Cookie 横幅广告违法吗?
谷歌和亚马逊基于跟踪的广告在欧盟受到抨击。在一项具有里程碑意义的裁决中,布鲁塞尔上诉法院宣布基于欧洲 IAB 透明与同意框架的 Cookie 同意横幅广告无效。
目标定位和 Cookie 横幅的中央模块是非法的
广告公司用于在线收集 GDPR 同意的技术标准是非法的。其后果可能是巨大的—对媒体机构如此,对谷歌、亚马逊、微软、X 等行业巨头也是如此。
比利时 DPA 的决定
比利时数据保护局(APD)裁定—布鲁塞尔上诉法院现已确认—Cookie 横幅的中央机制违反了《欧洲通用数据保护条例》(GDPR)。该裁决是在所谓的一站式程序中做出的。这意味着它适用于整个欧盟。该程序源于爱尔兰公民自由委员会(Irish Council for Civil Liberties)和其他欧洲民权组织的投诉,有可能对欧洲广告业造成巨大打击。
点击此处了解更多相关信息。
对数据行业的沉重打击
根据这项裁决,基于 TCF 的 Cookie 横幅现在在整个欧洲都是非法的 ,因为这些横幅 在多个层面上违反了 GDPR:
- 无效的同意收集(GDPR 第 5(1)(a)、6 条)
- 缺乏透明度(GDPR 第 12-14 条)
- 个人数据安全性不足(《个人信息保护条例》第 5(1)(f)、25、32 条)
广告商以 “合法利益 “为由进行 cookie 跟踪也违反了 GDPR。法院明确拒绝将 “合法利益 “作为实时竞价(RTB)和类似在线跟踪形式的法律依据,因为它们存在严重的隐私风险。因此,为广告跟踪 提供合法利益切换的 Cookie 横幅是非法的 。
爱尔兰公民自由委员会执行主任约翰尼-瑞安(Johnny Ryan)博士说:
“今天法院的判决表明,谷歌、亚马逊、X、微软使用的同意系统欺骗了数亿欧洲人。科技行业试图用虚假的同意弹出窗口来掩盖其巨大的数据泄露行为。科技公司将 GDPR 变成了一种日常骚扰,而不是人们的保护伞”。
Cookie 同意和定向广告是如何工作的?
Cookie 同意
互联网上的定向广告是这样工作的(简化解释):对使用 Cookie 跟踪定向广告的网站的每次访问都会引发广告提供商之间的拍卖。根据用户的个人资料和其他一些因素(= 实时竞价),在几毫秒内就能决定用户将看到哪些广告。
实时竞价
为了让实时竞价(RTB)发挥作用,广告公司需要了解当前浏览其网站的用户的很多信息:年龄、性别、兴趣、访问过的网站、居住地、购买力等等。这些数据用于显示最合适的广告,即用户最有可能点击的广告。
请阅读我们 Tuta 呼吁全面禁止定向广告的原因,以及我们认为基于广告的商业模式必须消亡的原因。
未经同意进行跟踪?
然而,根据 GDPR,只有在用户同意的情况下才允许进行此类跟踪。欧洲广告协会(IAB Europe)的 “透明和同意框架”(TCF)理应要求用户同意:如果用户点击 “接受 Cookie “或不反对使用其数据符合提供商的合法利益,TCF 就会生成一个所谓的 TC 字符串。该标识符是创建个人档案的基础。然后,个人档案将被用来与要显示的广告相匹配。在此过程中,TC 字符串会被转发给 OpenRTB 系统中成百上千的合作伙伴。
整个广告行业(在谈到定向广告时)都以 TC 字符串为基础,这使得它成为在线广告生态系统中最重要的标准。
该裁决对广告行业有何影响?
在一项具有里程碑意义的裁决中,比利时 APD 于 2022 年裁定,与数百家合作伙伴共享 TC 字符串违反了《通用数据保护条例》(General Data Protection Regulation)。据监管机构称,广告商用于收集互联网定向广告同意的系统不符合合法性和公平性原则。
比利时 APD 在裁决中对开发和运营 TCF 机制的广告协会 IAB Europe 罚款 25 万欧元。此外,IAB 现在必须删除已经收集的个人数据—这些数据对广告业来说价值连城。值多少钱?看看 2024 年对谷歌的类似判决就能估算出来,该判决迫使这家科技巨头删除了在 “隐身模式 “下非法收集的价值 50 亿美元的用户数据。然而,更重要的是,比利时 APD 为广告业继续使用 “透明与同意框架 “所强加的条件。
数以千计的网站运营商、几乎所有的网络媒体以及谷歌、微软、亚马逊、X 等大型广告公司都在使用该机制,以传递所谓的用户同意为广告目的处理其个人数据的信息。
比利时 APD 诉讼委员会主席 Hielke Hijmans说:
“人们被邀请表示同意,但他们中的大多数人并不知道,他们的个人资料每天都会被大量出售,以向他们展示个性化的广告。虽然我们今天的决定涉及 TCF,而不是整个实时竞价系统,但它将对保护互联网用户的个人数据产生重大影响。必须恢复 TCF 系统的秩序,这样用户才能重新控制自己的数据。
Hijmans 说,即使这一决定不会直接影响整个互联网广告系统,但也会对网络用户个人数据的保护产生重大影响。
为什么该决定意义重大?
比利时数据保护机构认为,不仅广告档案是个人数据,用于定向广告的 TC 字符串也必须被视为个人数据。该字符串可以与 IP 地址相结合,从而使任何用户都能被识别。
法院的裁决非常清楚地说明了这一点:
“TC 字符串是个人数据。 正如欧盟法院在此案中所确认的,无论 IAB Europe 是否可以访问它,这一点都适用”。
因此,IAB Europe 用于生成 TC 字符串的 TCF 协议违反了 GDPR。此外,用户对数据跟踪(cookies)的同意也是无效的,因为网站所有者没有足够的合法权益来征求用户的同意。
当局认为,用户的合法利益大于广告公司的合法利益,因为基于跟踪的实时竞价广告风险很高。
此外,在用户同意时向其提供的信息过于笼统和模糊,用户无法理解其数据处理的性质和范围,特别是考虑到基于跟踪的广告的复杂性。
Cookie 横幅广告是否违法?
因此,关于跟踪法律细节的讨论所引发的主要问题是:Cookie 横幅广告是否违法?Cookie 横幅广告是否违法 ?与Google Analytics 在欧盟是否非法的问题类似,答案是肯定的,也 是否定的 。
虽然目前在欧盟实施的 许多Cookie 横幅 广告都是非法的 ,例如因为它们将广告跟踪作为合法利益的理由,或者因为它们在收集哪些数据以及为什么收集这些数据方面过于含糊,但在欧盟使用 Cookie 横幅广告总体上并不违法 。
但这对 Cookie 的未来意味着什么呢?
Cookie 广告横幅已成为网络上一个真正的困扰,有时甚至和广告本身一样令人讨厌—人们可以通过广告拦截器,甚至在 Gmail 中拦截广告。Cookie 广告横幅最让人们烦恼的是,通常很容易就能 “全部接受”,而 “全部拒绝 “的选项却往往没有。不过,出版商的这种做法—只显示 “全部接受 “按钮—现在在德国也受到了抨击,希望 “全部拒绝 “按钮很快就能在各地出现。
无论如何,根据布鲁塞尔的现行规定,出版商必须调整 Cookie 横幅的使用 。出版商必须
- 对跟踪 Cookie 使用真正的选择同意(没有预选框)
- 提供简洁明了的信息,说明收集了哪些数据以及收集的原因
- 不得以 “合法利益 “作为广告跟踪的依据
第一个后果?谷歌新的 “全部拒绝 “按钮
谷歌 终于 在其 Cookie 横幅上添加了 “全部拒绝 “按钮,这是欧洲当局以更严格的方式行使客户权利的第一个迹象。
隐私保护爱好者的好消息
对于重视数据保护的互联网用户来说,比利时数据保护局和布鲁塞尔上诉法院宣布目前使用的 Cookie 横幅广告非法的决定是一个非常好的消息。
首先,广告技术公司必须删除通过 TCF 机制收集的用户数据。
其次,更重要的是,比利时数据保护机构的裁决可能会导致整个个性化广告系统被推翻。
这将最终终结定向广告。