甲骨文和Salesforce因Cookie跟踪同意而遭遇GDPR集体诉讼

诉讼将辩称，对互联网用户进行实时竞价广告拍卖的大规模监控不可能符合围绕同意处理个人数据的严格欧盟法律。

诉讼当事人相信，如果他们最终在辩论中获胜，集体索赔可能会超过100亿欧元-尽管这样的法律行动可能需要几年时间才能通过法院。

在英国，鉴于缺乏在与数据权利相关的案件中寻求集体损害赔偿的既定模式，该案也可能面临一些法律障碍。尽管有迹象表明这种情况正在改变。

非营利基金会隐私集体今天向阿姆斯特丹地区法院提起诉讼，指控这两家数据经纪巨头通过第三方跟踪cookie和其他广告技术方法处理和共享人们的信息，违反了欧盟的一般数据保护条例(GDPR)。

由Brandeis律师事务所牵头的荷兰案件，是荷兰有史以来最大的与违反GDPR有关的集体诉讼-索赔基金会代表了所有荷兰公民的利益，他们的个人数据在未经甲骨文(Oracle)和Salesforce的同意和知情的情况下被使用。

类似的案件将于本月晚些时候提交给英国伦敦高等法院，该法院将参考GDPR和英国的PECR(电子通信隐私法规)-后者管理使用个人数据进行营销通信。那里的案件是由Cadwalader律师事务所牵头的。

根据GDPR，处理欧盟公民个人数据的同意必须是知情的、具体的和自由给予的。该规定还授予个人有关其数据的权利-例如接收其个人信息副本的能力。

诉讼的焦点正是这些要求，这些案件将争辩说，科技巨头的第三方跟踪cookie、Bluekai和Krux-托管在亚马逊(Amazon)、Booking.com、Dropbox、Reddit和Spotify等数十个热门网站上的跟踪器-以及其他一些跟踪技术正被用来大规模滥用欧洲人的数据。

根据甲骨文的营销材料，其数据云(Data Cloud)和蓝凯市场(Bluekai Marketplace)提供商是合作伙伴，可以访问约20亿全球消费者档案。(与此同时，正如我们在6月份报道的那样，Bluekai遭遇了一次数据泄露，数十亿条记录暴露在开放的网络上。)。

而Salesforce声称其营销云每月与超过30亿的浏览器和设备“互动”。

多年来，两家公司都通过收购增强了跟踪和定位能力；甲骨文在2014年收购了Bluekai-Salesforce在2016年收购了Krux。

-https://t.co/NMsaCzjhv5，甲骨文，声称拥有20亿消费者的档案-https://t.co/foiigL4T9C：Lotame，声称拥有30亿用户的档案-https://t.co/BCmd8oKDoq：Salesforce DMP，声称与30亿用户互动。

在与TechCrunch的电话交谈中，英格兰和威尔士的阶级代表、索赔人丽贝卡·拉姆布尔(Rebecca Rumbull)博士在谈到这起诉讼时表示：“我认为，任何普通人都不可能真的知情同意甲骨文和Salesforce放置的cookie处理他们的数据的方式。”

“当你开始挖掘它的时候，你会发现这些Cookie有很多非常有害的操作方式--比如Cookie同步，以及个人数据的聚合--所以确实存在非常非常严重的隐私问题。”

近年来，这两家公司的跟踪cookie和技术提供的实时竞价(RTB)过程，使得个人网络用户在浏览时能够进行后台、高速的个人资料交易，以便运行动态广告拍卖并提供针对其兴趣的行为广告，这一过程近年来受到了包括英国在内的许多GDPR投诉。

这些投诉认为，RTB对人们信息的处理违反了规定，因为向如此多的其他实体广播数据本质上是不安全的-而相反，GDPR在设计和默认情况下都对隐私提出了要求。

与此同时，英国信息专员办公室(UK Information Commission‘s Office)一年多来一直承认广告技术存在合法性问题。但到目前为止，监管机构一直袖手旁观，而不是执法-让投诉人犹豫不决。(去年，爱尔兰DPC在接到类似投诉后，对谷歌的广告技术展开了正式调查，但尚未在一起跨境投诉中发布一项GDPR决定--这引发了人们对执法瓶颈的担忧。)。

根据朗布尔的说法，针对RTB的两起诉讼并不集中在安全指控上，而是主要涉及同意和数据访问权。

她证实，考虑到对相关科技巨头提起诉讼的性质，他们选择了诉讼，而不是试图尝试监管投诉途径，以此作为行使权利的一种方式。

“如果我只是一个小人物，试图向甲骨文投诉，试图利用英国信息专员(UK Information Commission)来实现这一目标(…)。他们根本没有足够的资源来处理一个人对甲骨文这样的公司的投诉--就这种规模而言，“拉姆布尔告诉TechCrunch。

“就能够证明危害而言，这是一项相当多的工作，而你得到的回报可能会相当小。它肯定不会补偿我在上面花费的时间…。然而，作为一个有代表性的集体诉讼，我可以代表英国所有受此影响的人。

“然后，这笔钱就会发挥作用--甲骨文的财力雄厚，诉讼费用是巨大的，而且事实是，希望通过这种方式，在一个非常大规模、非常公开的论坛上，不仅要在最后收回资金，还要努力在该行业实现更标准化的变革。”

她补充说：“如果Salesforce和甲骨文不能成功对抗这一问题，那么希望这会在整个广告技术行业产生涟漪-鼓励那些使用这些非常有害的cookie的人改变他们的行为。”

这起诉讼由Innsworth提供资金，Innsworth是一家诉讼资助者，也为沃尔特·梅里克斯(Walter Merricks)在伦敦法院为4600万消费者对万事达卡(Mastercard)提起的集体诉讼提供资金。GDPR似乎正在帮助改变英国的集体诉讼格局-因为它允许个人采取私人法律行动。该框架还可以支持第三方代表个人提出赔偿要求。而国内消费者权益法的修改似乎也在推动集体诉讼。

英斯沃斯顾问公司(Innsworth Advisors)董事总经理伊恩·加拉德(Ian Garrard)在一份声明中表示：“英国集体诉讼制度的发展，以及欧盟/欧洲经济区(EEA)的集体补救措施，意味着英斯沃斯可以将资金投入到工作中，使数百万个人数据被滥用的个人能够诉诸法律。”

英国另一起仍在进行的诉讼，正代表Safari用户向谷歌寻求损害赔偿，这些用户的隐私设置历来被谷歌忽视。这起诉讼似乎也增强了与数据问题相关的集体诉讼风格的法律诉讼的前景。

尽管法院去年最初驳回了这起诉讼，但上诉法院推翻了这一裁决，驳回了谷歌的论点，即英国和欧盟法律要求“提供因果关系和相应损害的证据”，才能提出与数据失控相关的索赔。

法官说，索赔人不需要证明“金钱损失或困境”就可以追回损害赔偿，而且还允许课程在没有所有成员都有相同利益的情况下继续进行。

在谈到这起案件时，伦布尔表示，那里悬而未决的最终判决(可能在明年)可能会影响到她参与的诉讼是否能在英国继续进行。

“我非常希望英国司法机构对此类案件持开放态度，因为如果没有这类非常大的集体诉讼，几乎就像关闭了整个诉讼领域的大门。她说：“如果有一项法律裁决说这起案件不能继续进行，因此这起案件不能继续进行，我很想了解司法机构如何认为我们可以求助于这些私营公司来采取此类行动。”

当被问及为什么诉讼集中在甲骨文和Saleforce身上时，考虑到有这么多公司参与了广告技术管道，她说：“我并不是说它们一定是最糟糕的或唯一这样做的公司。然而，它们都是价值数十亿美元的大型国际公司。他们专门购买了不同的广告软件，如BlueKai，以加强他们在这一领域的存在-以增加自己的利润。

“这是他们做出的一个战略商业决定，目的是进入这个领域，成为重要的参与者。因此，就广告技术市场而言，他们是非常、非常大的参与者。如果他们能够对此负责，那么这将有望改变整个行业。它有望减少其他更有害的饼干制造商的藏身之处。显然，他们有非常巨大的收入，所以就针对那些造成很大伤害、有能力赔偿的人而言，这些公司是正确的目标。“

Rumbull还告诉我们，隐私集体正在收集那些认为自己经历了与在线跟踪相关的伤害的网络用户的故事。

她补充说：“有大量证据表明，这些饼干是如何工作的，这意味着你可以在个人层面上给人们带来非常、非常糟糕的结果。”“无论是与个人理财有关，还是与操纵上瘾行为有关，这些都是非常、非常有可能的--它们涵盖了我们生活的方方面面。”

英格兰、威尔士和荷兰的消费者正被鼓励通过隐私集体的网站注册他们对这些行动的支持。

Brandeis首席律师克里斯蒂安·阿尔伯丁克·蒂姆(Christian Alberdingk Thijm)在一份声明中表示：“你的数据被实时出售给出价最高的人，这公然违反了欧盟的数据保护规定。”这种广告定向技术是阴险的，因为大多数人没有意识到它的影响或它带来的侵犯隐私和数据权利的行为。在这种广告环境中，甲骨文和Salesforce每天都会进行违反欧洲隐私规则的活动，但这是他们第一次被追究责任。这些案件将引起人们对人们从个人信息中获得天文数字利润的关注，以及这种缺乏问责给个人和社会带来的风险。“。

他说：“数以千计的机构每周处理数十亿宗投标申请，充其量并不一致地采用足够的技术和组织措施来保障资料的安全，而很少或根本没有考虑资料保护法对个人资料国际转移的要求。”GDPR给了我们维护个人权利的工具。集体诉讼意味着我们可以将造成的伤害汇总在一起，“来自Cadwalader的合伙人Melis Acuner在另一份支持声明中补充道。

隐私集体基于故意歪曲事实而故意提起毫无价值的诉讼。“正如甲骨文之前告知隐私集体的那样，甲骨文在实时竞标过程(RTB)中没有直接角色，在欧盟的数据足迹最小，并且有一个全面的GDPR合规计划。尽管甲骨文进行了冗长的解释，但隐私集体决定通过恶意提起的诉讼来追查其敲诈行为。甲骨文将对这些毫无根据的指控进行有力的辩护。

在Salesforce，信任是我们的第一价值，对我们来说，没有什么比我们公司客户数据的隐私和安全更重要的了。我们在设计和构建我们的服务时将隐私放在首位，为我们的企业客户提供工具，帮助他们遵守适用的隐私法(包括欧盟GDPR)规定的义务，保护自己客户的隐私权。

Salesforce和另一家数据管理平台提供商收到了一家名为隐私集体(Privacy Collective)的荷兰组织提出的与隐私有关的投诉。索赔适用于Salesforce Audience Studio服务，与任何其他Salesforce服务无关。

我们全面的隐私计划提供工具来帮助我们的客户保护他们自己客户的隐私权。要了解有关我们为企业客户提供的工具以及我们对隐私的承诺的更多信息，请访问：Salesforce.com/Privacy/Products/