GDPR监视器:跟踪和同意弹出窗口是非法的

2020-10-17 04:32:01

比利时数据保护局(APD-GBA)发现,谷歌和其他公司用来使在线跟踪合法化的系统存在严重的GDPR违规行为。欧洲几乎所有屏幕上弹出的同意信息背后的系统都被发现侵犯了GDPR。APD-GBA是欧盟在这个问题上的主要执法者。

该系统被称为“透明与同意框架(TCF)”。它是由跟踪行业的标准机构互动广告局(IAB)推出的,目的是试图说服执法者,在线广告备受争议的“实时竞价”(RTB)系统符合GDPR。谷歌今年开始使用TCF。

但IAB的系统允许公司交换关于人的敏感信息,即使这是未经授权的。据比利时数据保护局的监察局称,

“IAB欧洲公司的做法表明,它忽视了影响数据主体权利和自由的风险。”

RTB在网站和应用程序的幕后运作。它不断地将人们在网上做的和看的私人事情广播给追踪公司。它还告诉他们我们在现实世界中的位置。没有办法限制这些数据中的任何一个会发生什么。

2019年,欧洲的RTB广告市场价值67亿欧元。现时并无估计透过即时传送服务系统收集的个人资料的市值。然而,出版商越来越担心通过RTB系统窃取他们的受众。

根据比利时数据保护局的监察局,IAB没有提供足够的控制来处理最亲密的数据,GDPR称这种数据为“特殊类别”数据。*上个月,爱尔兰公民自由委员会透露,RTB数据被用来分析LGBT+人群以影响全国选举,RTB数据被用来分析乱伦和性虐待的受害者。

比利时的调查结果是GDPR两年前发起的针对RTB数据泄露事件投诉活动的一部分,该活动是爱尔兰公民自由委员会(Council For Civil Liberties)的约翰尼·瑞安(Johnny Ryan)博士发起的,当时他是一名科技高管。他说:

“每天困扰我们数十次的弹出窗口,是为了给行为广告系统核心的大规模数据泄露披上一层薄薄的法律外衣。比利时数据保护局理所当然地揭开了这层外衣,揭露了在线行为广告中的大规模违法行为。

IAB为全球跟踪行业提供法律指导。10月份,它开始为加州新的隐私法CCPA推出基于TCF的系统。8月份,它启动了IAB隐私实验室,以游说立法者,并为地区法律制作TCF的变体。

但比利时隐私监管机构现在发现,即使是IAB自己网站上的隐私政策也侵犯了GDPR,而且IAB未能任命一名数据保护官员。

“关于IAB内部GDPR合规性差的调查结果表明,它在数据保护和隐私法的最基本方面缺乏专业知识或兴趣”。

比利时当局的报告称,“检查服务机构认为IAB欧洲公司试图逃避其对GDPR的责任,这构成了加重情节”。

“这些调查结果令人痛心,早该如此。作为标准制定者,IAB对违反GDPR的行为负有责任。他们的监管当局正确地发现,IAB“忽视”了数据主体面临的风险。IAB现在的责任是阻止这些“违规行为”。

比利时数据保护局的监察局已经将调查结果提交给诉讼分庭,并将在2021年初采取行动。

他说:“我很高兴看到数据保护当局决心挑战追踪业。这可能是推翻监视资本主义的第一步。“

在16个欧盟成员国中,有22名RTB申诉人、个人和组织。他们是爱尔兰公民自由理事会高级研究员Johnny Ryan博士;开放权利组织执行董事Jim Killock;图灵研究所的Michael Veale博士;Panoptykon基金会首席执行官Katarzyna Szymielewicz;Bits of Freedom主任Evelyn Austin;Eticas基金会首席执行官Gema Galdon Clavell;Jose Belo;阿姆斯特丹大学的Jef Ausrous博士;鲁汶大学的Pierre DeWitte;自由欧盟;民权协会;Digitale勇气;Ligue des Droits humains;Netzenszensk;Deutsche Vereinchutz;意大利公民权利和自由联盟;保加利亚;赫尔辛基委员会;赫尔辛基委员会。罗马尼亚捍卫人权协会;意大利公民权利和自由联盟;爱沙尼亚人权中心;和平研究所。