Apple にとってまれなプライバシー ペナルティ: フランスのデータ保護監視機関である CNIL は、 発表した 現地のデータ保護法に違反して、デバイスに広告識別子を配置 (および/または読み取り) する前に現地のモバイル ユーザーの同意を得なかったとして、iPhone メーカーに 800 万ユーロ (約 850 万ドル) の制裁を科しました。
制裁決定は 12 月 29 日に発行されましたが、昨日公開されたばかりです ( 決定のテキストはこちらから入手できます フランス語で)。
CNIL は、欧州連合の ePrivacy Directive に基づいて活動しています。これにより、加盟国レベルのデータ保護当局は、侵害に関する地元の苦情に対して措置を講じることができます。問題の企業が責任を負っている国の主要なデータ監督者に照会する必要はありません。 (EU の新しい一般データ保護規則 (GDPR) で発生するように)。
この ePrivacy 罰金の規模がクパチーノで不眠の夜を引き起こすことはありませんが、Apple は比類のないユーザー プライバシーの主張を利用してプレミアム ブランドを磨き、iPhone を Google の Android プラットフォームを実行する安価なハードウェアと差別化しています。ユーザーデータの保護は刺さるはずです。
CNIL は、Apple が App Store でパーソナライズされた広告を表示したことに対する苦情に対応していると述べています。 このアクションは、古いバージョン (14.6) の iPhone オペレーティング システムに関連しており、ウォッチドッグが 2021 年と 2022 年に調査した後、提供されたターゲティング広告のためにデータを処理することについて、ユーザーから事前に同意を得ていなかったことが判明しました。ユーザーが Apple の App Store にアクセスしたとき。
CNIL は、iOS の v14.6 がユーザーの iPhone の識別子を自動的に読み取ることを発見しました。これは、App Store でパーソナライズされた広告を強化するなど、多くの目的を果たしました。デフォルトで事前にチェックされた設定を介して収集されます。 (注:2019年 eプライバシー指令に関するCNILガイダンス 広告追跡には同意が必要であると規定しています。)
CNILのプレスリリースより [translated from French with machine translation]:
広告目的のため、これらの識別子はサービス (App Store) の提供に厳密には必要ありません。 したがって、ユーザーが事前に同意を表明することなく、それらを読み取ったり、預けたりすることはできません。 ただし、実際には、iPhone の[設定]アイコンから利用できる広告のターゲット設定は、デフォルトで事前にチェックされていました。
さらに、この可能性は電話の初期化プロセスに統合されていなかったため、ユーザーはこのパラメーターを正常に非アクティブ化するために多数のアクションを実行する必要がありました。 ユーザーは、iPhone の[設定]アイコンをクリックし、[プライバシー]メニューに移動し、最後に[Apple 広告]というセクションに移動する必要がありました。 これらの要素により、ユーザーの事前の同意を得ることができませんでした。
CNIL は、罰金のレベルは処理の範囲を反映していると述べています (それは App Store に限定されていたと指摘しています)。 影響を受けるフランスのユーザーの数。 Apple が識別子によって収集されたデータから間接的に生成された広告収入から得た利益と、Apple がその後コンプライアンスを遵守したことを考慮に入れている規制当局。
Apple は、CNIL 制裁に関するコメントを求めて連絡を受けました。 同社の広報担当者は、控訴する予定であることを確認し、次の声明を送った。
App Store で検索広告を配信する方法がユーザーのプライバシーを優先していることを CNIL が以前に認識していたことを考えると、この決定には失望しており、控訴する予定です。 アップル Search Ads は、パーソナライズされた広告を希望するかどうかについて明確な選択肢をユーザーに提供することで、私たちが認識している他のどのデジタル広告プラットフォームよりも優れています。 さらに、 アップル 検索広告は、サードパーティのアプリやウェブサイト全体でユーザーを追跡することはなく、ファーストパーティのデータのみを使用して広告をパーソナライズします。 プライバシーは基本的な人権であり、ユーザーは自分のデータを共有するかどうか、誰と共有するかを常に決定する必要があると考えています。
Apple がプライバシーの二重基準について批判的な精査に直面したのは、これが初めてではありません。 さかのぼる 2020 年、欧州のプライバシー権キャンペーン グループ noyb は、Apple がデフォルトで iPhone に組み込んだ広告主の識別子 (別名 IDFA) について、EU のデータ保護監視機関に一連の苦情を申し立て、IDFA の存在は同様の違反であると主張しました。追跡原則への事前同意。
同社はまた、近年、独自の「パーソナライズド広告」を配信するための iPhone ユーザーのアプリ アクティビティの追跡と、サード パーティのアプリがユーザーから同意を得るという最近導入された要件との異なる扱いについて、プライバシーの偽善で非難されてきました。 — 2021 年に iOS に App Tracking Transparency 機能 (別名 ATT) を導入した後.
Apple はこれらの主張に異議を唱え続けており、Apple は現地のプライバシー法に準拠しており、ライバルのプラットフォームよりも高いレベルのプライバシーとデータ保護を iOS ユーザーに提供していると主張しています。
一方、フランスは近年、技術大手に対する e プライバシー侵害の取り締まりに非常に積極的でした。 先月 クッキーの追跡に関連するダーク パターンの設計により、Microsoft に 6,000 万ユーロの罰金が科せられたとき — 同社は、クッキーを受け入れるために提示されたボタンと同じくらい簡単なクッキーを拒否するメカニズムをユーザーに提供していなかったことが判明した後.
Amazon、Google、Meta (Facebook) も、2020 年以降、Cookie 関連の侵害に対する CNIL の制裁を受けています。そして昨年、Google は EU 全体で Cookie 同意ポップアップを更新し、(最終的に) シンプルな「同意する」を提供するようにしました。トップレベルで提供される「すべて」または「すべて拒否」オプション。
tl;dr: プライバシーの規制強化が機能します。
CNIL の介入により、ePrivacy (GDPR よりもはるかに古い EU 指令) を介してフランスのユーザーに対して実現できた施行と修正の着実な流れは、精査と施行が行われる後者の主要なプライバシー規制の運用にさらに重要な光を投げかけています。テクノロジー大手については、フォーラム ショッピング、関連する手続き上のボトルネック、リソースの問題、およびこれらの国境を越えた訴訟の解決方法をめぐる規制当局間の論争によって行き詰まりが続いています。
しかし、テクノロジーの巨人に対する GDPR の申し立てには何年もかかる可能性がありますが、施行されるまでには数年かかる場合があります。例えば、Facebook と Instagram の 2 つのメタ プロパティに対する「強制的な同意」の申し立てを確定するのに約 4.8 年かかりました。その決定が先にある (そして、他のさらに長期にわたる苦情が、最終決定に向けて骨の折れる作業を続けている) — EU指令と規制の違いは、執行の管轄に局地化されるのではなく、デフォルトで汎EUであることを意味します。 DPA。 つまり、ePrivacy を使用すると、より広範なコンプライアンスのロールアウトは、認可されたエンティティの裁量に委ねられるため、ユーザーへの影響はより局所化される可能性があります。
さらに、(最終的な)GDPR の罰則は、ePrivacy のおとり捜査よりも実質的なものになる可能性があります。 「効果的で、釣り合いが取れており、抑止力のある」罰則。 (エルゴ、ここでのユーザーの権利は地方政治に縛られています。)
EU が、何年もの間、20 年以上前の ePrivacy Directive を更新された ePrivacy Regulation に置き換えようとしてきたことは注目に値します。 しかし、2017 年の欧州委員会の提案をめぐる大手テック企業のロビー活動と議員の論争が共謀して、この期間のほとんどでファイルを失速させました。
加盟国はついに、2021 年 2 月に共通の交渉ポジションに合意し、ついにトリローグ交渉を開始できるようになりました。 だが EUの共同議員間の討論 大小の詳細については継続しており、コンセンサスをハッシュ化できる時期 (または可能性があるかどうか) は明らかではありません。
つまり、ベテランの ePrivacy Directive には、さらに何年も有効な期間があり、さらに何百万ドルもの高額の罰金が科せられる可能性があるということです。