TikTok 是最新一家因违反 cookie 同意规定而受到法国数据保护监管机构教育的科技巨头。
CNIL 今天宣布的 500 万欧元罚款与 TikTok 去年年初在其网站 (tiktok.com) 上使用的 cookie 同意流程有关——监管机构发现用户拒绝 cookie 不像接受 cookie 那样容易他们——所以它本质上是通过让网站访问者更容易接受它的跟踪而不是选择退出来操纵同意。
监管机构在 2021 年 6 月检查 TikTok 的流程时就是这种情况,直到 2022 年 2 月在该网站上实施“拒绝全部”按钮——这似乎已经解决了这个问题。 (并且可以解释在这种情况下征收的相对较小的罚款,以及受影响的用户和未成年人的数量 – 以及仅与其网站相关的执法,而不是其移动应用程序。)
跟踪 cookie 通常用于提供行为广告,但也可用于其他网站活动,例如分析。
“在 2021 年 6 月进行的检查中,CNIL 指出,虽然 TikTok 英国和 TikTok 爱尔兰公司确实提供了一个允许立即接受 cookie 的按钮,但他们没有制定等效的解决方案(按钮或其他)来允许互联网用户同样容易拒绝他们的存款。需要点击几下才能拒绝所有 cookie,只有一个才能接受它们,”监管机构在一份新闻稿中指出 [用机器翻译从法语翻译]。
“受限委员会认为,让拒绝机制更复杂实际上等于阻止用户拒绝 cookie,并鼓励他们更喜欢‘全部接受’按钮的便利性,”它补充说,并表示它发现 TikTok 因此违反了法律要求同意自由——违反法国数据保护法第 82 条,“因为拒绝 cookie 不像接受 cookie 那样简单”。
此外,CNIL 发现 TikTok 没有“以足够准确的方式”告知用户 cookie 的目的——无论是在 cookie 同意的第一级显示的信息横幅上还是在“选择界面”的框架内单击横幅中显示的链接后即可访问。因此发现数处违反第 82 条的行为。
法国的执法是根据欧盟的电子隐私指令进行的——与欧盟的通用数据保护条例 (GDPR) 不同,该指令不要求将影响整个集团用户的投诉转回欧盟国家的首席数据主管主要机构(如果一家公司声称该地位——就像 TikTok 与爱尔兰为 GDPR 所做的那样)。
这使得法国监管机构近年来对大型科技公司的 cookie 侵权行为采取了一系列执法措施—— 自 2020 年以来,继 2019 年对其进行更新后,对亚马逊、谷歌、Facebook 和微软等公司处以巨额罚款(和更正令)。电子隐私指令指南,其中规定广告跟踪需要征得同意。
法国清理 cookie 同意的活动看起来像是对缓慢的跨境 GDPR 执法的重要补充——这才刚刚开始对以无同意跟踪为中心的基于广告的商业模式产生影响,例如针对 Facebook 的最终决定和 Instagram本月早些时候由爱尔兰数据保护委员会发布。
如果跟踪和分析广告巨头被迫依靠获得用户同意来运行行为广告,那么收集的同意质量必须是免费和公平的——而不是通过部署欺骗性设计技巧来操纵,这通常是这种情况——所以CNIL 的 ePrivacy cookie 执行看起来很重要。
例如,仅在去年夏天,TikTok 就无法从依赖用户同意作为其处理人们数据以运行“个性化”广告的法律依据转变为以合法利益主张作为法律依据(暗示它打算停止询问用户征求他们的同意)在欧盟数据保护机构干预后警告称,此举将不符合电子隐私指令(并且也可能违反 GDPR)。
虽然 ePrivacy 下的执法仅适用于监管机构自己的市场(在这种情况下是法国),但这些决定的影响可能更广泛。例如,谷歌在 CNIL 的制裁之后修改了它在整个欧盟范围内收集 cookie 同意的方式。这可能不是每家公司的回应方式,但与在所有欧盟市场仅应用一个(高)标准相比,为不同的欧盟市场应用不同的合规配置可能会产生相关成本。因此,电子隐私执法可能有助于设定欧盟标准。
联系了 TikTok 就 CNIL 的制裁发表评论。公司发言人向我们发送了以下声明:
这些发现与我们去年解决的过去做法有关,包括更容易拒绝非必要的 cookie 并提供有关某些 cookie 用途的额外信息。 CNIL 本身强调了我们在调查过程中的合作,用户隐私仍然是 TikTok 的首要任务。
TikTok 在法国因Natasha Lomas最初在TechCrunch上发布的操纵 cookie 同意流程而被罚款
原文: https://techcrunch.com/2023/01/12/tiktok-cnil-cookie-fine/