极的：让人们参与他们感兴趣的话题有助于提高选举的投票率。但参与必须是合法的，特别是在存在严重侵犯隐私的风险的情况下-例如，涉及隐形分析活动、使用敏感类别的数据以及不受欢迎和侵入性的营销。如果选举是由不公平或不透明的数字目标驱动的，民主面临的风险太大了，我们无法将重点从这一领域转移。“。

尽管民主信任和参与面临风险，但监管机构选择不采取执法行动。

相反，它发布了一系列建议，其中近三分之一被评为“紧急”。它说，将在今年晚些时候进行进一步评估，如果没有取得足够的进展，仍可能采取行动。

该机构在报告中指出：“如果我们的后续审查显示各方未能采取适当措施遵守规定，我们保留根据我们的监管行动政策采取进一步监管行动的权利。”报告还对各方在这些问题上“积极”地与其进行了接触，发表了一些热情洋溢的言论。

ICO还表示，它将在今年晚些时候更新现有的政治竞选指南--它指出，这将对(非政治)活动人士、压力团体、数据经纪人和数据分析公司产生更广泛的影响。

作为剑桥分析公司(Cambridge Analytica)Facebook数据滥用丑闻的后续行动的一部分，该公司此前曾发布了直销数据经纪行业的指导意见。

在剑桥分析(Cambridge Analytica)丑闻引起全球关注社交媒体和大数据在数字竞选中的作用后，ICO发起了对英国政党的数据审计。

在2018年7月关于这一话题的一份早些时候的报告中，ICO呼吁对使用微定向广告工具进行政治竞选进行“伦理暂停”-警告称，针对选民的数据驱动的定向技术缺乏透明度，可能会破坏人们对民主的信任。

但在2019年英国大选之前或期间，社交媒体定向的使用并没有减少，当时人们担心鲍里斯·约翰逊(Boris Johnson)的保守党如何利用Facebook广告收集选民数据。

然而，ICO的这份报告决心不让各党派脸红--它只是对保守党、工党、自由民主党、苏格兰民族党(SNP)、民主统一党(DUP)、格子格子党(PlayCymru)和联合王国独立党(UKIP)处理民众数据的深入研究得出的总结。

“我们建议各方必须采取以下行动”，这是ICO首选的矛盾结构，因为它试图避免让任何政治鼻子脱节。(尤其是属于政府官员的那些。)。因此，它选择了一种温和的、温和的“推荐和审查”方法，试图清理各方可疑的数据习惯。

它的主要发现包括：政党的隐私通知没有达到所需的透明度和清晰度；在所有情况下，政党处理的数据都没有适当的合法基础，他们声称同意的地方可能不是合法获得这些数据的地方；没有坦率地说明他们如何结合数据来描述选民，也没有对数据供应商进行足够的检查，以确保这些第三方合法地获得了人们的数据；在使用社交媒体平台瞄准选民时，没有建立适当的合同控制；没有遵守自己的义务，以便在。

ICO对政党的建议也是非常基本的--说他们必须：

进行信息审核或数据测绘工作，以帮助找出他们持有什么个人数据以及这些数据在哪里；

通过向相关领域发放调查问卷、直接与关键业务职能部门会面以及审查政策、程序、合同和协议，对他们使用个人数据的原因、共享对象和保存时间进行审查；

当你想象这些要点背后的混乱邪恶时，插入你自己的脸掌表情符号。

ICO在报告中关于透明度要求的一节中指出：“我们认识到，实现对英国成年人的有效透明度是具有挑战性的。”该组织还补充说，其早先的报告建议，“还应采取更广泛的联合方法，以提高人们对如何在竞选活动中使用数据的认识”。

它补充说，它将继续与选举委员会就这一建议开展合作。

英国政治竞选数字广告的爆炸性增长可以通过报告中的一句话来量化，该报告援引选举委员会的数据显示，2017年活动人士的广告支出中有42.8%用于数字广告，而2014年这一比例仅为1.7%。

因此，社交媒体平台的使用--报告指出，所有政党都在利用社交媒体平台进行政治竞选--与监管机构指责的令人不安的透明度不足存在连锁关系。

“各方都利用社交媒体向那些可能对他们的价值观感兴趣的人宣传他们的工作。其中大部分是通过Facebook(包括他们的Instagram平台)和Twitter发布的。在政党使用受众选择工具的地方，我们对这种做法缺乏透明度感到担忧，“ICO写道。“隐私信息没有明确表示，该党收集或处理的选民个人数据随后会被分析，并用于通过社交媒体平台向他们进行有针对性的营销。”

他说：“我们在审核后提出的一项主要建议是，有关各方必须通知个别人士，并公开这项处理程序，让选民充分明白他们的个人资料会以这种方式使用，以符合”个人资料披露条例“第13(1)(E)条的规定。”例如，政党应该告诉选民，他们的电子邮件地址将被用来在社交媒体上匹配他们，以便向他们展示政治信息。

它补充道：“在任何活动开始之前，都应该进行尽职调查，这样各方就可以确信，社交媒体公司拥有：适当的隐私信息和工具；他们将代表党进行的数据处理是合法和透明的，并维护了数据保护法规定的个人权利，”它补充道。

该报告还讨论了政党需要充分理解使用特定数据驱动的广告定向平台/工具的法律影响(即在他们匆忙进入并将人们的数据上传到Facebook/Twitter之前)，以便他们能够适当地履行自己的义务。

当各方寻求使用平台的目标工具时，缔约方和平台本身都应明确确定存在联合控制的情况，并采取措施履行这些义务。他们必须在个案的基础上评估这一点，而不考虑任何控制器或处理器配置的内容。如果平台在很大程度上控制了他们用来代表党向个人用户发送政治信息的工具和技术，那么在实践中可能存在联合控制。

GDPR第26条规定了联合控制员情况的要求。各方应达成一致，并充分理解谁对什么负责。这意味着他们必须与他们使用的任何社交媒体平台合作，以确保在合规方面没有差距，并确保他们有适当的合同或协议到位。他们还应该进行终身合同监督，以确保平台遵守这些合同。

在这份报告中，ICO将联合控制员情况下涉及的数据保护问题描述为“复杂”，并补充说：“我们认识到，…问题的解决方案。可能需要更多时间来解决，并需要为所有相关行为者提供更多指导。“。

报告补充称：“自我们进行审计以来，我们了解到，社交媒体公司已在修改后的数字广告服务条款和条件内采取了一些措施。”

该报告还提到，根据欧盟法律，监管机构对Facebook在爱尔兰的广告平台进行了审查--重点是担心利用Facebook的“长相相似的受众”来瞄准选民可能不符合欧盟的GDPR框架。信息专员伊丽莎白·德纳姆(Elizabeth Denham)此前曾暗示，这家科技巨头将不得不改变其商业模式，以维持用户信任。但爱尔兰数据保护机构尚未发布任何与Facebook业务相关的GDPR决定。

该监管机构现在写道：“在更广泛的生态系统中，ICO还认识到，在政治背景下使用个人数据还有其他问题需要解决。”“这些问题包括它在提交给爱尔兰数据保护委员会(IDPC)的报告中列出的一些问题，这些问题涉及Facebook和其他发布[SP]上的定向广告，包括该平台在政治背景下可以在哪里使用。IDPC是GDPR的牵头机构。ICO将继续与技术平台联系，考虑是否需要采取进一步措施来解决我们的民主中断报告提出的问题。这将与各政党在未来选举中使用社交媒体平台有关。“