Google Analytics(分析)
Google Analytics(分析)和其他Web基础架构服务收集数据,即IP地址,这些数据被视为欧盟中的个人信息。
但是在这种情况下,问题不是GDPR,因为至少根据指控,数据没有用于定位广告。相反,问题在于,欧洲公民的数据可以转移到美国体系中 - 由于Schrems II裁决,这是不行的。
Schrems II诉讼反对Facebook,但与Cambridge Analytica或其他广告定位问题无关。Facebook由于爱德华·斯诺登(Edward Snowden)的NSA泄漏而丢失了此案,该泄漏显示美国政府从互联网服务中收集了用户级信息。个人不知道是否以及何时收集他们的数据,无论如何都没有法律补救。
尽管有人浏览奥地利新闻网站的人可能不会受到NSA的监视,但理论上可能会发生 - 这意味着即使数据是无害的,并在GDPR下合法地收集了数据。
Schrems的倡导小组没有任何业务带来了针对奥地利和法国DPAS决定的Google Analytics(分析)的两个案例。Schrems几乎在每个欧洲国家都有平行的诉讼 - 因此更多的多米诺族可能会下降。
数据隐私合规创业公司的联合创始人兼总法律顾问韦恩·马图斯(Wayne Matus)说,监管机构显然有一项“协调一致的努力”来解决对法律的解释,而不是具有不同欧盟间标准的大概。
Matus说,对于Google Analytics(分析),最直接的解决方案是在欧洲本地化数据。
但这不是唯一的考虑。如果Alphabet根据DPA裁定本地化,它可能会树立艰难的新先例,因为Google可能能够从全球合并数据中获得更大的经济利益。也可能存在技术困难来阻止建立本地数据系统。
Matus说,即使Google Analytics(Google Analytics)在欧洲保留了数据,但从2018年开始,仍然有一个Microsoft案件可以抗衡,当时该公司通过FBI认股权证订购了该公司以移交爱尔兰存储的电子邮件数据。下级法院不同意,当案件在最高法院提起诉讼时,特朗普总统签署了一项新法律,授予调查人员强迫此类域外数据。先前的决定 - 偏爱微软的决定。
换句话说,即使Google Analytics(分析)设置了从未转移到美国的本地数据服务,数据仍然可以被认股权证强迫。
Matus表示,Google仍然有选择权,例如在欧洲建立一家独立的业务,该业务不能被联邦调查局(FBI)强迫 - 这种技巧仅适用于美国公司。
一个可能的解决方案是地缘政治。该问题可以通过新的美国和欧盟数据共享协议来解决。(前两个,安全港和隐私盾牌,都在施雷姆斯带来的案件中被推翻。)
绳索的同意
IAB Europe的TCF现在正在针对六个月的截止日期,以准备符合比利时DPA规定的替代方案。
首先,该框架可能无法基于合法的利益收集数据(在该框架中可以在没有用户明确批准的情况下收集数据,例如欺诈检测,网络安全和Web基础架构服务(例如记录流量)。此外,需要对TCF ID字符串进行审核以在程序化中使用。
摆脱合法利益是(相对)的一部分。Matus说,出版商,同意管理平台(CMP)和广告技术公司可以直接直率地确切地使用数据,而不是弹出广泛的cookie选择通知,这些通知并不能解释任何内容。合法的利益并不意味着无法收集数据,只是不能以任何人在同意书时不会以任何方式使用它。
一个更棘手的问题是TCF的可调性。毕竟,对于框架内的任何编程清单的任何DSP竞标都可以看到TCF字符串,以及是否同意使用数据来定位数据可以确定多少DSP竞标。
出版商或CMP的流氓员工可以伪造同意数据,没有简单的方法来识别在广告之前甚至回顾性的一秒钟内违反一秒钟的违规行为。
审核TCF似乎是不可能的。
“让我停在那儿,”马图斯说。“这是100%的可能。”
只是不是实际的Matus说,要实时审核OpenRTB的印象。
但是,如果供应链供应商(CMP,广告技术公司和数据提供商)同意在广告系列的背景下同意IAB欧洲和广告商的审核,那么比利时和其他DPA仍然可以落后于框架。例如,代理商或品牌营销人员可以坚持认为,供应商在购买之前同意透明的审计作为先决条件。
Matus说,如果DPA不会提供六个月的窗口,并且同意与IAB Europe的更新版本一起工作,如果它没想到该问题。如果监管机构认为这是不可行的,那么TCF将被裁定为唯一的诉求。
接下来发生什么?
很难预测GDPR和欧洲数据隐私案例法将如何发挥作用。
Google正在欧盟和我们游说,以允许基本的全球数据传输。IAB Europe在比利时DPA对贸易集团作为数据控制器的分类提出上诉,并与同一监管机构进行潜在的TCF修复程序合作。在此之前,该框架有点像Schrodinger的盒子里的猫 - 我们不知道它是活着还是死了,但是我们会在六个月内找到。
具有讽刺意味的是,这些各种欧盟西装是影响竞争性数字广告市场的不同方式。
例如,除了统一欧洲数据保护法外,GDPR还旨在增强欧洲科技公司和发行商的能力,这些公司和出版商都被美国科技巨头赋予了人们的看法。但是针对TCF的GDPR诉讼是Google的主要福音。如果TCF崩溃,则Google的ADBUYERS协议是使用同意信息对广告进行编程针对广告的唯一方法。
尽管Schrems II决定的目的是针对美国政府监视,而不是打击反竞争性的大型技术实践,但Schrems II可能会对Google造成重大打击。如果Google Analytics(分析)在欧洲受到严重阻碍,那么唯一明显的解决方案是找到本地数据服务器系统。
Matus说,但是欧洲监管机构正在努力努力使Google改变其业务惯例。如果那不起作用,他们将针对Google客户。例如,同样上周,德国法院征收象征性的罚款由于Google的网络托管服务在欧盟之外转移了IP地址,因此针对新闻发布者的100欧元。
Matus说:“它将开始很小,他们将提高罚款。”“但这直到行为停止之前才停止。”