在启动一个针对数千个公然无视欧洲 cookie 跟踪规则的网站的重大项目仅一年多后,当地隐私运动组织noyb又发起了另一批针对网站运营商核心的投诉,称这些网站运营商早些时候忽略或没有完全采取行动警告以使其 cookie 同意横幅符合欧盟的同意法律标准,例如通用数据保护条例 (GDPR)。
Noyb 表示,最新一批 226 起投诉已向欧盟各地的 18 个数据保护机构 (DPA) 提出。
与noyb 之前的行动一样,所有投诉都与 OneTrust 制造的最广泛使用的 cookie 横幅软件有关。但问题不是软件本身,而是投诉针对的是它发现的欺骗性设置。甚至根本没有向网站用户提供拒绝跟踪的选择,这明显违反了有关同意的法律。
欺骗性 cookie 弹出窗口不仅对该地区网络用户的隐私权产生了腐蚀性影响,系统性地剥夺了人们保护其信息的权利,而且还严重损害了欧盟数据保护规则的声誉,例如GDPR——尽管事实上法律明确禁止通过诸如注入单向摩擦或为用户提供零选择退出“选择”等愤世嫉俗的策略盗窃同意,但批评者却将其归咎于该法规引发了令人讨厌的 cookie 横幅的海啸。
然而,大规模的 cookie 同意违规行为对欧盟资源不足的数据保护机构网络构成了重大执法挑战——因此 noyb 采取了一种明智的战略方法来帮助清理“cookie 横幅恐怖”祸害,正如它的竞选活动所支持的那样。
鉴于 noyb 对影响的关注,以及 cookie 同意问题的极其广泛的性质,该活动小组试图尽量减少向监管机构提交的正式投诉数量——因此其部分自动化的合规活动需要将初始投诉发送到有问题的违规网站,提供帮助纠正 noyb 发现的任何黑暗模式(或其他虚假同意问题)。
现在,只有那些一再忽视这些推动和逐步合规指导的网站才成为向相关监督机构提出正式投诉的目标。
“我们希望确保合规,最好不要提起诉讼。然而,如果一家公司继续违法,我们已准备好维护用户的权利,”noyb 董事长 Max Schrems 在一份声明中表示。
“一年后,我们遇到了对任何邀请或指导几乎没有反应的绝望案例。这些案件现在必须交给有关当局,”他补充说。
到目前为止,noyb 将其 cookie 同意活动归功于其产生的“巨大溢出效应”——不仅直接针对违反同意的横幅被修改,而且一些非目标网站也在听说投诉。 “这表明执法确保了超越个案的合规性,”施雷姆斯说。 “我想很多用户已经意识到,例如在去年,越来越多的‘拒绝’按钮逐渐出现在许多网站上。”
在讨论迄今为止的进展时,noyb 的一位女发言人还告诉我们:“在我们去年 5 月的第一轮警告之后,我们的定期扫描(我们使用 CMP OneTrust 扫描了欧洲数千个网站)的合规率不断提高。这可能是由于我们的投诉提高了意识,“担心”该法律可能会实际执行,并且因为 Onetrust 主动告知他们的客户我们的投诉并将他们的标准设置调整为“符合noyb ”。
“因此,我们认为那些不顾所有警告仍然违反 GDPR 的网站是‘绝望’的案例。所有这些都是新病例,因此去年已经成为目标的公司都没有在这批中。”
据 noyb 的女发言人称,所谓的“绝望”案例包括(较小的)媒体网站、受欢迎的零售商和本地页面。
当被问及在该组织的合规活动开始一年多后仍然违反“几乎所有内容”(即涉及 cookie 同意规则的情况)的页面示例时,她指出了包括https://www.elle.com/和https://www.menshealth.com/ ;食谱网站www.delish.com ;在线旅行社booking.com ;和时尚零售商aboutyou(在各个欧盟国家/地区)。
其他备受瞩目的网站现在正成为正式投诉的目标——在 noyb 的评估中,这些网站已经纠正了“至少一些违规行为”(尽管不是其他的)——包括足球网站fifa.com ;化妆品零售商treats.com和clinique.at/de ;和流媒体巨头hbo.com 。
虽然 noyb 表示,它现在正式抱怨的“大多数”网站都没有为用户提供撤回同意跟踪的选项,但它的发言人指出:“其他人已经实施了拒绝按钮(占所有警告网站的 30%),但仍然忽略其他方面,例如欺骗性设计。”
Noyb 的 cookie 投诉已经引发了一些监管行动,欧洲数据保护委员会 (EDPB) 去年成立了一个特别工作组,以协调对该组织建议可能最终提交多达 10,000 份 cookie 同意投诉的回应——尽管与去年提出的投诉有关的第一个 DPA 决定仍在等待中。
“我们希望 EDPB 工作组采取协调一致的方法,”其发言人说,并补充说:“迄今为止,奥地利 DPA 一直是处理投诉最积极的机构,其次是一些德国 DPA。我们希望在今年年底前收到第一个决定。”
既然已经提交了最后一轮 OneTrust 投诉,该非营利组织表示,它将使用其他所谓的同意管理平台 (CMP) 转移到网站上——扩大其自动投诉兼合规平台的范围,以涵盖竞争对手 CMP,例如 TrustArc、Cookiebot、Usercentrics 和 Quantcast。
因此,尽管运营公然虚假的同意横幅,但尚未被 noyb 扫荡的更多网站将在不久的将来收到一封针对其 cookie 合规性的尖刻信。
在过去一年+发出大量此类信件的同时,noyb 还一直在收集有关 cookie 投诉项目影响的数据——并计划在今年晚些时候发布一份关于其所获信息的报告。
另外,法国的 DPA,CNIL,在 cookie 同意执法方面一直非常活跃——根据 ePrivacy 指令对一些科技巨头( 亚马逊、 Facebook 和谷歌)采取了一些强硬行动,使其能够对滥用 cookie 跟踪做法——这似乎迫使(某些)改革。
ePrivacy 法律途径使 CNIL 能够规避 GDPR 的一站式机制,批评者指责该机制破坏了欧盟旗舰数据保护法规的执行,特别是针对大型科技公司,通过少数几个这样的渠道汇集(和瓶颈)投诉- 被称为领先 DPA(爱尔兰是最大的),因为少数几个市场在其土地上拥有大量科技巨头。
noyb 提交大批量 GDPR 主题投诉的方法是另一种策略,通过同时在整个集团中循环 DPA 来解决问题,鼓励协调、联合工作和(它希望)一系列保护欧洲公民的决策,从而推迟执行延迟’权利。
原文: https://techcrunch.com/2022/08/08/noyb-gdpr-cookie-consent-complaints/