背景
據(jù)報道,2021年11月,比利時數(shù)據(jù)保護機構(gòu)(APD/GBA)結(jié)束了對IAB歐洲的調(diào)查,并且形成了裁決草案。根據(jù)GDPR規(guī)定的程序,該裁決草案還需要由其他歐洲國家的數(shù)據(jù)保護機構(gòu)審查,因此草案文本尚未公開。從被調(diào)查的一方IAB歐洲的聲明[1]和向APD/GBA投訴的一方ICCL(Irish Council for Civil Liberties)發(fā)表的聲明[2]對照來看【中文翻譯見:個性化廣告 | 歐盟的自動化程序廣告即將迎來由GDPR引發(fā)的“震動”】,APD/GBA的裁決中會認(rèn)定IAB歐洲設(shè)計的TCF(Transparency & Consent Framework)機制中所用到的TC字符串(Transparency & Consent String)屬于個人信息,并且IAB歐洲是此等個人信息的共同控制者;相應(yīng)地,由于目前IAB歐洲并沒有履行GDPR規(guī)定的控制者義務(wù),因此違反了GDPR的規(guī)定。對于公眾普遍關(guān)心的TCF是否違反GDPR的問題,雙方的聲明做了不同的表述。可以預(yù)計,本案將對數(shù)字廣告生態(tài)產(chǎn)生深遠(yuǎn)的影響。
什么是“TCF”和“TC字符串”
TCF是IAB歐洲針對數(shù)字廣告生態(tài)構(gòu)建的GDPR合規(guī)解決方案[3]。正如其名字所示,TCF解決的是GDPR要求的透明度和同意的問題。根據(jù)GDPR第6條的要求,處理個人數(shù)據(jù)必須具有合法性基礎(chǔ)。將數(shù)據(jù)主體的個人數(shù)據(jù)用于數(shù)字廣告生態(tài),用戶同意和正當(dāng)利益是主要的合法性基礎(chǔ)。根據(jù)GDPR第13條關(guān)于透明度的要求,無論采用何等合法性基礎(chǔ),需要在處理個人數(shù)據(jù)之前向用戶披露。此外,如果對個人數(shù)據(jù)的處理是基于同意的,根據(jù)GDPR第4條對同意的定義,同意必須是數(shù)據(jù)主體依據(jù)其個人意愿,自由、明確、知情(承接了透明度的要求)并清楚地通過陳述或積極行為表示的。數(shù)字廣告生態(tài)的參與方眾多,包括但不限于SSP、ADX、DSP、DMP,各參與方如何能夠?qū)τ脩暨M(jìn)行有效地披露,并獲得用戶的同意是很大的挑戰(zhàn)。
為了應(yīng)對這一挑戰(zhàn),IAB歐洲設(shè)計了一套規(guī)則即TCF。基于這一套規(guī)則,直接面向用戶的媒體(TCF中的Publisher,可以是網(wǎng)站、App等)向用戶披露媒體正在收集哪些數(shù)據(jù),媒體與哪些公司合作,以及媒體及合作公司打算如何使用這些數(shù)據(jù)[4];在此披露的基礎(chǔ)上,媒體獲得用戶對于將個人數(shù)據(jù)用于數(shù)字廣告生態(tài)的同意;然后,媒體將所述同意在數(shù)字廣告生態(tài)的參與者之間進(jìn)行同步,從而使得無法直接面向終端用戶的其他數(shù)字廣告生態(tài)參與方(TCF中的供應(yīng)商即Vendor)能夠按照用戶的同意處理個人數(shù)據(jù);獲得和管理用戶同意的平臺在TCF中稱為CMP(Consent Management Platform),媒體可以自建CMP,也可以使用第三方CMP。可以看出,TCF旨在幫助數(shù)字廣告生態(tài)中的所有各方在處理個人數(shù)據(jù)或訪問和/或在用戶設(shè)備上存儲信息時遵守歐盟的GDPR和電子隱私指令,如cookie、廣告標(biāo)識符、設(shè)備標(biāo)識符和其他跟蹤技術(shù),尤其是幫助滿足GDPR中關(guān)于同意的要求。
為了方便向用戶披露供應(yīng)商的情況,IAB歐洲維護了Global Vendor List,用于記錄承諾遵守TCF的供應(yīng)商清單,以及每個供應(yīng)商會對個人數(shù)據(jù)進(jìn)行何種處理(TCF已經(jīng)將處理行為進(jìn)行了分類)以及每個供應(yīng)商為每種處理選擇的合法性基礎(chǔ)[5]。用戶可以查詢GVL來獲得關(guān)于供應(yīng)商如何處理其個人數(shù)據(jù)的信息。
TC字符串是在上述用來記錄和同步有關(guān)用戶同意的信息的數(shù)據(jù)結(jié)構(gòu)[6]。根據(jù)TCF的規(guī)則,TC字符串由CMP在用戶第一次訪問媒體的時候通過用戶詢問的方式生成,并由數(shù)字廣告生態(tài)的參與方消費。TC字符串的主要內(nèi)容包括:
元數(shù)據(jù),包括TC字符串的編碼版本,TC字符串的創(chuàng)建和更新時間,使用的GVL版本,創(chuàng)建該TC字符串的CMP身份);
對于以用戶同意為合法性基礎(chǔ)的處理行為,用戶針對向用戶披露的每個供應(yīng)商的每個處理行為是否進(jìn)行了同意;
對于以正當(dāng)利益為合法性基礎(chǔ)的處理行為,用戶是否行使了Right to Object。
由此可見,TC字符串詳細(xì)記錄了向用戶披露的信息以及用戶基于此等披露對數(shù)字廣告的各參與方處理其個人數(shù)據(jù)進(jìn)行的選擇。TC字符串會被傳遞給承諾遵守TCF的供應(yīng)商,因此理論上講,用戶的個人數(shù)據(jù)只會被這些供應(yīng)商按照用戶認(rèn)可(包括給出同意,以及沒有行使Right toObject)的方式進(jìn)行處理。
解讀
1、TC字符串是否屬于個人信息?
根據(jù)GDPR第4條的定義,個人數(shù)據(jù)指的是與已識別或可識別的自然人有關(guān)的信息。如前所述,TC字符串表示的是用戶就數(shù)字廣告生態(tài)的各方處理其個人數(shù)據(jù)給出的同意/反對。為了完成此任務(wù),TC字符串必然要以一種能夠識別個體的方式來生成、存儲和傳遞。一種典型的實現(xiàn)方式是,CMP在用戶第一次訪問媒體時根據(jù)用戶問詢生成TC字符串并存儲在cookie中;在產(chǎn)生廣告請求時,該cookie被讀取以提取TC字符串,并且將用戶對個人數(shù)據(jù)處理的同意/反對等隨著廣告請求一起傳遞到數(shù)字廣告生態(tài)的各參與者。
盡管如此,TC字符串與數(shù)字廣告生態(tài)所依賴的個人數(shù)據(jù)(例如用戶的行為數(shù)據(jù))有本質(zhì)的不同。前者是為了幫助數(shù)字廣告生態(tài)各參與方進(jìn)行GDPR合規(guī)而設(shè)計出的個人數(shù)據(jù),并且其意義在于在數(shù)字廣告生態(tài)的各參與方之間共享和被各參與方處理。因此,對此等個人數(shù)據(jù)的處理應(yīng)該采用何等合法性基礎(chǔ),用戶對此等個人信息的處理有何等數(shù)據(jù)主體權(quán)利以及如何落地,是正式裁決中一個值得關(guān)注的部分。
2、IAB歐洲是否構(gòu)成GDPR項下的控制者?
根據(jù)GDPR的定義,控制者指的是決定個人數(shù)據(jù)的處理目的和處理方式的人或組織。相應(yīng)地,共同控制者指的是共同決定個人數(shù)據(jù)的處理目的和處理方式的多個人或組織。
EDPB在其關(guān)于控制者/處理者的判定指南中[7]指出,控制者并不一定要“接觸(access)”被處理的數(shù)據(jù),不管是在控制者-處理者的關(guān)系中(見例如45段),還是在共同控制者的關(guān)系中(見例如56段)。如果組織將數(shù)據(jù)處理行為外包,并且對數(shù)據(jù)處理的目的和關(guān)鍵方式有決定性的影響,那么即使組織不會接觸數(shù)據(jù),其仍然是數(shù)據(jù)控制者,而實際接觸數(shù)據(jù)的一方為數(shù)據(jù)處理者。指南引用的Jehovah's Witnesses一案中,CJEU認(rèn)為宗教社團和社團成員構(gòu)成共同控制者。雖然宗教社團并沒有實際接觸數(shù)據(jù),也沒有就數(shù)據(jù)處理給社團成員任何書面的指導(dǎo)或指令,但是社團通過組織和協(xié)調(diào)社團成員的活動來參與確定數(shù)據(jù)處理的目的和方式,并且數(shù)據(jù)處理有助于達(dá)到了宗教社團的目的,宗教社團也一般性地了解為了傳教而需要進(jìn)行的數(shù)據(jù)處理活動。因此,即使IAB歐洲在TCF框架的運轉(zhuǎn)過程中沒有實際接觸到TC字符串,也不能因此認(rèn)定IAB歐洲不屬于TC字符串這一數(shù)據(jù)的控制者。
但是,正如IAB歐洲在2020年末針對APD/GBA的初步報告提交應(yīng)答后所發(fā)表的聲明[8]中所述, IAB歐洲沒有以任何方式處理、擁有或決定使用特定TC字符串,因此不是TCF場合下的數(shù)據(jù)控制者。具體而言,TC字符串的創(chuàng)建是由CMP完成的,TC字符串的共享和使用是由數(shù)字廣告生態(tài)的各參與方完成的。唯一可能的例外是在2021年6月22日之前,某些情況下CMP需要將TC字符串存儲在指向consensu.org的第三方cookie中,而consensu.org是由IAB歐洲所維護的。但是,該機制所支持的功能目前已經(jīng)廢止。
就TCF的實施而言,雖然在GVL中允許供應(yīng)商選擇用戶同意或正當(dāng)利益作為處理個人數(shù)據(jù)的合法性基礎(chǔ),但是如何進(jìn)行選擇是供應(yīng)商決定的,而不是IAB歐洲決定的。除了TC字符串以外,用戶的其他個人數(shù)據(jù)(例如行為數(shù)據(jù))被用于數(shù)字廣告生態(tài)完全是各參與方自己決定處理的目的和手段,而TCF僅僅提供了一種規(guī)范來展示和交流有關(guān)此等處理的信息。
根據(jù)最新的報道,IAB歐洲的共同控制者身份針對的是TC字符串這一個人數(shù)據(jù),而數(shù)字廣告生態(tài)的實現(xiàn)并不依賴于這一個人信息。因此APD/GBA認(rèn)定IAB歐洲屬于TC字符串的共同控制者后,將要求IAB歐洲如何承擔(dān)處理TC字符串的控制者義務(wù),以及這些要求如何影響IAB歐洲在整個TCF框架乃至數(shù)字廣告生態(tài)中的地位,是正式裁決中另一個值得關(guān)注的部分。此外,該裁決還可能會影響到GDPR第40條的運作,因為如果一般性地認(rèn)為行業(yè)中制定個人數(shù)據(jù)處理規(guī)范的組織(例如行業(yè)協(xié)會)需要與行業(yè)中的從業(yè)者共同承擔(dān)處理個人數(shù)據(jù)的合規(guī)義務(wù),那么行業(yè)協(xié)會在制定此類規(guī)范前就需要認(rèn)真考慮相關(guān)的合規(guī)成本。
3、TCF是否違反GDPR?
在ICCL的聲明中還提到,此次的裁決中會涉及“IAB歐洲的同意彈窗系統(tǒng)違反了GDPR,因此是非法的”(IABEurope's “consent” pop-up system violates the GDPR and is thus illegal)。筆者認(rèn)為,這個問題應(yīng)該從另一個角度來考慮,即TCF能否能夠解決數(shù)字廣告生態(tài)存在的違反GDPR的問題。數(shù)字廣告生態(tài)對個人數(shù)據(jù)的處理如何(以及本質(zhì)上是否可能)符合GDPR以及其他主流隱私法律的要求,這一問題早已引起了廣泛的討論。
數(shù)字廣告生態(tài)的核心是廣告位(inventory)拍賣機制,而拍賣機制必然伴隨著將盡可能多的關(guān)于廣告位的信息(尤其是廣告位受眾的個人數(shù)據(jù))發(fā)送給盡可能多的潛在買家,從而讓這些買家做出有效的競價選擇。如下圖所示[9],從廣告請求(bid request for advert)從媒體發(fā)出那一刻起,廣告請求中攜帶的個人數(shù)據(jù)就進(jìn)入了一種“失控”的狀態(tài)。這些個人數(shù)據(jù)被廣播至數(shù)量巨大的參與方以便這些參與方進(jìn)行競價(bidding),這些參與方為了進(jìn)行更有效的競價決策,又會從各種其他來源引入更多的個人數(shù)據(jù)。更進(jìn)一步,在下圖所展示的數(shù)據(jù)交互之外,即使是廣告已經(jīng)在廣告位展示之后,相同的或者額外的個人數(shù)據(jù)仍然在這些參與方之間流轉(zhuǎn),以便對廣告進(jìn)行歸因分析、改善廣告投放模型、進(jìn)行個人畫像等。
英國數(shù)據(jù)監(jiān)管機構(gòu)ICO[10]總結(jié)的數(shù)字廣告生態(tài)涉及個人數(shù)據(jù)處理的風(fēng)險包括:參與者眾多、涉及的數(shù)據(jù)復(fù)雜、畫像和自動化決策、大規(guī)模數(shù)據(jù)處理、新技術(shù)的使用、不同來源數(shù)據(jù)的組合和匹配、對位置和行為的追蹤、不可見的處理。向APD/GBA投訴IAB歐洲的ICCI將數(shù)字廣告稱為“史上最大數(shù)據(jù)泄露”。有鑒于數(shù)字廣告生態(tài)對個人數(shù)據(jù)處理的高風(fēng)險特性,全球已經(jīng)發(fā)生了多起直接針對數(shù)字廣告行業(yè)的訴訟[11],[12]。
數(shù)字廣告生態(tài)的復(fù)雜性導(dǎo)致很難向用戶充分地披露其個人數(shù)據(jù)是如何被處理的,從而難以獲得有效的用戶同意。即使按照TCF向用戶進(jìn)行披露,用戶為了獲得完整的信息所需要耗費的努力也是巨大的。下圖展示了一個基于TCF向用戶進(jìn)行信息披露的界面,用戶可以分別點擊List Of Partners (vendors) 和ShowPurposes來了解與數(shù)字廣告生態(tài)有關(guān)的處理其個人數(shù)據(jù)的供應(yīng)商,以及處理的目的。
如果用戶需要了解這些供應(yīng)商的詳細(xì)信息,則需要直接查看GVL。下圖截取自GVL中對一個供應(yīng)商的數(shù)據(jù)處理行為的描述,許多項目需要進(jìn)一步展開,甚至查看所引用的外部內(nèi)容才能得到完整的信息。
由此可見,目前看來,TCF提供的機制在實質(zhì)性解決數(shù)字廣告生態(tài)涉及的個人數(shù)據(jù)保護風(fēng)險方面仍然處于起步階段,即使是在解決透明度和同意問題的范圍內(nèi)也是這樣。
展望
盡管TCF存在不少的缺點,這畢竟是第一個(可能也是目前唯一一個)系統(tǒng)性解決這一問題的框架,仍然值得進(jìn)一步的研究和推動。與ICCL的聲明中所持的觀點不同,IAB歐洲的聲明中認(rèn)為,在APD/GBA的監(jiān)督下采取的后續(xù)行動有助于使TCF成為GDPR第40條規(guī)定的行為準(zhǔn)則(CoC)。如果這一步真能實現(xiàn),那么不僅是對TCF本身的肯定,更說明數(shù)字廣告生態(tài)存在可行的合規(guī)路徑。因此,APD/GBA對IAB歐洲的調(diào)查,與其說是數(shù)字廣告生態(tài)開始衰退的表現(xiàn),不如說是數(shù)字廣告生態(tài)朝著合規(guī)的方向進(jìn)行的發(fā)展。
根據(jù)GDPR規(guī)定的合作程序,APD/GBA的裁決草案預(yù)計將在未來2-3周內(nèi)與其他歐洲國家的數(shù)據(jù)保護機構(gòu)分享。這些數(shù)據(jù)保護機構(gòu)將有30天的時間進(jìn)行審查。根據(jù)審查結(jié)果,比利時數(shù)據(jù)保護機構(gòu)可能會通過最終裁決,或者將此事提交EDPB做出具有約束力的決定。該案對數(shù)字廣告生態(tài)將產(chǎn)生什么樣的重大影響,讓我們拭目以待。
