新闻速递 | IAB欧洲公司开发的透明度和同意框架(TCF)未能遵守GDPR的相关规定
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:欧洲互动广告局(IAB Europe);比利时数据保护局(Belgian DPA);《通用数据保护条例》(GDPR);透明度和同意框架(IAB TCF);监管动态
本文约1700字,大约需要阅读6分钟。
比利时DPA发现,由IAB欧洲公司开发的透明度和同意框架(TCF)未能遵守GDPR的相关规定。TCF是一个广泛的机制,有利于管理用户对在线个性化广告的偏好,并在所谓的实时竞价(RTB)中起着关键作用。BE DPA对该公司处以25万欧元的罚款,并给予IAB欧洲公司两个月的时间来提交一份行动计划,以使其活动符合规定。
该案的背景
自2019年以来,比利时DPA收到了一系列针对欧洲互动广告公司(IAB Europe)的投诉。这些投诉对所谓的透明度和同意框架(TCF)是否符合GDPR提出质疑。
TCF由IAB欧洲开发,旨在帮助依赖OpenRTB协议的组织遵守GDPR的规定。
OpenRTB协议是最广泛使用的“实时竞价”协议之一,即在互联网上销售和购买广告空间时,对用户的数据进行即时自动在线拍卖。当用户访问一个包含广告空间的网站或应用程序时,代表数以千计的广告商的技术公司可以通过使用算法的自动拍卖系统在幕后即时("实时")竞标该广告空间,以显示专门针对该个人数据的目标广告。
当用户第一次访问一个网站或应用程序时,会弹出一个界面(同意管理平台或CMP),他们可以同意收集和分享他们的个人数据,或反对基于广告技术供应商的合法利益的各种类型的处理。这就是TCF的作用:它通过CMP促进了对用户偏好的捕捉。这些偏好随后被编码并存储在一个“TC字符串”中,该字符串将与参与OpenRTB系统的机构共享,以便它们知道用户同意/反对的内容。CMP还在用户的设备上放置一个cookie(euconsent-v2)。当结合起来时,TC字符串和euconsent-v2 cookie可以与用户的IP地址联系起来,因此使偏好背后的主体可以识别。TCF在OpenRTB系统的架构中起着关键作用,因为它表达了用户对潜在供应商和各种处理目的的偏好,包括提供定制的广告。
主要发现:TCF意味着对个人数据的处理
与IAB欧洲公司的主张相反,比利时DPA的诉讼庭认为,IAB欧洲公司在通过独特的透明和同意(TC)字符串登记个人用户的同意信号、反对意见和偏好方面是作为数据控制者行事的,该字符串与可识别的用户相关联。这意味着,IAB欧洲公司可以对可能违反GDPR的行为负责。
比利时DPA确定了IAB Europe的一系列违反GDPR的行为:
未能确保个人数据的安全和保密(GDPR第5(1)f条和第32条)
由于在线广告跟踪带来了严重的风险,未能适当地请求同意,并依赖不被允许的合法性基础(正当利益)(第5(1)a条和第6条GDPR)。
未能提供关于人们的数据将发生什么后果的透明度(GDPR第12、13和14条)。
未能采取措施以确保数据处理符合GDPR的规定(GDPR第24条)。
未遵守“通过设计保护数据”的要求(GDPR第25条)
制裁措施
鉴于这些侵权行为,BE DPA的诉讼庭决定实施严重的制裁,特别是因为TCF可能会导致大量公民群体失去对其个人信息的控制。因此,诉讼庭对IAB欧洲公司处以250.000欧元的行政罚款。更重要的是,它命令该公司采取一系列纠正措施,旨在使当前版本的TCF符合GDPR的规定。
这些措施包括(除其他外):
在TCF范围内为处理和传播用户的偏好建立有效的法律依据,以及禁止使用合法利益作为参与TCF的组织处理个人数据的依据。
对参与组织进行严格审查,以确保它们符合GDPR的要求。
比利时DPA给了IAB Europe两个月的时间来提交一份实施这些纠正措施的行动计划。
根据比利时法律,IAB欧洲可以对这一决定提出上诉。
Hielke Hijmans(比利时DPA诉讼庭主席)说:"根据当前版本的TCF对个人数据的处理(如获取用户偏好)不符合GDPR,因为它内在地违反了公平和合法的原则。人们被邀请给予同意,而大多数人不知道他们的信息每天被大量出售,以便让他们接触到个性化的广告。虽然这涉及到TCF,而不是整个实时竞价系统,但我们今天的决定将对保护互联网用户的个人数据产生重大影响。必须恢复TCF系统的秩序,以便用户能够重新控制他们的数据"。
参考链接:
1、EU: IAB Europe releases FAQs on Belgian DPA's decision on its TCF | News post | DataGuidance;
2、he BE DPA to restore order to the online advertising industry:1AB Europe held responsible for a mechanism that infringes the GDPR。
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | GDPR数据保护认证制度系列之一:GDPR数据保护认证制度概述
数据安全 |《App违法违规收集使用个人信息监测分析报告》概览
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分享
案例分享 | 购物APP未经许可读取手机剪贴板是否违法?法院:侵害用户隐私权
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
立法动态 | 九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》
立法动态 |《城市大脑发展白皮书(2022)》与《城市大脑案例集(2022)》发布:智慧城市时代来了!
立法动态 |国家标准《信息安全技术 重要数据识别指南》标准征求意见稿发布
立法动态 | 最高法公开征求意见规范网络消费、直播带货、二手商品、外卖等消费者权益问题
立法动态 | 2022年1月1日起施行更新版外商投资准入负面清单
立法动态 | 港《个人资料(私隐)条例》修订,“起底”行为正式入罪
立法动态 | 中国首次发布出口管制白皮书(附发布会答记者问与全文)
立法动态 | 《区域全面经济伙伴关系协定》(RCEP)生效在即:世界上最具发展潜力的自由贸易区正式启航
立法动态 | 全国首部网络安全地方性法规《湖南省网络安全和信息化条例》
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部APP专项整治:对应用商店、SDK、终端企业、重点互联网企业等实现监管全覆盖
新闻速递 | 卢森堡行政法院暂停执行亚马逊公司 7.46 亿欧元的GDPR 罚款
新闻速递 | 荷兰税务机关因非法和歧视性数据处理行为被处以275万欧元罚款
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
Foreign Investors can Invest in Equity Investment in Hengqin
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧