Meta 加强了对抗 GDPR 的斗争
Meta的追踪问题确认加剧,争夺欧盟GDPR的控制权
发表于2023年1月12日,作者Glyn Moody
在2022年12月,我们讨论了关于Meta微定向广告的EU隐私监管机构的重要裁决的泄露内容,该系统完全依赖于持续的在线监控。这项决定的两个部分现已发布Facebook裁决,Instagram裁决,隐私专家及活动家Max Schrems对此进行了更全面的分析,他在2018年5月欧盟GDPR开始实施后仅六分钟就对Meta和Google提出了原始投诉。
此案件的其后发展历程相当不寻常,详见我们之前的文章。Schrems和他在noybeu项目的团队解释了关键问题如下:
GDPR允许六个合法依据来处理数据,其中之一是根据第6条第1款(a)项的同意。Meta试图绕过追踪和在线广告的同意要求,主张广告是其与用户之间在合同上义务的一部分。该合法依据的转变恰好发生在2018年5月25日GDPR生效的午夜。根据第6条第1款(b)项的所谓“合同必要性”通常被狭义理解,如果网络商店将地址转发给邮政服务,以便严格必要地配送订单,则是可以的。然而,Meta却认为,它可以随意在合同中添加随机元素例如个性化广告,从而避免为用户提供“是/否”同意选项。
Meta试图在GDPR中巧妙应对
Meta的论点是,当人们注册Facebook和Instagram时,他们希望获得个性化服务,包括个性化广告。为了提供这种服务,Meta声称,它必须收集个人数据来支持其微定向广告,因此这是一种“不需要明确同意的合同必要性”。
负责此案的数据保护机构,爱尔兰数据保护委员会(DPC)的草案决定接受了这一论点。然而,监督机构欧洲数据保护委员会(EDPB)不同意,并已裁定Meta必须为用户提供明确的“是/否”选项,要求用户在希望被追踪用于广告目的时进行选择。
否则,用户数据将无法用于微定向广告。这是一项普遍要求,也将适用于在欧盟经营的其他数字平台。EDPB主席安德烈亚耶利内克表示:
这些决定可能对其他以行为广告为核心的商业模式平台产生重要影响。
该裁决并不意味着如果没有用户选择同意,则会禁止定向广告。正如我们多次指出的,可以使用上下文广告来提供定制广告,而不侵犯用户隐私或建立大量潜在泄露个人数据的存储。Meta声称“必须”追踪用户以提供他们所注册的个性化广告,这种说法是错误的。
为什么数据保护机构会站在科技公司的立场而非用户那边?
微定向广告与GDPR不兼容
此外,去年进行的关于“实时竞标”,即Meta等公司采用的主要广告销售技术的详细法律分析得出结论,认为这“难以与GDPR的核心原则相协调”。这为公司选择上下文广告提供了又一强有力的理由。
EDPB对Meta Ireland处以Facebook 21亿欧元的罚款,对Instagram处以18亿欧元的罚款预计对WhatsApp的罚款也将在之后发布。值得注意的是,这一金额是DPC在投诉草案中提出的罚款的十倍左右。
海马vpn这个增加的罚款金额进一步反映出,EDPB的正式裁决对DPC来说是一次巨大的失败,DPC在此案件中一直站在Meta一边。除了批准将“合同必要性”作为收集个人数据的法律依据外,DPC甚至还游说其他欧盟数据保护机构,将Meta的GDPR绕过方法作为一种官方认可的方法。
DPC在这项投诉中对Meta的强烈支持可能与互联网公司对爱尔兰经济的重大影响有关,以及该政府希望保持投资流入的愿望。此支持甚至体现在最新的EDPB裁决中。尽管DPC现在已发布其决定,但Schrems写道,最初:
DPC通知noyb尽管是程序中的两个当事方之一,DPC也不会向noyb发布决定。DPC突然援引所谓的“保密性”作为原因。该决定将应该在稍后阶段发布给原告可能甚至在上诉期限已过后。这与DPC此前表示的各方将在DPC公开发布前接收决定的信息相悖。
爱尔兰DPC继续为Meta而战
如上所述,Meta可以上诉,并且已表示将会上诉,反对其所称的“决定实质”。这可能意味着实施EDPB裁决的三个月期限将被搁置,直到上诉决定结束。
另一项显示DPC决心推动其对GDPR解释的迹象是,该爱尔兰机构已宣布,“认为有必要在欧盟法院提起撤销行动,以寻求废除EDPB的指示。”
DPC这一非同寻常的举动表明,争夺的不是别的,而是决定谁来规定欧盟内数据保护的执法方式:是各个当局如DPC独立行事,还是EDPB施加一致的、自上而下的规则。
这场关于GDPR原则的斗争将产生重要的影响,而Meta对个人数据的最终裁决,将决定整个广告技术世界在欧盟的运作方式,并可能超越这个范围。
试用私人互联网通道
使用Stable Diffusion创建的特色图片。