法國資料隱私監管機構對 Criteo 進行重罰 4000 萬歐元
背景
法國廣告科技巨頭 Criteo 因在獲取使用者同意方面出現失誤,遭到法國資料隱私監管機構 CNIL (Commission nationale de l’informatique et des libertés) 調整後的罰款 4000 萬歐元(4,400 萬美元)。這起案件起源於 2018 年,當時隨著歐洲聯盟最近引入的 GDPR(一般資料保護法規),隱私國際(Privacy International)向 CNIL 提出了正式投訴。隱私國際表示對資料經紀和廣告技術行業的幾個參與者的資料處理活動感到“嚴重擔憂”,其中之一就是 Criteo。隨後,奧地利的非營利組織 None of Your Business(NOYB),由律師和隱私活動家 Max Schrems 共同創辦,也加入了投訴。問題的核心集中在隱私國際所稱的“操縱機器”上,這與 Criteo 使用各種跟蹤和資料處理技術來為更精確的廣告定向對網路使用者進行個人資料建模有關,例如使用網上先前活動預測網購者可能想購買哪些產品 - 這就是所謂的“行為再目標化”。隱私國際和 NOYB 聲稱 Criteo 對於此項跟蹤沒有適當的法律依據,CNIL 於 2020 年啟動了正式調查。
初步決定
快轉到 2022 年 8 月,CNIL 作出了初步決定,認定 Criteo 確實違反了 GDPR,並處以 6000 萬歐元罰款。然而在過去幾個月中,Criteo 試圖減少這個數位。在今天公開發布的摘要檔案中,Criteo 辯稱其行為並非有意的,並且沒有造成任何損害。Criteo 表示(使用 DeepL 翻譯):“公司認為,在 GDPR 第 83(2)條所列標準的更好考慮下,特別是在沒有損害證據、違規行為的非有意性、採取的減輕損害措施、與監管機構合作以及涉及的個人資料類別等方面,將有助於證實,如果有限委員會決定處以罰款,應該大幅減少報告人提出的 6,000 萬歐元金額。”Criteo 還補充說,初始罰款相當於其盈利的一半和全球銷售額的 3%,這“接近”GDPR 允許的法律最高限度。此外它還辯稱,這一罰款與 CNIL 對 Google 和 Facebook 母公司 Meta 等公司所處罰款相比過高,這些罰款僅相當於它們各自全球銷售額的 0.07%和 0.06%。因此 CNIL 似乎注意到了 Criteo 的抱怨,將罰款減少了三分之一。
調查結果
CNIL 的最終報告仍然對 Criteo 對隱私的漠視描繪了一幅慘痛的畫面,指出資料處理涉及到歐洲聯盟各地的“大量人員”,包括數百萬網路使用者的“消費習慣”。總共,CNIL 表示發現了涉及 Criteo 廣告跟蹤活動的五個 GDPR 違規行為,包括未能證實資料主體(即使用者)同意的違反,該違反由 GDPR 的第 7(1)條規定,未能“遵守訊息和透明義務”(第 12 條和第 13 條),這意味著 Criteo 沒有公開其將處理使用者資料的所有方式;未能“尊重存取權”(第 15(1)條),這意味著當要求時,Criteo 沒有向使用者提供所有的資料;未能“遵守撤銷同意和刪除資料的權利”(GDPR 的第 7.3 和第 17.1 條),這意味著 Criteo 在使用者要求時並未刪除或移除所有資料;以及未能“提供聯合控制者之間的協議”(第 26 條),這意味著 Criteo 與其合作夥伴公司之間沒有明確的協議,規定了各方的角色及其在管理使用者資料方面的義務。CNIL 在結論中表示儘管 Criteo 沒有單個使用者的姓名,但資料在某些情況下“足以重新識別個人”,這意味著它可能能夠透過將非匿名資料與公共記錄相互參照或結合其他資料匯合技術,推斷出使用者的身份。然後,當然還有一頭大象在房間中——Criteo 在賺錢的主要機制方面的動機。“CNIL 還考慮了公司的商業模式,該模式完全依賴於其向網路使用者展示最相關廣告以推廣其廣告客戶的產品的能力以及其處於廣告中介角色的能力,即收集和處理大量資料。” CNIL 寫道。“CNIL 認為,在沒有證據證實資料主體有效同意的情況下處理個人資料使公司能夠不當地增加受其處理影響的人數以及從其角色作為廣告中介獲得的財政收入。”
評論和建議
這起對 Criteo 的罰款案再次引起了對資料隱私保護的關注。GDPR 的引入為歐盟內的資料使用和保護設立了更嚴格的標準。然而許多公司在實施這些規定方面還存在著困難和挑戰。Criteo 的情況提醒我們,給予使用者明確的、透明的同意是保護個人資料的基本要求之一。公司應該確保它們的資料處理活動符合 GDPR 的要求,包括相關的訊息公開、使用者權利的尊重和資料的安全保護。
對於違反 GDPR 的公司,CNIL 以及其他資料保護監管機構應該給予適當的懲罰。然而罰款金額應該根據具體情況來確保,包括違規行為的嚴重程度、對使用者的損害程度以及公司的盈利能力等因素。不應該將罰款金額設定得過高,這可能對企業的運營產生不利影響,特別是對於小型和中型企業而言。此外監管機構應注意確保罰款的公平性和一致性,以避免給不同企業帶來不公平競爭的局面。
個人資料保護是當前數位時代面臨的一個重要問題。政府、企業和個人都應該共同努力,確保資料使用的合法性和合理性。政府應加固資料保護監管機構的執法力度,確保法規的有效實施。企業應該主動遵守資料保護規範,加固對資料安全和隱私保護的投入。個人也應該加固對自己資料的保護意識,理解個人資料的價值和保護方法,合理使用網路服務和資料產品。
總之資料隱私保護是一個經久不衰的議題,需要全球共同努力來解決。只有透過政府、企業和個人的合作,才能建立一個公平、安全和可持續的資料環境。
延伸閱讀
- 《警惕!上千個曾曝光的 GitHub 私有庫,仍可被 Copilot 輕鬆存取》
- 法國宏觀投資 1120 億美元布局 AI,對抗美國 Stargate 計畫!
- 美國政府資料遭遇史上最大規模洩漏!
- 阿聯酋斥資數十億在法國打造人工智慧資料中心!
- 美國政府資料史上最大洩漏事件驚現!
- 「金融科技巨頭 Wise 被 CFPB 罰款:收取誤導性手續費的醜聞浮出水面!」
- Google 因支付系統的壟斷行為在印尼遭罰 1260 萬美元!
- 「資料經紀商洩漏海量位置資料,數百萬人的隱私岌岌可危!」
- 「資料經紀人的位置資料洩露危機:數百萬人的隱私顯示危險!」
- 「FTC 重擊!AI 無障礙新創公司 accessiBe 因誤導廣告被罰 100 萬美元!」
