这次早期的国内生产总值及技术罢工使同意成为焦点。-王其杉博客|程序员|科技新闻
根据欧洲最新的隐私规则,同意作为处理个人数据的有效法律依据是什么样的?这听起来像是一种抽象的担忧,但对于依靠用户数据进行的工作来使自由访问的内容货币化的在线服务来说,这是一个关键问题,因为该区域的《一般数据保护条例》已经牢固地固定下来。
GDPR实际上明确表示同意。但是,如果你从5月25日起就不用费心去阅读规章的文本,而是去看看网上漂浮的一些自称同意管理平台(CMP),你可能会猜不出来。
可悲的是,令人困惑和/或不完全的同意流还没有消失。但是,公平地说,那些没有提供完全选择进入的那些是借来的时间。
因为如果您的服务或应用程序依赖于获得许可来处理欧盟用户的个人数据,那么GDPR国家必须自由地给予、具体、知情和毫不含糊的同意。
这意味着您不能在单个选项下捆绑多个用于个人数据的用途。
您也不能混淆不透明的措辞后面的同意,而这些措辞实际上并没有指定您将要对数据执行的操作。
您还必须向用户提供不同意的选择。所以你不能预先勾选所有你真正希望用户自由选择的同意框,因为你必须让他们这么做。
这并不是火箭科学,但从某些方面来看,adtech产业的反弹是可预见的,因为它令人非常沮丧。
消费者也注意到了这一点。今年,欧洲的网民们纷纷提出基于同意的投诉。而现在许多被称作“GDP依从性”的东西可能不是。
因此,大约六个月后,我们基本上处于等待监管锤头下降的状态。
但如果你仔细观察,会发现一些早期的执法行动表明一些同意的迷雾正在开始转变。
是的,我们仍在等待针对科技巨头的主要的同意投诉结果。(当然也要储备爆米花看那个地方。)
但上个月底,法国数据保护监督机构,CNIL宣布关闭今年夏天对Fidzup公司发出的正式警告,称它满意自己现在符合GDPR。
在新法律制度的早期,这种监管批准的印章显然是罕见的。
因此,尽管Fidzup不是一个adtech巨头,它的经验还是做了一个有趣的案例研究,展示了同意的界线是如何被跨越的;它如何与CINL合作,能够解决这个问题;以及,对于依赖于同意才能实现基于位置的移动标记的(相对的)小型adtech企业,法律右侧意味着什么?做生意。
从零到GDPR英雄?
Fidzup的服务是这样工作的:它在合作伙伴零售商的物理商店内(或在其上)安装工具包,以检测特定于用户的智能手机的存在。同时,它为移动开发者提供了一个SDK,用于跟踪应用用户的位置,收集和共享用户智能手机的广告ID和wi-fi ID(这些ID和位置一起在GDPR下被判断为个人数据)。
这两个元素——实体商店中的检测器,以及移动应用程序中的个人数据收集SDK——一起为Fidzup的以零售为中心的基于位置的广告服务提供动力,当移动用户靠近合作伙伴商店时,该服务将广告推送到移动用户。该系统还能够跟踪其零售合作伙伴的广告到商店的转换。
早在七月份,Fidzup的问题在于,经过对其业务的审计,CNIL认为它没有适当同意处理用户的地理位置数据,从而以广告为目标。
Fidzup表示,它认为自己的业务符合GDPR,因为它认为应用程序发布商是代表其收集同意的数据处理器;CNIL警告提醒人们,这种解释是不正确的,它负责数据处理,也负责收集同意。
监管机构发现,当智能手机用户安装了包含Fidzup的SDK的应用程序时,他们不会被告知他们的位置和移动设备ID数据将被用于广告定位,Fidzup的合作伙伴也不与他们共享数据。
CNIL还说,在收集数据之前,用户应该被清楚地告知,这样他们可以选择同意,而不是像处理之后那样,通过一般应用程序条件(或商店海报)提供信息。
它还发现,用户在没有获得Fidzup的SDK的情况下别无选择地下载应用程序,使用这种应用程序会自动导致向合作伙伴传输数据。
Fidzup的同意方法也只是要求用户同意处理他们下载的特定应用程序的地理位置数据,而不是为了与零售伙伴进行有针对性的广告目的,而这正是公司业务的实质。
所以出现了一系列问题。当Fidzup被警告击中时,风险很高,即使没有附加货币惩罚。因为除非它能解决核心同意问题,否则这家2014年成立的初创公司可能面临倒闭。或者必须彻底改变其业务范围。
取而代之的是,它决定通过建立一个符合GDPR的CMP来试图解决同意问题——与监管机构联络大约5个月,并最终在上个月底获得批准。
正如联合创始人兼首席执行官奥利维尔·马格南·索林所言,挑战的核心在于如何处理CMP中的多个合作伙伴,因为CMP的业务需要沿着合作伙伴链传递数据——每个新用途和合作伙伴都需要获得选择加入的同意。
“第一个挑战是为多个数据购买者设计一个窗口和横幅,”他告诉TechCrunch。“我们就是这么做的。挑战是让CNIL和GDPR在措辞、UX等方面都还行。同时,出版商将允许并接受一些东西在他的源代码中实现,以显示给他的用户,因为他不想吓唬他们或失去太多。
“因为他们从我们从他们购买的数据中得到钱。”所以他们想得到他们能得到的最大限度的钱,因为没有数据收入他们很难生活。因此,挑战在于调和来自CNIL和GDPR以及出版商的需求,以获得人人都能接受的东西。”
抛开一个快速的关联性不谈,值得注意的是,Fidzup并不与广告交换或需求侧平台最有可能的数千个合作伙伴一起工作。
马格南-索林告诉我们,它的CMP名单上有460个合作伙伴。因此,尽管这个清单仍然很长,必须摆在消费者面前——例如,它不是另一家法国广告技术公司Vectaury的32000个合作伙伴,Vectaury最近也接受了CNIL的无效同意裁决。
反过来,这又暗示了“Fidzup修复”,如果我们可以这样称呼的话,那么目前为止只有规模;经常将数百万人的数据传递给数千个合作伙伴的adtech公司看起来在GDPR下存在更多的问题——正如我们之前报道过的:Vectaury的决定。
没有选择就没有同意
回到Fidzup,它的修复实质上归结为向人们提供对每个数据处理目的的选择,除非对于交付消费者打算使用的核心应用服务是严格必要的。
这也意味着让应用程序用户能够选择完全退出广告,而不会因为不能使用应用程序特性本身而受到惩罚。
简而言之,你不能束缚同意。因此,Fidzup的CMP解开了所有数据目的和合作伙伴,为用户提供同意或不同意的选项。
“您可以取消选择或选择每个目的,”现在遵从CMP的Mag.-Saurin说。“如果你只想发送数据,我不知道,个性化广告,但你不想发送数据来分析,如果你去商店或不去,你可以。”您可以取消选择或选择每个同意。您还可以看到所有购买数据的买家。所以你可以说,好吧,我可以把数据发送给每个买家,但我也可以只选择其中的几个或没有一个。”
“我认为,对于最终用户来说,CNIL的要求是非常复杂的,”他继续说。“是的,它非常精确,你可以选择一切,等等。但它非常完整,你必须花一些时间来阅读一切。”所以,我们原本希望(希望)一些短得多的东西……但是现在我们在最初要求CNIL(就像一本大书)和我们在警告之前的同意收集之间有了一些东西,因为警告太短了,而且没有正确的信息。但是读书还是很长的。”
Fidzup CNIL批准的符合GDPR的同意管理平台
“当然,作为用户,我可以拒绝一切。说不,我不想收集我的数据,我不想发送我的数据。作为用户,我必须能够像接受或拒绝数据收集一样使用应用程序。
他说,CNIL在后一点上非常明确——告诉CNIL他们不需要收集地理位置信息,以便针对该应用程序的使用进行广告定位。
他强调:“如果用户接受或不愿意共享数据,则必须向他提供相同的服务。”“所以,如果你拒绝向广告客户发送数据,那么这个应用程序和地理位置特性也会起作用。”
鉴于今年早些时候针对科技巨头Facebook和Google的“强制同意”投诉,这尤其有趣。
这些投诉认为,公司应该(但目前没有)提供选择退出有针对性的广告,因为行为广告对于其核心服务(即社交网络、消息传递、智能手机平台等)不是严格必要的。
的确,为了这种非核心服务的目的而收集数据应该要求在GDPR下有肯定的选择。(自那以后,针对Android的另外一份GDPR投诉也在