Skip to main content

IAB欧洲公司因违反GDPR被比利时DPA罚款

最新的GDPR违规裁决来自比利时,比利时DPA对IAB欧洲公司因其透明度和同意框架(TCF)导致的GDPR违规罚款25万欧元。我们探讨了这个案件的背景以及它对整个欧洲的营销和广告公司的一系列影响。

什么是IAB欧洲?

IAB(互动广告局)欧洲是一个数字营销和广告协会,由国家IAB、媒体公司、科技公司和营销及广告公司组成。他们的使命是促进政治家与广告和营销行业之间的合作,以创建全行业的标准和做法,帮助整个欧洲的业务发展。

什么是透明度和同意框架(TCF)?

他们最大的成就之一是创建和实施了TCF。他们将其描述为 "唯一由行业为行业建立的GDPR同意解决方案 ,创造了一个真正的行业标准方法"。

基本上,TCF创造了一个环境,网站所有者可以告知访问者哪些类型的个人数据正在被收集,数据将如何被处理和使用,以及哪些其他第三方可以访问这些数据。TCF还为专业人士提供了一种共同语言,以便在传递有关收集个人数据的知情同意信息时使用。

其目的是帮助确保参与数字营销和广告过程的每个人在处理个人数据或通过使用cookies、ID和其他跟踪技术在设备上存储信息时,符合GDPR和ePrivacy的要求。

这对使用OpenRTB协议的公司尤为重要--OpenRTB协议是使用最广泛的实时竞价协议之一,对广告商在网站上竞标广告空间非常重要。日常用户往往不知道这些协议和算法,这些协议和算法以他们为目标,控制着幕后的进程,但他们对弹出式广告很熟悉。这些弹出式广告或横幅--通常由同意管理平台(CMP)运行--允许用户同意收集和使用其个人数据。TCF通过CMP帮助捕捉用户的偏好。

之后,这些偏好被储存在一个TC字符串中,可以与OpenTRB系统中的其他组织共享。这个字符串,连同cookies,都与用户的IP地址联系在一起--使他们可以被识别。

针对IAB欧洲的案例

自2019年以来,比利时DPA收到了许多关于IAB欧洲的投诉,具体涉及TCF以及它如何违反GDPR。就在本周,他们结束了此案,并同意了投诉中的论点。

基于TCF的使用,DPA指出,IAB欧洲公司 "在通过独特的透明和同意(TC)字符串登记个人用户的同意信号、反对意见和偏好方面作为数据控制者行事,该字符串与可识别的用户相关联"。这意味着他们受到GDPR的约束,并对任何违规行为负责。他们继续列出各种GDPR的侵权行为。

  • 合法性。IAB欧洲没有建立处理TC字符串的法律依据。
  • 透明度。CMP提供的信息过于笼统和模糊,这使得用户很难对他们的个人数据进行控制。
  • 责任性和安全性。没有符合设计和默认的数据保护的组织或技术措施。
  • 其他义务。IAB欧洲公司没有任命一个DPO,没有完成DPIA(数据保护影响评估),也没有保存处理活动的日志。

基于这些发现,比利时DPA对IAB欧洲公司处以25万欧元的罚款,同时给他们两个月的时间来制定补救这些侵权行为的行动计划,并在六个月内实施这些计划。DPA还表示,IAB欧洲公司必须毫不拖延地删除目前在当前TCF系统下处理的所有用户数据。

IAB欧洲公司计划对这一决定提出上诉,并告诉《福布斯》杂志。"我们拒绝关于我们是TCF背景下的数据控制者的认定。我们认为这一结论在法律上是错误的,并将产生重大的非预期的负面影响,远远超出数字广告行业。我们正在考虑所有关于法律挑战的选项。"

比利时DPA决定的影响

正如奥地利DPA对谷歌分析的决定一样,比利时最近的决定将在欧洲和美国产生深远的影响。

正如比利时DPA诉讼庭主席Hielke Hijmans在谈到该决定时所说:"根据当前版本的TCF对个人数据的处理(例如获取用户偏好)不符合GDPR,因为它内在地违反了公平和合法的原则。人们被邀请给予同意,而大多数人不知道他们的资料每天被大量出售,以便让他们接触到个性化的广告。虽然这涉及到TCF,而不是整个实时竞价系统,但我们今天的决定将对保护互联网用户的个人数据产生重大影响。必须恢复TCF系统的秩序,使用户能够重新控制他们的数据"。

基于一站式机制,比利时的这一决定可立即在整个欧盟执行。据爱尔兰公民自由委员会称,目前,欧洲约有80%的互联网依赖TCF。制裁欧洲IAB和限制使用TCF的决定,以及删除所有当前数据的要求,将影响出版商、广告商、科技公司,以及谷歌和亚马逊等大型科技公司。

许多广告商正在寻找前进的道路,但对于出版商和网站所有者来说,下一步可能是实施无cookieless选项,不再追踪IP地址,在用户设备上存储数据,或通过CMP要求同意偏好。

在Visitor Analytics,我们以隐私第一的心态构建一切,这意味着我们的产品符合GDPR/CCPA,能够在不需要cookies、同意横幅或存储数据的情况下运作。