顶级欧盟法院裁决意味着实时竞价广告可能在法律上不再可行
发表于2024年6月24日,作者:Glyn Moody
早在2020年,我们曾报道过Johnny Ryan及爱尔兰公民自由委员会的报告,声称每年网络上交易的个人数据超过100万亿条,用于微观精准广告投放的实时竞价RTB系统。如今,欧盟法院CJEU的一项新裁决将最终评估RTB是否完全符合欧盟的GDPR法规。至少,可以预见RTB在关键方面将发生变化,甚至可能发现该系统与欧盟隐私法根本不兼容。
在RTB系统下,当你点击链接访问大多数网站的那几百分之一秒内,空白广告位会在潜在广告主之间进行自动竞拍。除了关于网站和广告位的信息,还有大量个人数据也会与潜在出价者分享。为了帮助网站拥有者和广告技术公司遵守GDPR,数字广告团体IAB Europe制定了透明度和同意框架TCF,这是一个依靠标准化来促进遵守欧盟电子隐私指令和GDPR某些条款的“问责工具”。
TCF的实施导致了网站上常见的“同意”弹窗。这些弹窗通知访问者他们的个人数据将发送到何处,并收集对第三方使用的同意。用户的偏好被存储在一个特殊的字符集中,即透明度和同意字符串TC String,并在用户的系统上放置一个Cookie。重要的是,TC String和Cookie可以与用户的IP地址关联。
如我们在2021年11月讨论的那样,比利时数据保护局发布了一份草案裁决,确定了IAB Europe在TCF的使用过程中涉嫌违反GDPR。IAB Europe对此裁决提出了上诉。该案件的重要性促使比利时市场法院,作为布鲁塞尔上诉法院的一部分,于2022年9月向欧盟法院提出了请求,以澄清关键问题。CJEU现已就“个人数据用于广告目的的拍卖”发布了裁决。主要有两个要点:
“在判决中,法院确认TC String包含可识别用户的信息,因此构成GDPR意义上的个人数据。若TC String中包含的信息与标识符例如用户设备的IP地址相关联,该信息可能使得创建用户档案并确认其身份成为可能。”
“此外,IAB Europe应被视为GDPR意义上的‘共同控制者’。依据请求法院的验证,该关联似乎在用户同意偏好记录于TC String时,对数据处理操作施加影响,并与其成员共同确定这些操作的目的及其手段。”
这些看起来颇为技术性的问题乍一看可能并不显得特别重要。在比利时数据保护局对TCF的最终裁决后,三名学者的分析指出,如果假设这一裁决得到维持这一点现已发生,其影响将会是巨大的:
“将IAB Europe定性为与RTB参与者的共同控制者,比利时的裁定为数据保护机构DPA提供了一个公认的蓝图,来应对结构性执法挑战。此外,在数据保护机构看似简单的补救命令下,潜藏着深层的技术和组织紧张关系。我们分析了这些‘不可能的要求’,并最终得出结论,若不对RTB进行根本性改变,IAB Europe将无法调整TCF,使RTB遵守这一裁决。”
蚂蚁加速器这对实时竞价意味着什么?
将GDPR应用于实时竞价的一个问题在于,RTB系统中的每个参与者都试图声称系统的不同部分负责GDPR的遵守。这种模糊性使得数据保护机构难以决定对谁提出GDPR执法行动。CJEU确认比利时DPA的分析,即几乎所有参与RTB系统的人员都必须遵守GDPR,这为欧盟数据保护机构在未来对RTB领域所有参与者的执法行动提供了强有力的武器。
CJEU识别出的第二个问题可能更具深远意义。在2022年的裁决中,比利时DPA给IAB Europe一个机会来解决所识别的隐私问题。正如学者们所言:“比利时DPA所要求的,很多事情在没有重新审视RTB工作原理的情况下是结构性困难甚至不可能的。”至少年,这可能意味着“同意”弹窗将不得不被取消。更深层次地,CJEU的裁决可能意味着RTB系统无法在欧盟合法运行,必须撤回。这将对全球数字广告技术产生重大影响。如果RTB不再是一种选择,显而易见的替代方案就是上下文广告,越来越多的人正在对此提出支持。
