法國線上廣告冠軍 Criteo 被 CNIL 處以巨額罰款。她被指控多次違反歐盟個人資料法規 GDPR。有些人認為,當涉及到網路上的個人資料收集時,這可能是一個強烈的訊息,為「自由放任」敲響了喪鐘。
五次違規罰款 4000 萬歐元一般資料保護條例,歐洲法規個人資料:這是法國負責保護私人生活的機構國家資訊科技與自由委員會 (Cnil) 針對專門從事網路導向廣告的公司 Criteo 的結論,在周四發布的新聞稿中進行了描述6 月 22 日。對某些人來說,這是一個強烈的信號:不僅罰款金額很高,而且這一決定是在6 月15 日做出的,恰逢坎城國際創意節,這一節日每年都會聚集世界各地的廣告商。這是向所有企業傳達的訊息嗎?廣告技術?
這次製裁的起因是英國隱私國際協會於 2018 年 11 月攻擊了包括 Criteo 在內的 7 家公司。究其原因,他們的大規模資料收集 »違反了同年生效的 GDPR。一個月後,Max Schrems 的數位版權協會 NOYB 也提出了類似的投訴。歐洲法規對所有收集我們的個人資料並將其轉售用於廣告目的的公司施加了一系列資訊和透明度義務。
缺乏同意、無效撤銷權…嚴重違反 GDPR
CNIL 代表歐盟於 2020 年 3 月啟動調查。兩年後,其報告員提議處以 6,000 萬歐元的罰款,最終減少了 2,000 萬歐元。如果最終金額(4000 萬歐元)如此重要,部分原因是 GDPR 違規行為非常廣泛。為了確定最高可達全球營業額 4% 的罰款金額,CNIL 考慮了 Criteo 在整個歐盟的活動及其經濟模式。據報道,該公司擁有 3.7 億個識別碼。
注意到的第一個問題是:雖然使用者通常必須同意他們的資料被收集,包括合作夥伴收集的數據,但當相關合作夥伴在他們的瀏覽器中插入追蹤cookie 時,Criteo 並未證明它已獲得網路使用者的同意。
然後,在極少數用戶行使撤回同意並刪除資料的權利的情況下,該公司只是停用了定向廣告,而沒有實際刪除這些廣告。日期有問題的,可以重新用於其他目的。使資料匿名化也會有問題。據 CNIL 稱,該公司沒有用戶的姓名,但收集的資料量仍可在某些情況下重新識別個人身分。
Adtech產業密切關注的案例
對於專家來說,這項決定可能會對整個廣告科技產業產生影響。因為這次的罰款金額很大,而且比CNIL 對 Doctissimo 所做的決定。去年5 月,該健康資訊網站因在不遵守GDPR 的情況下使用我們的數據而被罰款38 萬歐元,這一處罰受到了協會和活動人士的歡迎,但也受到批評,因為其嚴厲程度不足以起到勸阻作用。
首先,Endeavor 客戶資料主管 Eric Lamy 指出數碼日,這負責資料保護的當局現在不再猶豫制裁歐洲公司,“而不是只關注美國大型科技公司」。隱私研究員盧卡斯·奧萊尼克 (Lukasz Olejnik) 在一系列有關該決定的推文中認為,此案最終可能會提交給歐盟法院(該法院將做出最終裁決)。«我預計這對廣告技術來說是一個高風險案例。許多人迫不及待想知道這件事的結局»,他補充道。
我預計這對廣告技術來說是一個高風險案例。許多人非常感興趣它的結局。閱讀完整的案件描述/詳細資訊後,我不排除將此案提交給歐盟法院。https://t.co/x6Ce5TViLv
— Lukasz Olejnik (@lukOlejnik)2023 年 6 月 22 日
至於呼籲背後的協會,我們歡迎這項決定,這可能會改變網路廣告產業的情況。對於 Romain Robert,NOYB 律師在協會新聞稿6月22日發表,“這對廣告科技產業來說是一個強烈的訊號,如果違法,該產業將面臨可怕的後果»。
奧迪伯特 (Lucie Audibert),隱私國際組織的律師英國非政府組織的新聞稿,甚至更進一步:她相信“整個歐洲生態系統必須徹底審查其做法——經過幾年寬鬆的執法,GDPR 開始對侵犯隱私的商業行為表現出嚴厲的態度。。車 ”多年來,(該行業的公司)已經建立了巨大的數據鏈,但沒有尋求確保目標用戶同意他們的私人資訊像商品一樣被交換。
Criteo 上訴
第一個相關方 Criteo 並不同意這一觀點,該公司在新聞稿中宣布,它正在對 CNIL 的決定提出上訴。對於法國定向廣告冠軍來說,罰款是“鑑於所指控的違規行為,很大程度上不成比例,並且不符合該領域的一般市場慣例»。 «我們認為CNIL對GDPR的某些解釋和適用與歐洲法院的判決甚至CNIL自己的指導方針不符。相信公司。
對於後者來說,“CNIL 的指控並不意味著對人們造成任何風險或造成任何損害。 Criteo 在其活動過程中僅使用假名、非直接可識別和非敏感數據,完全致力於保護用戶隱私和數據」。該案將在未來幾個月內由 CNIL 的上訴法院(即國務委員會)再次裁決。
