Motherboard/Vice昨天发布了一份关于 Facebook 业务的爆炸性报告,这肯定会引发新的问题,即欧洲隐私法对这家广告科技巨头的执法不力。
该报告基于其广告和商业产品团队的隐私工程师去年撰写的一份泄露的内部文件。
这份名为ABP Privacy Infra, Long Range Investments [A/C Priv]的文件似乎向现在被称为 Meta 的科技巨头的工程师们展示了他们面临的噩梦般的任务:试图让 Facebook 的数据——摄取广告业务符合全球隐私法规的“海啸”,需要了解用户数据如何通过其系统流动,以便公司可以应用政策来控制人们对信息的处理方式,并执行反映人们隐私选择等基本工作。所以下一次 Sheryl Sandberg 谈到 Meta 的“监管逆风”时,这就是嫁接那些委婉的骨头的上下文肉。
Meta 的文本部署了一些内部业务简写/首字母缩略词,其字面含义并不总是很清楚。但是阅读的要点——如果你能抽出时间阅读 15 页的文本、图表和一些丰富多彩的类比,例如将一个人的信息比作一瓶墨水倒入一个巨大的湖中,那么它值得一读(哎呀!)——是 Meta 以一种完全独立的方式“设计”了它的广告系统,以至于它离遵守(甚至是现有的)法律,比如欧洲的通用数据保护条例 (GDPR) 相去甚远。有目的限制原则,这意味着您每次使用个人数据都需要有法律依据。根据该文件,Meta 的工程师也没有信心能够改变混乱局面并及时遵守一系列其他即将出台的全球法规。 (甚至不要让他们开始了解人工智能法规可能对企业意味着什么。)
当然,Meta 不同意该文件显示不遵守任何隐私法。
在给主板的一份声明中,该公司声称该文件“没有描述我们为遵守隐私法规而进行的广泛流程和控制”;因此补充说,“断定它证明不合规是完全不准确的”;并进一步声称:“全球新的隐私法规引入了不同的要求,本文件反映了我们正在构建的技术解决方案,以扩展我们现有的管理数据和履行义务的措施。”
但是,好吧,他们会这么说,不是吗?
独立隐私研究员、 广告数据流取证分析专家Wolfie Christl 对泄露的文件所揭示的内容持不同看法——称其为“炸药”和“供词”(尽管 Meta 不打算供公众使用)它不符合 GDPR。在这里查看他详细的 Twitter 线程——他在其中解开工程师观察的含义并将其背景化,正如他所看到的那样。
该文件确定了 FB 决定不遵守 GDPR 的三个原因:
1)它只是不想花钱
2) 其监控广告系统不支持跟踪个人数据如何用于“广告”
3)它只是不想花钱pic.twitter.com/gNGJJa1Y5C— Wolfie Christl (@WolfieChristl) 2022 年 4 月 26 日
“该文件直截了当地承认,Facebook 的整个业务是基于最基本的大规模违反 GDPR 的行为,”Christl 告诉 TechCrunch。 “目的限制是 GDPR 中最基本的原则之一。公司通常只能出于特定目的收集个人数据。如果一家公司无法指定其收集个人数据的目的,则根本不允许根据 GDPR 处理这些数据。”
当被问及 Meta 在欧盟的主要数据保护监管机构应该做什么时,Christl 补充道:“爱尔兰监管机构现在必须采取行动。如果 Facebook 无法明确其监控广告机是如何使用个人数据的,则必须下令停止处理这些数据。”
TechCrunch 联系了爱尔兰数据保护委员会 (DPC),询问是否将对 Meta 的广告数据流展开调查,因为该文件似乎显示基本上是一个广告系统,无论是设计还是系统构建蠕变,存在(或存在于 2021 年)的状态与监管背道而驰——事实上,该文件是否与它对 Facebook 业务方面的任何(几项)正在进行的调查相关。
监管机构没有提供声明,但副专员格雷厄姆·多伊尔证实,它只是在 Motherboard/Vice 发布该文件时才第一次看到该文件。
这可能会引发进一步的问题,因为 DPC 在纸面上一直在调查 Facebook 的广告业务是否符合 GDPR 的要求,即近四年来有一个有效的法律依据来处理人们的数据。
例如,自 2018 年 5 月法规生效以来,DPC 一直在考虑针对 Facebook 的投诉,重点关注其处理广告用户数据的法律依据。
DPC 关于该调查的决定草案于去年秋天发布(不是由 DPC 发布),很快就被隐私活动家称为一个笑话,因为监管机构似乎打算接受 Meta 的策略,以规避 GDPR 的基于同意的标准通过声称狡猾的合同绕过来进行处理。
这里的 tl;dr 是,要使同意在 GDPR 下有效,必须给予数据主体自由选择。同意也必须是特定目的(也就是不捆绑);它必须被告知。
如果您使用 Facebook,则这些都不会发生——该平台将处理您的信息以用于广告定位的使用条件。点击“同意广告”或不为您提供 Facebook 帐户。
但是,根据去年泄露的 DPC 决定草案,Facebook 声称用户实际上与它签订了接收定向广告的合同——而 DPC 似乎没有理由反对这种绕过 GDPR 的结构。
鉴于 GDPR 投诉仍在此类法律基础上挣扎,Meta 的广告定位机制的深层、黑暗、软肋,正如本文件所言,包含大量网络用户的监控数据,但用于监控的设备却如此之少。根据人们自己的意愿订购这些信息?
最重要的是,欧盟实施其“旗舰”数据保护制度已将近四年,而 Facebook 本身仍未受到 GDPR 执法的影响。 (其消息平台 WhatsApp 去年被罚款。)
2018 年 GDPR 生效时,欧盟也没有突然发明隐私法规。在该法律之前有数据保护指令,其中包括许多相同的原则。
所以——至少在欧洲——如果像 Facebook 这样的公司实际上一直在关注有关设计隐私的法律要求——如果欧盟监管机构一直在大力执行这些长期存在的规则——Meta 现在可能不会就“监管”向投资者发出警告股东价值面临逆风。也没有面对听起来极其昂贵和资源密集型的重新设计挑战——与其说是登陆月球,不如说是需要用粉碎的月尘重建整个地球,以确保每一块微小的岩石灰尘被放回原来的地方。哦,还有——你猜怎么着! ——完成所有已经过去的最后期限。称之为“扎克伯格的登月计划”。
Meta 发言人没有回答一个问题,即在主板报告之后,它是否已联系 DPC,向其主要的欧盟监管机构提供有关其广告系统如何运作的信息。
该公司向我们发送了它之前提供给主板的相同声明,并以这样的感叹结束:“这个类比缺乏我们所做的背景,事实上,我们拥有广泛的流程和控制来管理数据并遵守隐私法规。”
欧盟委员会最终负责监督欧盟成员国机构对 GDPR 的应用。
我们询问委员会是否对泄露的文件有任何担忧和/或对 DPC 是否应该对 Meta 的广告数据流展开调查的看法。但在撰写本文时,它尚未做出回应。
2 月,在爱尔兰公民自由委员会对欧盟委员会提出投诉后——该委员会指责欧盟行政当局忽视了其对爱尔兰“未能正确适用”GDPR 采取行动的职责——欧盟监察员展开了调查——让欧盟委员会直到5 月 15 日,向其提供迄今为止收集的有关该法规是否在爱尔兰“所有方面”适用的信息的“详细和全面”说明。
原文: https://techcrunch.com/2022/04/27/facebook-leaked-ads-document-meta-gdpr/