Adtech 巨头 Criteo 在法国因违反 GDPR 同意而面临 6500 万美元的罚款

在对令人毛骨悚然的“跟踪广告”综合体的最新打击中，法国广告技术巨头 Criteo 被发现违反了欧盟数据保护法规，并在一项经过多年调查后的初步决定。

数字权利倡导组织 Privacy International 早在 2018 年就在欧盟的《通用数据保护条例》(GDPR) 生效时对这家监控广告技术巨头提出正式投诉，今天在推特上发布了制裁的消息。

它指责 Criteo 通过应用一套跟踪技术和数据处理实践来操作它所谓的“操纵机器”，这些技术和数据处理实践旨在分析网络用户，以便他们可以通过行为广告和广告商支付“个人级别的费用”。购物者预测”。

Privacy International 的投诉认为，Criteo 没有适当的法律依据来支持所有这些跟踪和分析以符合 GDPR ——而且法国的监管机构似乎愿意同意。

Privacy International 的一位女发言人表示，他们没有收到 CNIL 初步决定的副本，但法国监管机构按照标准投诉处理程序告知了他们的发展情况。

“CNIL 于 8 月 3 日星期二通知我们，因为他们有义务让投诉人了解他们的投诉进展。这还不是最终决定，因此为什么不公开，”她告诉 TechCrunch。 “他们甚至无法与我们分享。 Criteo 现在有机会提出陈述并实施纠正措施，之后将举行听证会，随后可能在 2023 年做出最终决定。”

我们还联系了 CNIL。

一份日期为 8 月 3 日的 Criteo 文件证实了 CNIL 对 8-K/A 文件中所述的初步调查结果，即“某些违反 GDPR 的行为，特别是与公司与其广告商和出版商的合同关系有关的同意收集监督”。

“该报告包括对公司提出的 6000 万欧元（6540 万美元）的财务制裁。根据 CNIL 制裁程序，Criteo 有权就 GDPR 调查结果和制裁价值对报告作出书面回应，随后 CNIL 制裁委员会将举行正式听证会。 CNIL 制裁委员会随后将发布一项决定草案，作为 GDPR 规定的合作机制的一部分，该决定草案将提交给其他欧洲数据保护机构进行磋商。任何关于解决方案和潜在经济处罚的最终决定可能要到 2023 年才能做出，”Criteo 的文件继续说道。

我们联系了 Criteo 以就制裁作出进一步评论，一位女发言人向我们指出其网站上的一份声明，其首席法律官 Ryan Damon 也写道：

我们强烈不同意 CNIL 调查员报告中的调查结果，无论是关于调查员声称不遵守 GDPR 的案情和拟议制裁的数量。我们认为这份报告的优点存在根本性缺陷，并且提议的制裁与所谓的不合规行为不相称。我们期待与 CNIL 进行进一步对话，并将我们的案件提交给最终裁决的最终仲裁员进行辩护。 Criteo 继续坚持最高的隐私标准，并运营着完全透明且合规的全球业务。在这些正在进行的诉讼得到解决之前，我们不会有任何进一步的评论。

CNIL 似乎没有在其自己的网站上发布该决定的通知——可能是因为它是初步的。 （尽管欧盟 DPA 也不总是发布决定。）

随着一家法国广告技术巨头积极反对其调查结果，监管机构是否会坚持其立场还有待观察。

但初步决定只是对所谓的“监视广告”生态系统（在欧洲）的最新打击——在数据保护监管的早期阶段，该生态系统的使命是剥夺网络用户的隐私以求出价优化广告商操纵个人注意力的能力。

一连串的隐私和数据丑闻让人们意识到一些批评者称之为有史以来最大的数据泄露事件——导致主流广告技术令人毛骨悚然、未经同意的作案手法突然觉醒，这反过来又导致了监管和立法的双重清算（即使仍有大量实际的 GDPR 实施仍然存在）。

今年早些时候，比利时的 DPA 证实了一项针对广告行业机构 IAB Europe 的早期初步调查结果，以及其用于收集用户围绕跟踪广告的选择的旗舰跨行业标准，称为透明度和同意框架/TCF——确定了 GDPR 的洗衣清单违规行为，并给 IAB 六个月的硬性期限来改革框架以使其合规（尽管隐私专家建议除了对这些系统进行根和分支重新配置之外别无他法）。

近年来，法国的 CNIL 还针对跟踪 cookie 违规行为发布了一些 重大制裁——根据欧盟的 ePrivacy 立法—— 今年早些时候，谷歌（受制裁的科技巨头之一）在欧洲发布了修订后的 cookie 横幅，最终为用户提供了一个明确的选择否认其跟踪。相当的胜利。

今年，欧盟立法者还同意禁止在即将出台的数字法规中使用敏感数据和儿童数据用于定向广告。虽然本周欧盟最高法院的一项判决似乎将通过巩固对敏感数据构成的非狭义定义来加强即将到来的限制。

原文： https://techcrunch.com/2022/08/05/criteo-gdpr-breaches-cnil/