法国在线广告冠军 Criteo 被 CNIL 处以巨额罚款。她被指控多次违反欧盟个人数据法规 GDPR。一些人认为,当涉及到网络上的个人数据收集时,这可能是一个强烈的信息,为“自由放任”敲响了丧钟。
五次违规罚款 4000 万欧元通用数据保护条例,欧洲法规个人资料:这是法国负责保护私人生活的机构国家信息技术和自由委员会 (Cnil) 针对专门从事网络定向广告的公司 Criteo 的结论,在周四发布的新闻稿中进行了描述6 月 22 日。对一些人来说,这是一个强烈的信号:不仅罚款金额很高,而且这一决定是在 6 月 15 日做出的,恰逢戛纳国际创意节,这一节日每年都会聚集世界各地的广告商。这是向所有企业传达的信息吗?广告技术?
此次制裁的起因是英国隐私国际协会于 2018 年 11 月攻击了包括 Criteo 在内的 7 家公司。究其原因,他们的大规模数据收集 »违反了同年生效的 GDPR。一个月后,Max Schrems 的数字版权协会 NOYB 也提出了类似的投诉。欧洲法规对所有收集我们的个人数据并将其转售用于广告目的的公司施加了一系列信息和透明度义务。
缺乏同意、无效撤销权……严重违反 GDPR
CNIL 代表欧盟于 2020 年 3 月启动调查。两年后,其报告员提议处以 6000 万欧元的罚款,最终减少了 2000 万欧元。如果最终金额(4000 万欧元)如此重要,部分原因是 GDPR 违规行为非常广泛。为了确定最高可达全球营业额 4% 的罚款金额,CNIL 考虑了 Criteo 在整个欧盟的活动及其经济模式。据报道,该公司拥有 3.7 亿个标识符。
注意到的第一个问题是:虽然用户通常必须同意他们的数据被收集,包括合作伙伴收集的数据,但当相关合作伙伴在他们的浏览器中插入跟踪 cookie 时,Criteo 并未证明它已获得互联网用户的同意。
然后,在极少数用户行使撤回同意并删除数据的权利的情况下,该公司只是停用了定向广告,而没有实际删除这些广告。日期有问题的,可以重新用于其他目的。使数据匿名化也会存在问题。据 CNIL 称,该公司没有用户的姓名,但收集的数据量仍然可以在某些情况下重新识别个人身份。
Adtech行业密切关注的案例
对于专家来说,这一决定可能会对整个广告技术行业产生影响。因为这一次的罚款数额很大,而且比CNIL 对 Doctissimo 做出的决定。去年 5 月,该健康信息网站因在不遵守 GDPR 的情况下使用我们的数据而被罚款 38 万欧元,这一处罚受到了协会和活动人士的欢迎,但也受到批评,因为其严厉程度不足以起到劝阻作用。
首先,Endeavor 客户数据主管 Eric Lamy 指出数码日,这负责数据保护的当局现在不再犹豫制裁欧洲公司,“而不是仅仅关注美国大型科技公司”。隐私研究员卢卡斯·奥莱尼克 (Lukasz Olejnik) 在一系列有关该决定的推文中认为,此案最终可能会提交欧盟法院(该法院将做出最终裁决)。«我预计这对广告技术来说是一个高风险案例。许多人迫不及待地想知道这件事的结局»,他补充道。
我预计这对广告技术来说是一个高风险案例。许多人非常感兴趣它的结局。阅读完整的案件描述/详细信息后,我不排除将此案提交给欧盟法院。https://t.co/x6Ce5TViLv
— Lukasz Olejnik (@lukOlejnik)2023 年 6 月 22 日
至于呼吁背后的协会,我们欢迎这一决定,这可能会改变在线广告行业的情况。对于 Romain Robert,NOYB 律师在协会新闻稿6月22日发表,“这对广告科技行业来说是一个强烈的信号,如果违法,该行业将面临可怕的后果»。
露西·奥迪伯特 (Lucie Audibert),隐私国际组织的律师英国非政府组织的新闻稿,甚至更进一步:她相信“整个欧洲生态系统必须彻底审查其做法——经过几年宽松的执法,GDPR 开始对侵犯隐私的商业行为表现出严厉的态度。”。车 ”多年来,(该行业的公司)已经建立了巨大的数据链,但没有寻求确保目标用户同意他们的私人信息像商品一样被交换。
Criteo 上诉
第一个相关方 Criteo 并不同意这一观点,该公司在一份新闻稿中宣布,它正在对 CNIL 的决定提出上诉。对于法国定向广告冠军来说,罚款是“鉴于所指控的违规行为,很大程度上不成比例,并且不符合该领域的一般市场惯例»。 «我们认为CNIL对GDPR的某些解释和适用与欧洲法院的判决乃至CNIL自己的指导方针不符。相信公司。
对于后者来说,“CNIL 的指控并不意味着对人们造成任何风险或造成任何损害。 Criteo 在其活动过程中仅使用假名、非直接可识别和非敏感数据,完全致力于保护用户隐私和数据”。该案将在未来几个月内由 CNIL 的上诉法院(即国务委员会)再次裁决。
