IAB欧洲的GDPR透明度和同意框架 - 许多广告科技公司现在依赖于通过用户同意字符串 - 可能是摇摇欲坠的法律理由。

On Nov. 9, France’s data protection authority, the Commission nationale de l'informatique et des libertés (the CNIL), issued a warning against a small French ad tech company called Vectaury that collects and processes geolocation data through a software development kit for programmatic advertising. [阅读CNIL的英文翻译在此处的全部通知。]

乍一看，警告似乎足够了。CNIL呼叫Vectaury是因为使用IAB的框架创建的同意管理平台从出版商和SSP合作伙伴收集同意并没有让用户有机会提供知情，具体和完全选择的同意。

本公司现在有三个月的时间来清除任何未经同意的数据，以便在没有法律依据的情况下停止处理地点数据，并向CNIR证明其所有做法都在上升。

“这一决定出现了什么，即CNIL似乎不同意作为数字广告和瞄准数据的处理数据的法律依据，”IAB欧洲首席执行官Cowsend Ferhan表示。“只是在执行中满足同意条件是否有问题。”

但是对CNIL警告中的语言的仔细检查咒语潜在的麻烦，或最不皱纹，因为它的透明度和同意框架的用户来说。

通过出价要求，Vectaury能够收集来自超过32,000多个应用程序的6760万用户的数据。但是当CNIL审核Vectaury的服务器日志时，该公司无法通过其CMP提供同意字符串，每个ID都是CMP。

Downstream partners in a supply chain – DSPs, SSPs and DMPs, for example – aren’t in a great position to collect user consent on their own, so if they want to comply with GDPR, they generally depend on consumer-facing publishers to get consent on their behalf and pass it along within a secure CMP.

这很好，如果控制器 - 在这种情况下，这是vectauty - 可以证明用户同意拥有他们的个人数据。但是，在CNIL的观点中，这不可能“通过非法存在的合约子句履行，保证有效收集的初步同意。”

换句话说，CNIL暗示控制器不能依赖他们的合作伙伴来收集他们的同意。如果您收到同意字符串，则验证它也是您的工作。

“This means that if someone gains consent for you, and you have a contract saying it’s their responsibility to do so, you *still* have the obligation to verify that the consent is valid,” Robin Berjon, executive director of implementation and data governance at The New York Times鸣叫星期五在对CNIL的通知反应。

但是，框架的概念根据IAB的概念没有任何问题。

“像这样的故事只是加强了我对法律合规的需要，也是框架勾选所有这些盒子的程度，”Felehan说。“我将从CNIL的决定中得出的结论是，在法律基础上同意是完全舒适的 - 但您需要遵守规则。”

CNIL最近对IAB与其同意框架进行了谨慎批准的工作。9月，在一个在科隆迪尔科的小组CNIL的ARMAND HESLOT，一个隐私和安全专家，虽然框架是“当然不完美，但它正在朝着正确的方向前进。”

“总的来说，这是一种很好的方法，这就是我们希望从该行业中看到的，”Heslot说，给予广告科技人士的观众。

但即使在一个完美的同意制度，呼叫源Web浏览器勇敢的首席政策和行业关系官表示，也有问题，他呼吁IAB的框架“Quicksand Quicksand”。

“[VECTAURY]显然只是冰山一角，”Ryan说。“每天播出数十亿的出价请求，无控制Ad Tech公司对数据进行的。”

九月，勇敢提出了英国和爱尔兰的投诉，谷歌和其他广告科技公司的实时竞标和系统分享申请数据的竞标数据构成了GDPR下的数据泄露。

值得注意的是，谷歌仍未采用IAB框架，许多人认为谷歌并没有认为它是符合GDPR的反映。要符合GDPR，Google发布了自己的CMP，称为资金选择。

但如果CNIL正在质疑同意弦函数的概念，谷歌可以在同一，可能泄漏的船上作为广告科技行业的其余部分。

对Vergauty的警告是自8月以来被CNIL发布的第四个。9月，CNIL警告两家法国地理位置数据公司，Teemo和Fidzup，用于处理数据而无需同意。Teemo上个月初被清除，目前没有关于FITZUP的进步。10月下旬，由CNIL呼吁未收集知情同意，另一项收集广告宗旨的法国初创公司，其中由CNIL召集。

[更新11/20/18，并纠正Vectaury数据库中的用户数。]