提交给德国和西班牙数据保护部门的申诉称,苹果设置IDFA违反了有关数字跟踪的地区隐私法,因为iOS用户在最初存储识别符时没有征得他们的同意。
Noyb还反对其他人在没有事先同意的情况下访问IDFA,其中一名投诉人写道,他们从未被要求获得第三方访问的同意,但发现有几个应用程序与Facebook分享了他们的IDFA(根据他们在Facebook下的活动页面)。
虽然苹果并不是数字隐私倡导者的典型目标,因为它的大部分收入来自硬件和软件,而不是像Facebook和谷歌这样的广告科技巨头所做的针对广告定向的用户简介,但与其硬件中内置的广告商识别符相比,苹果关于特别关注用户隐私的营销言论可能会显得尴尬。
在欧盟,这种尴尬有一个特定的法律层面--因为现行法律要求用户明确同意(非必要的)跟踪。诺伊布的申诉引用了欧盟电子隐私指令(EPrivacy Directive)第5(3)条,该条款要求用户必须征得用户同意才能存储Cookie等广告跟踪技术。(诺伊布辩称,IDFA就像一个跟踪cookie,只是对iPhone而言。)。
欧洲最高法院去年进一步加强了这一要求,当时它明确表示,在存储或访问追踪器之前,非必要的跟踪必须征得同意。CJEU还裁定,这种同意不能被暗示或假定--比如使用预先勾选的“同意”框。
在一份关于这些投诉的新闻稿中,noyb的隐私律师斯特凡诺·罗塞蒂(Stefano Rossetti)写道:“欧盟法律保护我们的设备不受外部跟踪。只有在用户明确同意的情况下,才允许跟踪。无论使用哪种跟踪技术,这条非常简单的规则都适用。虽然苹果在浏览器中引入了拦截cookie的功能,但它在手机上放置了类似的代码,没有得到用户的任何同意。这显然违反了欧盟的隐私法。“。
长期以来,苹果一直在控制在其iOS平台上提供应用的第三方如何使用IDFA,挥舞着从其App Store驱逐的大棒,以推动他们遵守IDFA的规则。
不过,苹果最近走得更远了--今年夏天,他们告诉广告商,他们很快将不得不让用户选择退出广告跟踪,此举被标榜为加强对iOS用户的隐私控制--尽管在面对广告商对该计划的愤怒之后,苹果将该政策的实施推迟到了明年初。但他们的想法是,iOS14中将会有一个切换,用户需要在第三方应用程序访问IDFA以跟踪iPhone用户在应用程序内的广告定向活动之前打开它。
然而,诺伊布的抱怨首先集中在苹果对IDFA的设置上-辩称,根据欧盟法律,由于化名的识别符构成了私人(个人)数据,他们在创建并存储在自己的设备上之前需要获得许可。
“IDFA就像一个‘数字车牌’。用户的每一个动作都可以链接到“车牌”上,并用来建立关于用户的丰富的个人资料。Noyb在一份起诉书中写道,苹果的隐私政策并没有具体说明苹果公司用来“放置和处理”IDFA的法律依据,他在一份诉状中写道:“这样的配置文件以后可以用来针对个性化广告、应用内购买、促销等。与传统的互联网跟踪ID相比,IDFA只是一个‘手机跟踪ID’,而不是浏览器cookie中的跟踪ID。”
诺伊布还认为,苹果计划对IDFA的访问方式进行调整--预计2021年初上线--还不够深入。
它写道:“这些变化似乎限制了第三方(但不是苹果自己)使用IDFA。”“就像一个应用程序请求访问摄像头或麦克风一样,该计划预计会出现一个新的对话框,询问用户应用程序是否应该能够访问IDFA。”然而,IDFA的初始存储和苹果的使用仍将在未经用户同意的情况下进行,因此违反了欧盟法律。目前还不清楚这些变化将在何时以及是否会由该公司实施。“。
我们联系了苹果公司,请其对诺伊布的投诉发表评论,但在撰写本文时,苹果公司的一位发言人表示,苹果公司还没有正式的声明。这位发言人确实告诉我们,苹果本身并不使用唯一的客户标识来做广告。
另一个相关的最新进展是,上月,法国出版商和广告商对这家iPhone制造商提起反垄断诉讼,指控该公司计划要求获得IDFA的同意才能加入。该联盟辩称,此举相当于滥用市场力量。
苹果在一份声明中回应了这一反垄断投诉,声明称:“在iOS 14中,我们让用户选择是否允许应用程序跟踪他们,方法是将他们的信息与第三方的数据联系起来,用于广告,或者与数据经纪人分享他们的信息。”
“我们相信隐私是一项基本人权,并支持欧盟在保护隐私方面发挥领导作用,制定强有力的法律,如GDPR(通用数据保护条例),”苹果公司随后补充道。
这一反垄断投诉或许可以解释为什么Noyb决定对苹果的IDFA提起自己的战略投诉。简而言之,如果不能创建跟踪器ID--因为iOS用户拒绝同意--广告商试图通过声称跟踪是一项竞争性权利来起诉隐私的面积就更小了。
罗塞蒂在另一份声明中说:“我们认为,苹果在这些变化之前、现在和之后都违反了法律。”“通过我们的投诉,我们想要执行一个简单的原则:追踪器是非法的,除非用户自愿同意。”IDFA不仅应该受到限制,而且应该永久删除。对大多数人来说,智能手机是最私密的设备,默认情况下,它们必须是无追踪器的。
另一个有趣的投诉是,这些投诉是根据电子隐私指令(EPrivacy Directive)提交的,而不是根据欧洲(较新的)一般数据保护条例(General Data Protection Regular)。这意味着noyb能够针对特定的欧盟数据保护机构,而不是让投诉回流到爱尔兰的DPC-根据GDPR处理跨境案件的一站式机制。
它希望这条路线能带来更快的监管行动。“这些案件都是基于‘老的’曲奇法,并没有触发GDPR的合作机制。换句话说,我们正在努力避免无休止的程序,就像我们在爱尔兰面临的那样。“罗塞蒂补充说。