欧盟最高法院昨天发布的一项裁决可能会对在线平台产生重大影响,这些平台使用背景跟踪和分析来针对用户投放行为广告或提供旨在呈现所谓“个性化”内容的推荐引擎。
影响可能更大——隐私法专家表示,该判决可能会增加各种其他形式的在线处理的法律风险,从约会应用程序到位置跟踪等等。尽管他们建议新的法律转介也可能是因为运营商试图解开可能因判决而产生的复杂实际困难。
提交给欧盟法院 (CJEU) 的案件涉及立陶宛关于国家反腐败立法的案件。但该判决的影响可能会在整个地区感受到,因为它明确了欧盟的通用数据保护条例 (GDPR),该条例设定了处理个人数据的法律框架,在涉及敏感数据操作时应如何解释可以对个人进行推断。
隐私观察者很快就注意到了——并预测对执法的重大后续影响,因为欧洲法院的指导基本上指示该地区的数据保护机构网络避免对敏感数据的构成进行过于狭隘的解释,这意味着欧盟最严格的隐私平台将更难规避保护措施。
这一判断具有开创性,可能会产生重大影响。在这个问题上出现了 DPA 之间的分歧——挪威 DPA 在其#Grindr案例中采用了相同的扩展解释,但西班牙 DPA 在同一案例中采用了相反的解释 5/
— Gabriela Zanfir-Fortuna 博士 (@gabrielazanfir) 2022 年 8 月 1 日
在给 TechCrunch 的一封电子邮件中,位于华盛顿的智库“隐私论坛的未来”全球隐私副总裁 Gabriela Zanfir-Fortuna 博士总结了欧洲法院的“具有约束力的解释”,确认数据能够揭示性取向“通过涉及比较或推断的智力运算”获得自然人的数据实际上是受 GDPR 第 9 条保护的敏感数据。
案件提交欧洲法院的相关内容涉及公开配偶或伴侣的姓名是否等于处理敏感数据,因为它可能会暴露性取向。法院决定这样做。并且,通过暗示,相同的规则适用于与其他类型的特殊类别数据相关的推论。
“我认为这可能会对未来产生广泛影响,在适用第 9 条的所有情况下,包括在线广告、约会应用、指示礼拜场所或所访问诊所的位置数据、乘飞机的食物选择等,”Zanfir-Fortuna 预测,并补充说:“这也给数据编目和建立不同的合规轨道带来了巨大的复杂性和实际困难,我希望这个问题会在更复杂的情况下回到欧洲法院。”
正如她在推文中指出的那样,对特殊类别数据处理的类似非狭义解释最近使同性恋联播应用程序Grindr 与挪威数据保护机构陷入困境,导致罚款 1000 万欧元,约占其年度数据的 10%收入,去年。
GDPR 允许罚款高达全球年营业额的 4%(或高达 2000 万欧元,以较高者为准)。因此,任何违反(现在)明确要求获得明确同意的大型科技平台如果对用户做出敏感推断,都可能面临比 Grindr 高几个数量级的罚款。
框架中的广告跟踪
在讨论 CJEU 裁决的重要性时,驻欧洲的独立顾问、安全和隐私研究员 Lukasz Olejnik 博士毫不含糊地预测了严重的影响——尤其是对广告技术的影响。
“这是迄今为止对 GDPR 的唯一、最重要、最明确的解释,”他告诉我们。 “这是一个坚如磐石的声明,推断数据实际上是 [个人] 数据。根据 GDPR 第 9 条,推断的受保护/敏感数据是受保护/敏感数据。”
“这一判断将加速数字广告生态系统的发展,朝着重视隐私的解决方案发展,”他还建议道。 “从某种意义上说,它支持了苹果的做法,并且似乎谷歌希望将广告行业转变为 [to, 即通过其隐私沙盒提案]。”
CJEU的判决甚至直接提到了广告业和贸易,所以这里的事情就很清楚了。有愿意改变的吗?好吧,现在有一些保护隐私的广告定位系统的好机会。
– Lukasz Olejnik (@lukOlejnik) 2022 年 8 月 2 日
自 2018 年 5 月以来,GDPR 为处理所谓的“特殊类别”个人数据(例如健康信息、性取向、政治派别、工会会员资格等)在整个集团制定了严格的规则,但存在一些争论(和变化)在 DPA 之间的解释中)关于泛欧盟法律如何实际适用于可能出现敏感推论的数据处理操作。
这很重要,因为多年来,大型平台能够保存足够的个人行为数据,从而通过识别(和替代)敏感信息的代理来规避对特殊类别数据处理限制的狭义解释。
因此,一些平台可以(或确实)声称他们没有在技术上处理特殊类别的数据——同时三角化和连接如此多的其他个人信息,以至于腐蚀效应和对个人权利的影响是相同的。 (同样重要的是要记住,关于个人的敏感推论不一定正确才能符合 GDPR 的特殊类别处理要求;重要的是数据处理,而不是得出的敏感结论的有效性或其他方面;事实上,糟糕的敏感推论可能对个人权利也很糟糕。)
这可能需要广告资助平台使用文化或其他类型的敏感数据代理来定位基于兴趣的广告或推荐他们认为用户也会参与的类似内容。推论的例子可能包括使用一个人喜欢福克斯新闻页面的事实来推断他们持有右翼政治观点;或将在线圣经学习小组的成员资格与持有基督教信仰联系起来;或购买婴儿车和婴儿床,或前往某类商店,以推断怀孕;或推断 Grindr 应用程序的用户是同性恋或酷儿。
对于推荐引擎,算法可以通过跟踪观看习惯并根据这些活动和兴趣模式对用户进行聚类来工作,以最大限度地提高与他们平台的参与度。因此,像 YouTube 的 AI 这样的大数据平台可以填充其他视频的粘性侧边栏,吸引您继续点击。或者在您实际选择观看的视频结束后自动选择“个性化”播放。但是,同样,这种类型的行为跟踪似乎可能与受保护的利益相交叉,因此,正如欧洲法院规则所强调的那样,需要处理敏感数据。
一方面,Facebook 长期以来一直面临地区审查,因为它允许广告商根据与政治信仰、性取向和宗教等敏感类别相关的兴趣来定位用户,而无需征得他们的明确同意——这是 GDPR 对(合法)处理敏感数据的限制。
尽管这家现在被称为 Meta 的科技巨头迄今为止避免了欧盟在这个问题上的直接制裁,尽管它是许多强制同意投诉的目标——其中一些可以追溯到四年多前开始应用的 GDPR。 (爱尔兰 DPA 去年秋天的一项决定草案显然接受了 Facebook 的说法,即它可以通过规定用户与其签订合同来接收广告,从而完全绕过同意要求来处理个人数据,当时被隐私权活动家称为一个笑话;由于其他欧盟 DPA 的审查程序的结果,该程序仍在进行中——活动人士希望,这最终将对 Meta 的无需同意的基于跟踪的商业模式的合法性采取不同的看法。但特定的监管执法仍在继续。 )
近年来,随着监管关注——以及法律挑战和隐私诉讼——的兴起,Facebook/Meta 对其广告定位工具进行了一些表面调整,例如, 在去年底宣布将不再允许广告商定位敏感兴趣,如健康、性取向和政治信仰。
然而,它仍然在其各种社交平台上处理大量个人数据,以配置用户在其供稿中看到的“个性化”内容。它仍然跟踪和分析网络用户,以使用“相关”广告来定位他们——而不是让人们选择拒绝这种侵入性的行为跟踪和分析。因此,该公司继续运营一种商业模式,该模式依赖于提取和利用人们的信息,而不询问他们是否同意。
因此,对现有欧盟隐私法的更严格解释对 Meta 这样的广告科技巨头构成了明显的战略威胁。
YouTube 的母公司 Google/Alphabet 也处理大量个人数据——既用于配置内容推荐,也用于行为广告定位——因此,如果监管机构接受欧洲法院的指导,对敏感问题采取更严厉的立场,它也可能处于火线之中推论。除非它能够证明它要求用户明确同意此类敏感处理。 (也许值得注意的是, 谷歌最近在欧洲修改了其 cookie 同意横幅的设计,以使用户更容易选择退出这种类型的广告跟踪——在法国进行了一些以跟踪为重点的监管 干预措施之后。)
“那些假设[推断受保护/敏感数据,是受保护/敏感数据]并准备他们的系统的组织,应该没问题。他们是正确的,而且似乎他们受到保护。对于其他人来说,这一 [CJEU 裁决] 意味着重大转变,”Olejnik 预测道。 “这涉及技术和组织措施。因为处理此类数据是被禁止的。除非采取一些重大措施。就像明确同意一样。这在技术实践中可能意味着需要实际选择跟踪。”
“目前的现状无法通过无所作为来满足 GDPR 第 9 条第 2 款的要求,”他补充说。 “改变不能只在纸上发生。这次不行。 DPA 刚刚获得了强大的弹药。他们会想要使用它吗?请记住,虽然这个判决是在本周作出的,但 GDPR 和欧盟数据保护法框架从一开始就是这样运作的。”
欧盟确实有即将出台的法规,将进一步收紧围绕最强大的“大型科技”在线平台的运营绞索,以及针对所谓的超大型在线平台 (VLOP) 的更多规则,例如数字市场法(DMA) 和数字服务法案(DSA) 分别将于明年生效——目标是围绕大型科技公司打造公平竞争环境;并更普遍地为在线消费者增加平台责任。
DSA 甚至包括一项规定,即使用算法来确定用户看到的内容的 VLOP(又称“推荐系统”)必须提供至少一个不基于分析的选项——因此已经明确要求更大的平台,为用户提供一种拒绝行为跟踪的方法,这些行为跟踪在欧盟即将出现。
但我们采访过的隐私专家建议,欧洲法院的裁决也将从本质上将这一要求扩大到非 VLOP。或者至少是那些处理足够数据以使其算法做出敏感推断的相关法律风险的平台——即使他们没有有意识地指示他们这样做(tl;博士,人工智能黑匣子也必须遵守法律) .
DSA 和 DMA 都将禁止使用敏感数据进行广告定位——这与欧盟法院确认敏感推论是敏感数据相结合,表明即将到来的泛欧盟行为限制将具有重要意义一些隐私观察者担心的广告很容易被广告技术巨头的数据挖掘、代理识别常用技巧所规避。
提醒:去年,大型科技游说者集中大量火力,成功阻止了欧盟立法者早先提出的要求 DSA 全面禁止基于跟踪的定向广告的提议。因此,任何加强剩余限制的事情都很重要。
行为推荐引擎
UCL 法学院数字权利和监管副教授Michael Veal 博士预测,欧洲法院对推荐系统的敏感推论的判断会产生特别“有趣的后果”——至少对于那些尚未提出要求的平台而言用户明确同意行为处理,以提供粘性“自定义”内容的名义可能误入敏感区域。
一种可能的情况是,平台将通过默认按时间顺序和/或其他非行为配置的提要来应对 CJEU 强调的围绕敏感推论的法律风险——除非或直到他们获得用户的明确同意以接收此类“个性化”建议。
“这一判决与 DPA 一段时间以来所说的相差无几,但可能会给他们和国家法院执行的信心,”Veal 预测道。 “我在在线推荐领域看到了这一判断的有趣后果。例如,像 Instagram 和 TikTok 这样的推荐平台可能不会在内部手动标记用户的性取向——这样做显然需要数据保护法下的严格法律基础。然而,他们确实密切观察用户如何与平台交互,并在数学上将用户配置文件与某些类型的内容聚集在一起。其中一些集群显然与性有关,并且围绕针对男同性恋的内容聚集的男性用户可以自信地假设不是异性恋。从这个判决来看,可以说,此类案件需要有法律依据来处理,只能是可拒绝的、明确的同意。”
除了 Instagram 和 TikTok 等 VLOP,他还建议,由于欧洲法院对 GDPR 第 9 条的非狭义应用的澄清,像 Twitter 这样的较小平台不能指望逃避这样的要求——因为 Twitter 使用算法处理来处理诸如所谓的“热门推文”或它建议关注的其他用户可能需要处理类似的敏感数据(目前尚不清楚平台是否在处理之前明确征求用户同意)。
“DSA 已经允许个人选择基于非分析的推荐系统,但仅适用于最大的平台。鉴于这种类型的平台推荐者固有地以揭示特殊类别的方式将用户和内容聚集在一起的风险,似乎可以说,这种判断加强了对所有冒这种风险的平台提供不基于观察行为的推荐系统的需求,”他告诉技术危机。
鉴于 CJEU 巩固了敏感推论确实属于 GDPR 第 9 条的观点,TikTok 最近试图通过声称其拥有处理数据的合法利益来消除欧洲用户同意其分析的能力 – 看起来考虑到 TikTok 的 AI 和推荐系统在跟踪使用情况和个人资料用户时可能会摄取多少敏感数据,这就像一厢情愿的想法。
无论如何,TikTok 的计划很快就受到了欧洲监管机构的抨击。上个月——在意大利 DPA发出警告后——它表示正在“暂停”转换,因此该平台可能已经决定,法律文书已经挂在墙上,以采用未经同意的方式推送算法提要。
然而,鉴于 Facebook/Meta 尚未(尚未)被迫停止践踏欧盟围绕个人数据处理的法律框架,如此活跃的监管关注几乎似乎是不公平的。 (或者至少是不平等的。)但这标志着所有侵犯权利的人最终——无情地——从管道中走出来,无论他们是长期从事这项工作还是只是现在试图抓住他们的手。
逆风沙箱
另一方面,谷歌(尽管)一再推迟降低对 Chrome 中对行为跟踪 cookie 的支持的计划,似乎更自然地与欧洲监管旅行的方向保持一致。
尽管对于它正在酝酿的替代广告定位提案( 在欧洲受到密切监管审查)是否会通过双重审查程序(考虑到竞争和隐私监督)仍然存在疑问。但是,正如 Veal 所建议的那样,至少从隐私法的角度来看,与试图操纵个人的商业模式相比,非基于行为的建议(例如通过白名单主题进行基于兴趣的定位)的风险可能更小偷偷地监视他们在网上做什么。
Veal 又是这样:“基于特定明确兴趣和因素(例如友谊或主题)的非基于行为的建议更容易处理,因为个人可以允许使用敏感主题,或者可能被认为已变得敏感话题‘明显公开’到平台。”
那么Meta呢?它的策略——面对高级管理人员被迫公开承认的情况,一段时间以来,“监管逆风”正在上升(委婉的投资者说话,用更简单的英语来说,意味着完全的隐私合规恐怖秀)——一直是提拔一位备受瞩目的前地区政治家、前英国副首相兼欧洲议会议员尼克克莱格担任其全球事务总裁,希望在其高层表上贴出一张熟悉的面孔,让元界“明天堵塞”创造就业机会的承诺,将说服当地立法者不要针对其商业模式执行自己的法律。
但随着欧盟的高级法官们用更多的判例来捍卫基本权利,Meta 的商业模式看起来非常暴露,坐在法律上受到质疑的理由,其声称的理由肯定是在他们的最后一个旋转周期中,然后以主要的形式进行早就应该进行的清洗GDPR 的执行——即使它押注克莱格在当地的名声/臭名昭著对欧盟政策制定的严重影响总是看起来更接近于廉价的拖钓,而不是一个可靠的长期战略。
如果 Meta 希望为自己争取更多时间来重新调整其广告技术以保护隐私——正如谷歌声称正在对其沙盒提案所做的那样——那么执行必须是真正清洁的清洗就已经非常晚了。
原文: https://techcrunch.com/2022/08/02/cjeu-sensitive-data-case/