引言:欧盟的GDPR已经推行一年了,但围绕着合法的同意条款是什么样、企业如何取得合法权益以及是否会有更严厉的罚款等问题依然存在。
译者 | 张依侬
审校 | 林森
Digiday采访了欧洲数据保护主管乔瓦尼•布塔雷利,具体了解在媒体和广告业务中GDPR的实施情况。
实施GDPR的主要目的之一是纠正科技巨头和消费者之间的利益失衡,巨头们必须说明自己使用数据的方式。有鉴于此,您对谷歌和Facebook为遵守GDPR所做的努力有何看法?
”我不认为他们真的有为此,而进行什么重大变革。从2017年开始,我们收到了包括谷歌在内的许多企业的声明,称他们已经准备好尊重和执行GDPR。但直到去年5月,从企业更新的隐私条款(通常是用晦涩难懂的语言来说明)来看,他们的目的仍然是保护数据控制者的,而非用户。
去年10月,我们邀请了Facebook、谷歌和苹果的CEO们前往布鲁塞尔,参加由81个国家和1046名代表参加的数据保护与隐私专员国际大会。实际到场进行演讲的只有蒂姆·库克,马克·扎克伯格和桑达尔·皮查伊仅通过视频的形式在大会上讲话。扎克伯格传达的信息是Facebook的数据使用是道德的,他们是尊重用户的。除此份声明外,我没有看到任何其他实质内容。他们两人传达的潜台词是:“我们已经完全符合规范了,因此我们不需要做任何事情。”坦白地说,事实并非如此,还有许多工作要做。这是一个持续的过程,以确保隐私的合规性计划能按预期运行。“
ICO的信息专员伊丽莎白·德纳姆最近表示,如果扎克伯格打算认真对待数据泄露和保护问题,Facebook就应该放弃对因剑桥分析丑闻被ICO罚款50万英镑(合65.4万美元)罚款的上诉。关于这一点,你同意吗?
”我的同事伊丽莎白说得对,如果他是认真对待,就应该放弃与现行法规作斗争。昨天,我们在欧洲数据保护委员会(EDPB)内进行了一次重要讨论:我们同意在重要的跨境案例中支持一站式数据保护原则。我们将会和爱尔兰DPA合作,共同努力一起解决Facebook和谷歌的数据安全问题。目前,爱尔兰DPA正在进行的15项调查中有10项与Facebook有关,包括其子公司Instagram和WhatsApp的数据使用情况。其中一些在调查报告草案中处于高级阶段,爱尔兰DPA也会同步后续的罚款情况。“
法国数据监管机构将对Google处以5000万欧元(合6500万美元)的罚款。由于,爱尔兰的DPA是Google的主要数据监管机构,其他的DPA能效仿吗?
”由于Google在欧洲的总部在爱尔兰,因为此类案件必然涉及到跨境处理的问题,也意味着要协调其他数据保护机构之间的合作,并且根据GDPR的一致性机制来做出相应的决定。“
您对IAB的GDPR透明度和consent框架怎么看?IAB认为,将所有同意条款捆绑在一个OK按钮下是符合GDPR的。
”现在下结论还为时过早。我们很欣赏IAB能将GDPR纳入考虑,但目前还存在很多争议。这个需要所有DPA取得统一的立场,现在处于待定阶段。“
许多网站上的同意条款似乎都不符合规定。他们的同意条款仍然是默认同意的,这个会有什么后果吗?
”很显然,他们违反了GDPR关于获取同意的规定。即使用户勾选选择框,也不一定意味取得同意。一方面,明示同意意味着它不仅必须是明确的,有意义的而且不是预先勾选的情况,也不是用户为了能继续浏览网站别无选择的结果。另一方面,我们也不希望,用户花费大量的时间来阅读隐私条款。如果一个人勾选“我接受并同意”,但实际上又不知道自己到底同意了什么,这也不代表已经获取用户同意了。我们相信,会有一个合理的方法来解决这一切。“
会有更多的罚款吗?
”胡萝卜还是大棒的争论随处可见,而我的使命是说服人们对此更加负责任。事实上,对企业来说,边缘化数据保护没有帮助,继续这样将是一场灾难。企业是在接受一种新的数据保护文化,这可能会限制短期收益,但从长远来看,这将确保消费者的信任和信心,以及实现企业长久收入的最大化。“
不过,GDPR也留下了许多解释空间。例如,一个AdTech公司收集数据的目的是为了实现精准广告定位,那么它是否有权利认为自己可以处理用户的个人数据?
”昨天和今天上午,我们就第6条第1条,特别是关于合法利益的问题进行了深度探讨,并取得了重要成果。由于讨论内容复杂,为了充分反映讨论的内容最后还要进行一些修改。目前很难说他们能不能获得合法权益。对AdTech领域说,由于合法利益的概念,他们将能够收集和使用个人数据进行分析和推送精准广告。但在很多其他领域,很可能滥用数据。因此我们将在本周内对此做出更明确的决定。“
原文作者:Jessica Davies 网站Digiday的作者
译者介绍:张依侬 纷析数据 咨询顾问