Google和IAB adtech针对更多RTB隐私投诉
早在2018年和2019年,就同一实时竞标(RTB)程序化广告问题进行了投诉,但尚未导致任何实质性的监管行动。
爱尔兰去年确实对Google的广告交易进行了调查。比利时DPA一直在研究一种旗舰行业工具,该工具用于收集广告定位同意书-在10月份初步发现了违规情况。但是,要对IAB欧洲的“透明度和同意”(TCF)框架达成最终裁决的诉讼要等到明年才能进行。
(相关:尽管屡次表示对该行业的合法性问题表示关注,但英国数据保护机构仍未能就RTB投诉采取行动,因此面临法律挑战。)
Google和IAB均继续否认其adtech出现任何问题。谷歌去年表示,使用其系统的授权买家必须遵守“严格的政策和标准”。尽管IAB Europe拒绝了比利时DPA的调查结果-称其初步报告“对TCF技术存在根本性的误解”。
最新的GDPR投诉针对的是程序化广告的实时出价工具如何将互联网用户的个人数据广播给参与这些高速眼球拍卖的实体的数十个,理由是它与通用数据保护条例(GDPR)的核心安全要求背道而驰被视为侵犯了人们的隐私。
GDPR的一项关键原则是设计安全和默认安全-该法规对个人数据处理程序提出了法律要求,以确保人们的信息得到正确保护。
投诉以Google和IAB作为RTB标准制定者的身份针对了这些投诉,这些投诉已由六个欧洲国家/地区的民间社会团体提起,它们分别是:罗马尼亚的Asociatia pentru Tehnologie si Internet(ApTi); D3 –葡萄牙Defesa dos Direitos Digitais;龚,克罗地亚;马耳他全球人类尊严基金会;希腊Homo Digitalis;和塞浦路斯信息研究所。
由欧洲公民自由联盟(自由组织),ORG(开放权利组织)和Panoptykon基金会领导的财团负责协调。
Liberties的高级倡导官Orsolya Reich博士在支持性声明中说:“实时出价是网络广告行业的基础,它滥用了人们的隐私权。” “ GDPR自2018年以来一直存在,它的存在恰恰是在让人们对在线数据发生什么有更大的发言权。
“如今,越来越多的民间社会团体对这种侵入性广告模式发表了足够的看法,并要求数据保护主管部门抵制他们使用的有害和非法行为。”
该财团要求其各自的国家DPA进行联合调查,并要求监管机构与爱尔兰(进入Google的adtech)和比利时(进入IAB欧洲的TCF框架)正在进行的adtech调查一起加入。
尚不清楚爱尔兰DPC对Google的调查取得了多大进展,但由于该法规从技术上开始适用后约2.5年,它仍面临因缺乏跨境GDPR案件判决而面临的批评。
GDPR中的一种机制意味着跨境案例(基本上是与主流消费者技术有关的任何案例)都将传递给牵头机构进行调查。但是,其他机构也仍然作为利益相关方参与其中,必须同意做出的任何最终决定。
该系统导致某些欧盟地区(例如爱尔兰)的案件瓶颈,爱尔兰是许多科技巨头在欧洲设立总部的地方。因此,令人担忧的是,这种一站式服务机制在GDPR调查中增加了不可行的摩擦-延误了决策和执法行动,以至于冒着整个框架的风险。
委员会已经承认GDPR执法方面的薄弱环节。最明显的是,因为它正在处理大量的新数字法规。尽管解决欧盟执法问题的策略尚不明确,因为欧盟成员国似乎将继续对大部分额外监督负责,就像它们现在负责自己的DPA的资源配置一样。 (然而,今年又有更多的投诉指控欧洲各国政府违反了GDPR的规定。)
爱尔兰的DPC计划在很短的时间内与Twitter安全漏洞相关的案件中发布其首个跨境GDPR决定。但是去年,其专员海伦·迪克森(Helen Dixon)建议,将在2020年初做出首个此类决定-因此,目前GDPR预期与现实之间的差距已经过去了将近12个月。
提交最新RTB投诉的财团在新闻稿中写道,尽管一些较早的adtech投诉已移交给主要主管部门,但它不知道“国家主管部门与主要主管部门之间的任何有意义的合作或联合行动”。
该小组补充说:“这表明GDPR所设想的合作和一致性机制尚未完全实施,”该小组呼吁对实时出价问题进行联合调查,因为该技术的跨境功能相同,并且“产生了相同的结果。正如他们所说,“对所有欧盟成员国都有负面影响”。
但是,目前尚不清楚额外的联合工作(如果确实确实需要这样做)如何有助于加快GDPR的执行速度。将其他投诉转交给爱尔兰和比利时也不会如何加快他们目前的调查。
当被问及呼吁共同努力时,自由党发言人告诉我们:“问题在于,谷歌和IAB是市场的主要参与者,是标准制定者,它们影响了所有互联网用户。考虑到投诉中提出的问题的地域范围,我们认为最好是监管部门采取一致行动,而不是独自在角落里工作。这就是为什么国家合作伙伴邀请其国家DPA将此投诉转交给已经在调查Google和IAB对GDPR遵守情况的主要监管机构。”
ORG法律和政策官员Mariano delli Santi在另一项支持性声明中发表评论说:“这些新的投诉表明GDPR正在发挥作用。个人越来越意识到自己的权利,他们要求改变。现在,应该由当局来支持这一过程,并确保正确,一致地执行这些法律,以防止广告技术行业的广泛滥用。”
在撰写本文时,根据更新后的法规对科技巨头实施执法的唯一现存例子是法国CNIL于2019年1月决定对谷歌处以5700万美元的罚款。但是,该调查仅限于具有国家范围,而不是被视为跨境案件。
从那以后,谷歌将其在欧洲的法律基础转移到了爱尔兰-因此现在归DPC管辖。
这种安排似乎适合大型技术,从而避免了由单个会员国机构独自行动更快而进行更快调查的风险。 (因此,很高兴看到TikTok加强了在爱尔兰的业务基础设施和员工人数,因为它现在也受到CNIL的关注……)
如前所述,欧盟立法者已经承认GDPR的执行到目前为止是一个弱点。
在今年夏天对已有两年历史的法规进行的审查中,委员会强调缺乏普遍有力的执法。
上周,价值观和透明度专员维拉·乔鲁诺夫(Vera Jourouv)提出了这个问题,因为她制定了旨在针对一系列在线风险来支持民主价值观的计划,例如算法上放大的或针对性小的虚假信息和选举干扰-仅仅承认GDPR并非唯一足以解决无数交叉的技术引发的问题。
“ [[Cambridge Analytica丑闻发生后,我们说,令我们感到欣慰的是,GDPR生效后,我们受到保护,免受这种做法的影响-人们必须征得同意并意识到这一点-但我们看到这可能是一个薄弱的环节她说:“只能采取措施来依靠同意,或者让公民同意。”
“仅执行隐私规则是不够的。这就是为什么我们要在明年的《欧洲民主行动计划》中加入政治广告规则的愿景,在此我们正认真考虑将微观定位限制为一种方法。 用于提升政权,政党或政治人物。” 欧盟委员会正在起草一项雄心勃勃且相互关联的数字法规一揽子计划,该计划希望促进地区数据经济发展并制定牢固的在线规则以赢得必要的信任-并表示希望这一重大的数字决策工作能够为人们服务 欧洲几十年了。 但是,如果没有有效执行其互联网规则手册,目前尚不清楚欧盟的数字战略将如何如期交付。
