在意大利的数据保护监管机构介入并在计划的隐私政策变更前几天发出法律不足的警告后,TikTok 试图改变针对欧洲用户的广告的法律依据似乎遇到了麻烦。
用户生成的视频共享平台上个月引起了隐私专家的关注,当时它悄悄地披露了其针对欧洲经济区、英国和瑞士用户的条款和条件即将发生的变化,该平台表示将从 7 月 13 日开始实施——从依赖在同意处理用户数据以运行“个性化”广告的情况下,声称有称为“合法利益”的法律依据,并表示因此将停止向用户征求他们的许可以跟踪定向广告。
隐私专家很快质疑这种转换是否会通过数据保护监管机构的审查。
4/ 在我看来,除非 TikTok 尊重在“合法利益”的法律基础下反对处理个人数据的权利,否则您将别无选择将您在 TikTok 上的行为数据用于个性化广告’。
会吗?— 隐私问题
(@PrivacyMatters) 2022 年 6 月 19 日
答案——至少在意大利——似乎是否定的。
意大利当局在一份宣布对 TikTok 的“正式警告”的新闻稿中写道,在听说 TikTok 计划的隐私政策修订后,它“立即”开始了一项事实调查工作,得出的结论是,计划中的法律依据转换是不相容的符合欧盟指令和转换欧盟框架的当地数据保护法。
“这两项法律文书都明确规定,数据主体的同意是’在订户或用户的终端设备中存储信息或获取已存储信息的访问权’的唯一法律依据,”它警告说。
意大利的 DPA 也对 TikTok 以儿童为目标的风险提出了担忧,如果它继续进行这些改变——考虑到早先对其是否能够识别其平台的未成年人使用情况的担忧。
Garante表示,它是根据欧盟的电子隐私指令行事,该指令涵盖了跟踪技术和在终端设备上处理的数据。
该指令允许其在国家层面进行干预——而不必将担忧提交给爱尔兰的数据保护机构,该机构导致针对 TikTok 的投诉属于通用数据保护条例 (GDPR),因为该条例所谓的“一站式”机制,旨在简化企业的合规性(但批评人士认为,这使得科技巨头能够通过论坛购物逃避对隐私敌对数据处理的责任)。
爱尔兰数据保护委员会 (DPC) 确实对 TikTok 的活动进行了两项公开的 GDPR 调查——这两项调查于2021 年 9 月启动(包括一项专注于处理儿童数据)——但两项调查均未产生任何决定、公开警告或命令到目前为止。
因此,与意大利监管机构如此迅速地对担忧做出反应的对比看起来很明显。
除了今天向 TikTok 发出正式警告外,意大利 DPA 还表示,如果该平台“不退缩”,它保留采取额外措施的权利,包括紧急程序。
GDPR 的第 66 条允许数据保护监管机构绕过标准要求,通过首席监管者传达问题——并立即在全国范围内采取临时措施(可持续三个月)——如果他们确信迫切需要采取行动保护数据主体的权利和自由。因此, Garante可以寻求使用一种机制在 GDPR 下迅速采取行动,即如果 TikTok 不因隐私政策切换而退缩。
它之前曾使用这种机制介入 TikTok 平台的紧急担忧——例如,在 2020 年就年龄检查不足发出警告,然后命令 TikTok 屏蔽无法验证年龄的用户。
几个月后, TikTok 清除了意大利超过 50 万个账户,无法确认这些账户不属于未成年人。
现在,意大利的数据监管机构表示,它对平台转向在保护注册儿童用户方面的法律依据不足感到“特别担忧”,并警告说:“[T] TikTok 目前遇到的困难是为了建立遵守访问平台的年龄要求不允许排除基于公司合法利益向非常年轻的用户提供包含不合适内容的‘个性化’广告的风险。”
因此,它采取了向 TikTok 发出正式警告的步骤,即基于“合法利益”处理用户数据将“与当前的监管框架相冲突,至少在用户设备中存储的信息方面,并且会在纠正措施和罚款方面也会带来所有相关后果”,正如它所说的那样。
虽然欧盟的 GDPR 允许对确认违反规则的行为处以高达上一年全球总营业额 4% 的罚款,但旧的电子隐私指令授权成员国的主管机构发布“有效、相称和劝阻性”的处罚(在最近的 一些案例中,这导致科技巨头面临一些值得注意的罚款,其中一些超过 1 亿美元,甚至导致一些值得注意的政策重新思考——因此欧盟隐私法规的执行肯定会产生影响,即使还需要更多)。
“发现违反 ePrivacy 指令后,意大利 SA 可以直接和紧急介入 TikTok,超出 GPDR 规定的合作程序,该程序本应要求爱尔兰数据保护委员会领导诉讼程序——因为 TikTok 已将它在爱尔兰的主要欧盟机构,” Garante在其新闻稿中解释说,然后表示它不相信 TikTok 计划的隐私政策变更在 GDPR 下也是合法的——并补充说,因此它还通知了爱尔兰 DPC 和欧洲数据保护委员会(EDPB)“以便他们考虑采取进一步行动”。
目前尚不清楚可能会采取什么进一步行动。
DPC 可能决定展开新的调查(假设 TikTok 没有放弃其计划)——尽管迄今为止爱尔兰监管机构的跨境/大型科技案件工作所涉及的时间框架表明,它可能需要数年时间才能做出决定和任何执法。
因此,EDPB 可以发挥重要作用——如果意大利监管机构决定继续执行 GDPR 第 66 条紧急程序并要求其介入并对 TikTok 采取最终措施。
虽然委员会拒绝了汉堡 DPA 提出的关于对 WhatsApp-Facebook 数据共享的投诉的此类请求,但去年它确实命令 DPC“迅速”进行调查。而且,几个月后,爱尔兰监管机构在对WhatsApp 的长期透明度调查中做出了最终决定,并处以 2.67 亿美元的罚款。 (尽管委员会的命令与 DPC 得出的“自己的意志”调查结论之间的联系并不完全明确。)
已联系 TikTok 和爱尔兰 DPC 对Garante的最新干预发表评论。
近年来,视频分享平台也面临着来自消费者保护监管机构的区域性审查。许多机构早在2021 年 2 月就提出了担忧,包括围绕儿童安全和营销。这些协调一致的消费者保护投诉引发了由欧盟委员会牵头的“正式对话”,就在上个月,监管机构接受了 TikTok 的一系列承诺,以调整其广告披露(当时没有发布任何处罚)。
然而,有关 TikTok 用户画像的隐私问题并未作为消费者保护行动的一部分得到解决——这也可以解释为什么意大利的 DPA 决定现在进行自己的干预。
原文: https://techcrunch.com/2022/07/11/tiktok-privacy-switch-warning-italy/