歐洲關於數據同意彈出窗口的新規則挑戰出版商和廣告商的隱私政策

比利時官員發現一家頂級廣告貿易組織違反了歐盟數據隱私法——這一裁決可能在歐洲和美國產生連鎖反應

比利時數據保護局已宣佈歐洲互動廣告局關於出版商如何獲得同意以收集和使用個人數據的框架不符合歐盟隱私法規。 今天發布的這項裁決可能會影響整個非洲大陸及其他地區的數千家公司。 

一般人可能沒有聽說過 IAB Europe 或其美國同行 IAB。 然而，人們可能更熟悉週三的裁決所關注的問題：無處不在的彈出窗口要求互聯網用戶許可收集和使用用於廣告和其他目的的數據。 爭論的中心是 IAB Europe 的透明度和同意框架（TCF）。 該工具旨在幫助出版商和廣告商遵守歐盟的通用數據保護條例 (GDPR)，該條例於 2018 年推出，旨在為歐盟公民提供額外的隱私權。

作為裁決的一部分，DPA 已對 IAB Europe 處以 250,000 歐元的罰款，並給予其兩個月的時間提出修改建議和六個月的時間來實施。 DPA 還命令 IAB Europe 永久刪除使用 TCF 當前系統處理的數據，“不得無故拖延”。 這可能會影響廣泛的出版商、廣告技術公司和廣告商使用的數據，包括谷歌和亞馬遜等巨頭。 根據 GDPR 的“一站式機制”，該裁決可立即在整個歐盟範圍內強制執行。

在許多方面，IAB Europe 的同意系統在某種程度上是發布商和廣告商如何從歐洲人那裡收集在線數據並將其用於廣告定位的關鍵。 當一個人向網站提供他們是否希望被在線跟踪的偏好時，TCF 使用代碼向廣告合作夥伴發出信號，告訴廣告合作夥伴該人選擇了哪些偏好。 然後，該框架的合作夥伴將這些偏好用於稱為實時競價的自動廣告拍賣，營銷人員可以根據廣泛的可用信息和標准購買廣告。

比利時監管機構表示，IAB Europe 以多種方式違反了 GDPR 法律，包括“未能建立法律依據”來處理數據、不恰當地請求同意收集數據、未能正確保護數據、未充分保護數據以及不提供數據收集和使用方式的透明度。 在關於該裁決的聲明中，比利時 DPA 訴訟分庭主席 Hielke Hijmans 表示，IAB Europe 當前版本的 TCF“與 GDPR 不兼容，因為它固有地違反了公平和合法性原則。”

“人們被邀請給予同意，而他們中的大多數人不知道他們的個人資料每天被出售很多次，以便讓他們看到個性化的廣告，”Hijmans 說。 “雖然它涉及 TCF，而不是整個實時競價系統，但我們今天的決定將對互聯網用戶個人數據的保護產生重大影響。 必須在 TCF 系統中恢復秩序，以便用戶能夠重新控制他們的數據。”

當被要求就 DPA 的裁決發表聲明時，IAB 歐洲發言人通過電子郵件向 福布斯 表示貿易組織對該決定“嚴重保留”，併計劃與 DPA 合作做出改變。

“我們拒絕認定我們是 TCF 範圍內的數據控制者，”根據 IAB Europe 的聲明。 “我們認為這一發現在法律上是錯誤的，並且將產生遠遠超出數字廣告行業的重大意外負面後果。 我們正在考慮有關法律挑戰的所有選擇。”

隱私權倡導者周三慶祝這一裁決，認為這是朝著他們認為對數億歐洲人提供更強有力的消費者數據保護邁出的一步。 據去年向 DPA 提出申訴的非營利組織愛爾蘭公民自由委員會稱，歐洲大約 80% 的互聯網依賴於 TCF。 ICCL 辯稱，由於缺乏安全性，TCF 中使用的數據也是非法的。

“跟踪行業試圖掩蓋在線廣告中潛在的巨大數據洩露，”廣告技術行業資深人士、現為 ICCL 高級研究員的約翰尼·瑞安在接受采訪時表示。 福布斯. “他們試圖通過‘OK’按鈕解決這個問題，但業界知道不可能要求某人‘OK’數據洩露。 你必須知道你要的是什麼。”

Ryan 將 TCF 描述為“法律虛構”，聲稱由於公開實時競標中的數據實際上並不安全，因此它創建了一個不保護個人數據的“大量免費數據”。

“最大的罪過是安全，”瑞恩說。