埃隆·马斯克 (Elon Musk) 在推进任何向欧盟 Twitter 用户强制投放行为广告的计划之前,应该注意最近对 Meta 的重大隐私罚款。
也就是说:在今天的评论中,在欧盟隐私监管机构发布针对 Meta 的两项最终决定之后,将欧盟的通用数据保护条例 (GDPR)应用于 Facebook 和 Instagram——这些决定包括总计约 4.1 亿美元的罚款(仍然有针对 WhatsApp 的第三项决定即将到期),以及在三个月内纠正其非法数据处理的命令——欧洲数据保护委员会 (EPBD) 已向其他试图通过不向用户提供数据来无视欧盟数据保护规则的企业发出明确警告可以选择接受行为广告跟踪。
“EDPB 具有约束力的决定澄清了 Meta 非法处理个人数据用于行为广告。此类广告对于履行所谓的与 Facebook 和 Instagram 用户的合同而言并不是必需的。这些决定也可能对其他以行为广告为商业模式核心的平台产生重要影响,”EDPB 主席 Andrea Jelinek 在一份声明中说。
董事会还称 Meta 与其用户之间的关系“不平衡”,称其“严重违反”透明度义务“影响了用户的合理期望”,并批评这家科技巨头向用户展示其服务“以误导的方式”——这导致 EDPB 还发现违反了 GDPR 的公平原则以及透明度缺陷。
监督机构监督欧盟 GDPR 的应用,目的是确保成员国监管机构应用法律的一致性。它最终负责打击 Meta 关于行为广告合同必要性的虚假声明 – 发布具有约束力的决定,迫使该公司的 GDPR 主要数据保护监管机构爱尔兰数据保护委员会 (DPC) 推翻其已经得出的结论在其 2021 年的决定草案中,发现 Meta 通过合同必要性声明强制同意跟踪广告的做法是非法的。
行为广告是指一种有针对性的广告形式,其中广告的选择是通过跟踪和分析个人用户的在线活动(有时还通过结合离线数据集以进一步丰富这些每个用户的个人资料)来确定的——因此,在欧盟数据保护法条款中,通过处理个人数据——一项需要有效法律依据的活动。其他类型的不需要处理个人数据的定向广告(例如上下文定向广告)是可用的。因此,Meta 声称对个人进行侵入性跟踪和分析是其服务的必要核心组成部分,也未能通过董事会的审查。
EDPB 今天的评论——关于 Meta 广告决定可能对其他平台产生的“重要影响”——看起来也与 TikTok 相关, TikTok 去年试图取消用户拒绝其跟踪广告的能力——称它计划改变法律基础对于“个性化”广告,从同意到合法利益——在面对隐私监管机构的警告后迅速冻结此举。
TikTok 现在任何恢复这种转变的举动——这两项主要的 GDPR 决定反对 Meta 的“强制同意”地位——只会招致迅速的监管审查,因此这种转变到其声称的法律依据肯定是极不可能的(尤其是视频共享平台正忙于提升其在欧盟立法者面前的形象——因为委员会开始根据《数字服务法》(DSA) 和《数字市场法》(DMA) 对数字平台行使新的监督权)。
因此,仅仅因为 Facebook 多年来一直通过投放非法广告来处理欧洲人的数据并从中获利,并不意味着其他广告资助的平台将从欧盟监管机构那里获得同样的免费乘车服务。执法终于来了。
(根据记录,Meta 表示将对两项 GDPR 决定提出上诉。它还否认它们意味着它别无选择,只能征求欧洲用户同意其行为广告——指出该法规允许“ 一系列”法律依据,但没有具体说明这些有限(和有界)的同意替代方案中的哪些可能会飞……所以,呃,公共利益行为 Facebook 广告有人吗?!)
与此同时,Twitter 也刚刚宣布其iOS 应用程序将默认为“为你推荐”的算法内容提要——要求用户主动滑动以查看他们通常按时间顺序排列的提要——这可能会引发人们对该公司所依赖的法律依据的质疑在可能不想要的用户面前进行内容个性化。因此,Meta 的 GDPR 打屁股不乏有趣的考虑因素。
这种新的 GDPR 执法动态(如果我们敢这么说的话)为合法定向广告领域的其他方法(和创新)提供了区域机会——无论是在获得有效用户同意的情况下基于跟踪的广告。或者不涉及任何个人数据处理的广告定位形式。 (或者,好吧,他们试图声称他们没有。)
我们已经看到一些高层举措利用非法行为广告的缓慢衰退/消亡,例如谷歌计划从个人层面的广告定位转向替代的“隐私沙盒”兴趣定位广告——或者欧洲电信公司提出的一项新提议,即联合成立一家合资企业,为移动用户提供选择加入的广告定位(运营商表示,这将把定位限制在第一方数据上,并收集用户对每个广告商/品牌广告的明确同意)。
与此同时,Meta 如何在合法秩序下开展其广告定位业务还有待观察。但是,好吧,修复从不关心合规的基础设施似乎可能非常昂贵……
EDPB 今天的新闻稿还说明了它指示 DPC 调查 Meta 对敏感数据的处理的原因——这导致爱尔兰监管机构指责委员会管辖权越权,并宣布它正在采取法律行动试图废除该部分它的指令。
对此,董事会表示,它审查了 DPC 是否尽职调查了针对 Meta 广告合法性的投诉。
“投诉人提出了敏感数据由 Meta IE [爱尔兰] 处理的事实。然而,IE DPA [又名 DPC] 没有评估敏感数据的处理,因此,EDPB 没有足够的事实证据使其能够对任何可能违反控制者义务的行为做出调查。 9 GDPR [涉及特殊类别数据的处理],”它写道。 “因此,EDPB 不同意 IE DPA 提出的结论,即 Meta IE 在法律上没有义务依赖同意来执行交付其 Facebook 和 Instagram 服务所涉及的处理活动,因为如果没有,就无法断言得出结论进一步调查。因此,EDPB 决定 IE DPA 必须进行新的调查。”
DPC 经常被指责在 GDPR 投诉中“玩弄边缘”——例如展开比投诉人要求的范围更窄的调查(或者根本不展开调查)。在几起案件中,它还因不作为而被起诉( 甚至面临刑事腐败指控)。因此,值得注意的是(对爱尔兰来说也是尴尬的),EDPB 的具有约束力的决定得出的结论是,爱尔兰监管机构未能调查 Meta 数据处理的要素,据称这是它得出其拟议结论的必要条件,即 Meta 在法律上没有义务依赖同意。
随着反对 DPC 执行 GDPR 方法的污点消失,董事会的这种教育是对都柏林统计的一个重要补充。
尽管如此,鉴于欧盟法律规定数据保护机构的独立性,EDPB 指示 DPC 对 Meta 的数据处理展开全新调查的指示引起了一些疑惑的关注。
在这一点上,noyb 的名誉主席 Max Schrems——长期以来一直批评(尤其是)DPC 执行 GDPR 的方法,但更普遍地说,欧盟 DPA 的资源有多么贫乏,欧洲人行使其权利有多么困难——建议它仍然显示系统不工作。
很少有人会说 GDPR 的执行是一帆风顺的——但在该法规实施五周年之际(今年 5 月),现在有一个定期的决策流程,包括一些对权利敌对商业模式有影响的重大决策。因此,指针似乎在移动——尽管故事很少以最终决定结束(因为随后可能会进行多年的法律上诉)。
今年对欧盟监管工作的大量关注也将转向欧盟委员会——看看它如何在更大的数字平台(前面提到的 DSA 和 DMA)上执行两项新法规;一个由欧盟立法者设计的新的集中执法结构,无疑是从多年来对 GDPR 执行缓慢和薄弱的批评中得到启发的。
因此,Meta 非法广告的遗留问题,以及爱尔兰为打击其未经同意的跟踪和分析而采取的反复无常的做法,已经是一个持久的问题。
Meta 的广告在欧盟被发现是非法的,这是对其他广告资助平台的警告,作者Natasha Lomas最初发表于TechCrunch
原文: https://techcrunch.com/2023/01/12/meta-ads-gdpr-decisions-edpb/