广告科技巨头 Criteo 因违反 GDPR 被法国数据隐私机构罚款 4000 万欧元
法国广告技术巨头Criteo因未能就定向广告征求用户同意而被处以 4000 万欧元(4400 万美元)的修改后罚款。
该案件可以追溯到 2018 年,当时Privacy International使用最近在欧盟各地推出的GDPR 法规,向法国数据隐私监管机构国家信息和自由委员会 (CNIL)提出正式投诉。Privacy International 表示,它对数据经纪和广告技术行业多家参与者的数据处理活动“严重关切”,Criteo 就是其中之一。None of Your Business (NOYB) 是一家总部位于奥地利的非营利组织,由律师和隐私活动家马克斯·施雷姆斯 (Max Schrems)共同创立,后来也将自己的名字添加到了投诉中。
问题的关键集中在隐私国际所称的“操纵机器”上,即 Criteo 如何使用各种跟踪和数据处理技术来分析互联网用户,以实现更精细的广告定位,例如使用之前的在线活动预测在线购物者可能想要购买哪些产品——这被称为“行为重定向”。
Privacy International 和 NOYB 声称 Criteo 的这种跟踪没有适当的法律依据,CNIL于 2020 年启动了正式调查。
初步决定时间快进到 2022 年 8 月,CNIL做出初步裁决,认为 Criteo 确实违反了 GDPR,并对这家总部位于巴黎的公司处以 6000 万欧元的罚款。然而,在接下来的几个月里,Criteo 试图减少这一数字。在今天公开的一份摘要文件中,Criteo 辩称其行为是非故意的,并未造成任何伤害。
Criteo 补充说,最初的罚款相当于其收入的一半和全球销售额的 3%,这“接近 GDPR 允许的法定最高限额”。此外,它还认为,与 CNIL 对谷歌和 Facebook 母公司 Meta 等公司开出的其他罚款相比,这笔罚款过高,后者仅占其各自全球销售额的 0.07% 和 0.06%。
因此,CNIL 似乎至少在一定程度上注意到了 Criteo 的不满,并将罚款减少了三分之一。然而,Criteo 首席法律官瑞安·达蒙 (Ryan Damon) 表示,该公司计划对这一决定提出上诉,称该决定与行业其他地方涉嫌的违规行为相比“极其不相称”。
“此外,我们认为 CNIL 对 GDPR 的一些解释和应用与欧洲法院的裁决不一致,甚至与 CNIL 自己的指导不一致,”Damon 在向 TechCrunch 发布的一份声明中表示。
发现CNIL的最终报告仍然严厉描绘了Criteo无视隐私的情况,指出数据处理涉及欧盟各地的“大量人员”,包括数百万互联网用户的“消费习惯”。
CNIL 表示,总共发现了五项涉及 Criteo 广告跟踪活动的 GDPR 侵权行为,包括未能证明数据主体(即用户)给予同意,这是 GDPR 第 7(1) 条所涵盖的;未能“遵守信息和透明度义务(第 12 条和第 13 条),这实际上意味着 Criteo 没有透露其处理用户数据的所有方式;未能“尊重访问权”(第 15(1) 条),这意味着 Criteo 没有在用户要求时向其提供其持有的所有数据;未能“遵守撤回同意和删除数据的权利”(第7.3条和第17.1条GDPR),这意味着 Criteo 不会在用户请求时删除或移除用户的所有数据;未能“规定联合控制者之间的协议”(第 26 条),这意味着 Criteo 没有与其合作伙伴公司签订明确的协议,规定各方的角色及其管理用户数据的义务。
CNIL 在结论中表示,虽然 Criteo 没有每个用户的个人姓名,但在某些情况下,这些数据“足够准确,可以重新识别个人”,这意味着它很可能能够通过交叉引用来识别个人以其他方式将数据集与公共记录匿名化,或结合其他数据网格技术来推断用户的身份。
Criteo 的主要赚钱机制的动机。“CNIL 还考虑到了该公司的商业模式,该模式完全依赖于其向互联网用户展示最相关的广告来推广其广告商客户的产品的能力,从而依赖于其收集和处理大量数据的能力”,CNIL 写道。“CNIL 认为,在未经个人有效同意证明的情况下处理个人数据,使该公司不适当地增加了与其处理有关的人员数量,从而增加了其从广告中介角色中获得的经济收入。”
然而,Criteo 坚持其最初的论点,称最终没有造成任何损害,同时指出 CNIL 并未要求 Criteo 改变其当前的任何做法。
达蒙表示:“正如我们之前所说,我们认为 CNIL 的指控不会给个人带来风险,也不会对他们造成任何损害。”“Criteo 在其活动中仅使用假名、非直接识别和非敏感数据,完全致力于保护用户的隐私和数据。该决定涉及过去的事项,不包括 Criteo 改变其当前做法的任何义务;这一决定不会影响我们向客户提供的服务水平和性能。我们继续坚持该领域的最高标准,并运营完全透明且符合监管的全球业务。我们现阶段不会发表进一步声明。”
文章翻译自:techcrunch;原文链接:https://techcrunch.com/2023/06/22/adtech-giant-criteo-his-with-revised-e40m-fine-by-french-data-privacy-body-over-gdpr-breaches/
转载请注明: 广告科技巨头 Criteo 因违反 GDPR 被法国数据隐私机构罚款 4000 万欧元 | 跨境湾
