对 Apple 的罕见隐私处罚:法国的数据保护监管机构 CNIL 宣布,它对 iPhone 制造商处以 800 万欧元(约合 850 万美元)的处罚,原因是其在放置(和/或阅读)之前未获得当地移动用户的同意) 违反当地数据保护法的设备上的广告标识符。
制裁决定于 12 月 29 日发布,但直到昨天才公布(该决定的文本可在此处获得法文版)。
CNIL 根据欧盟的电子隐私指令行事——该指令允许成员国级别的数据保护机构对当地有关数据泄露的投诉采取行动,而不是要求将这些投诉转交给相关公司所在国家/地区的首席数据主管欧盟主要机构(与欧盟较新的通用数据保护条例或 GDPR 一样)。
虽然这种 ePrivacy 罚款的数额不会在库比蒂诺造成任何不眠之夜,但苹果公司利用无与伦比的用户隐私声明来提升其高端品牌——并将 iPhone 与运行谷歌 Android 平台的更便宜的硬件区分开来——因此任何对其声誉的损害保护用户数据应该令人痛心。
CNIL 表示,它正在处理针对苹果公司在其 App Store 上展示个性化广告的投诉。该行动涉及 iPhone 操作系统的旧版本 (14.6),在 2021 年和 2022 年监管机构进行调查后,发现这家科技巨头没有事先获得用户的同意来处理他们的数据以投放有针对性的广告当用户访问 Apple 的 App Store 时。
CNIL 发现,iOS v14.6 会自动读取用户 iPhone 上的标识符——这有多种用途,包括在 App Store 上投放个性化广告——而且在监管机构看来,这种处理是在没有获得 Apple 适当同意的情况下进行的,因为同意是通过默认情况下预先检查的设置收集。 (注意:2019 CNIL 关于电子隐私指令的指南规定,广告跟踪需要征得同意。)
来自 CNIL 的新闻稿 [用机器翻译法文翻译]:
由于其广告目的,这些标识符对于提供服务(App Store)并不是绝对必要的。因此,未经用户事先同意,不得阅读和/或存放它们。然而,在实践中,iPhone 的“设置”图标中可用的广告定位设置默认情况下已预先选中。
此外,用户必须执行大量操作才能成功停用此参数,因为这种可能性并未集成到电话的初始化过程中。用户必须点击 iPhone 的“设置”图标,然后转到“隐私”菜单,最后转到标题为“Apple Advertising”的部分。这些元素无法收集用户的事先同意。
CNIL 表示罚款水平反映了处理范围(它指出仅限于 App Store);受影响的法国用户数量;以及苹果公司从标识符收集的数据间接产生的广告收入中获得的利润——以及监管机构考虑到苹果公司自那以后开始合规。
我们联系了 Apple 就 CNIL 的制裁发表评论。公司发言人证实计划上诉——向我们发送了以下声明:
我们对这一决定感到失望,因为 CNIL 之前已经认识到我们在 App Store 中提供搜索广告的方式会优先考虑用户隐私,我们将提出上诉。 Apple Search Ads 比我们所知的任何其他数字广告平台都走得更远,它为用户提供了一个明确的选择,让他们可以选择是否喜欢个性化广告。此外, Apple Search Ads 从不跨第三方 app 和网站跟踪用户,只使用第一方数据来个性化广告。我们认为隐私是一项基本人权,用户应该始终能够决定是否共享他们的数据以及与谁共享。
这不是苹果第一次因隐私双重标准面临严格审查。 早在 2020 年,欧洲隐私权运动组织 noyb 就苹果默认植入 iPhone 的广告商标识符(又名 IDFA)向欧盟数据保护监管机构提出了一系列投诉,称 IDFA 的存在与事先同意跟踪原则。
该公司近年来还被指控隐私虚伪,因为其对待跟踪 iPhone 用户的应用程序活动以提供自己的“个性化广告”与最近引入的第三方应用程序获得用户同意的要求不同。 — 在 2021 年向 iOS 引入了App Tracking Transparency功能(又名 ATT)之后。
苹果公司继续对这些论点提出异议——声称它遵守当地隐私法,并为 iOS 用户提供比竞争对手平台更高级别的隐私和数据保护。
与此同时,法国近年来一直非常积极地打击科技巨头违反 ePrivacy 的行为,还有一个例子,就在上个月,它对微软处以 6000 万欧元的罚款,原因是与 cookie 跟踪相关的暗模式设计——在发现该公司之后没有提供一种让用户拒绝 cookie 的机制,这种机制就像它向用户提供的用于接受 cookie 的按钮一样简单。
自 2020 年以来, 亚马逊、谷歌和Meta (Facebook) 也都因与 cookie 相关的违规行为而受到 CNIL 制裁。 去年,谷歌继续更新其在欧盟范围内的 cookie 同意弹出窗口,以(最终)提供一个简单的“接受”全部”或“拒绝全部”选项在顶层提供。
tl; dr:隐私工作的监管执行。
CNIL 的干预措施能够通过 ePrivacy(比 GDPR 更古老的欧盟指令)为法国用户实现稳定的执法和更正流程,进一步批判了后者旗舰隐私法规的运作,其中审查和执法关于科技巨头的诉讼继续因论坛选择、相关的程序瓶颈和资源问题以及监管机构之间就如何解决这些跨境案件的纠纷而陷入困境。
但是,虽然针对科技巨头的 GDPR 投诉可能需要数年时间,但复数才能得到执行——例如,完成针对两个 Meta 资产 Facebook 和 Instagram 的“强制同意”投诉需要大约 4.8 年,而且可能还会有多年的上诉未来的决定(以及其他甚至更长期的投诉仍在艰难地朝着最终决定缓慢推进)——欧盟指令和法规之间的区别意味着默认情况下执法是泛欧盟的,而不是局限于执法的管辖范围政治部。这意味着,对于 ePrivacy,任何更广泛的合规推广都由受制裁实体自行决定——因此对用户的影响可能更加本地化。
此外,任何(最终的)GDPR 处罚也可能比 ePrivacy 的处罚更严重——GDPR 允许罚款高达全球年营业额的 4%,而 ePrivacy 则受困于旧制度,由成员国自行设定“有效、相称和劝阻”的处罚。 (因此,这里的用户权利受制于当地政治。)
尽管考虑到这些巨头带来的收入有多少,纠正令对大型科技公司的影响可能远大于金融制裁——因为即使高达数亿美元或更多的罚款也可能仅作为开展业务的成本而注销。而改变做法以遵守隐私法的命令可以强制进行有意义的改革。
值得注意的是,多年来,欧盟一直在尝试用更新的电子隐私条例取代已有二十多年历史的电子隐私指令。然而,大型科技公司的游说和立法者对 2017 年委员会提案的争论共同导致这一时期的大部分时间都搁置了该文件。
成员国终于在 2021 年 2 月达成了共同的谈判立场——最终启动了三方谈判。但欧盟共同立法者之间关于大小细节的争论仍在继续——目前尚不清楚何时(甚至是否)可以达成共识。
这意味着老牌的电子隐私指令可能还有几年的工作寿命——以及数百万美元的大型科技罚款——在它之前。
法国对 Apple 处以罚款,原因是 App Store 广告针对Natasha Lomas最初发布在TechCrunch上的ePrivacy 违规行为
原文: https://techcrunch.com/2023/01/05/apple-app-store-ad-targeting-eprivacy-breach/