見てる方へ 欧州連合における監視広告のスローモーション解除は、長い間延期されてきた法的計算への長く曲がりくねった道の新たな進展です:行動広告のためにデータを処理するために Web ユーザーから同意を得るための、自称「ベスト プラクティス」フレームワークは、ブリュッセル市場控訴裁判所によって却下されました。
同時に、法的な問題は、他の多くの控訴理由に関連してヨーロッパの最高裁判所に付託されています。これは、監視アドテックの精巧な機構の主力コンポーネントについて、今後数年間で厳しい判決が下されることを意味します。
具体的な問題としては、IAB Europe によって策定および推進された「業界を超えた」フレームワークが挙げられます。多くのパブリッシャーや広告主が取り上げて、広告追跡に対する Web ユーザーの「同意」を得ていると主張していますが、批評家は要約すると次のように主張しています。入念な「コンプライアンス シアター」 — EU のプライバシー法を回避するための同意のパントマイムを制定します。
この同意ツール、別名透明性と同意のフレームワーク (TCF) は、この地域の Web ユーザーを悩ませている刺激的な広告同意ポップアップの大部分の根底にあるものですが、ブロックの一般データ保護規則 (GDPR) に違反していることが今年初めに判明しました。ベルギーのデータ保護当局による長期にわたる調査の結果、プライバシーと法律の専門家が何年にもわたって警告してきたことが確認されました。追跡広告への過半数の同意は大きな嘘です.
2 月にさかのぼるベルギー当局の TCF に関する決定で確認された GDPR 違反は、処理の合法性などの主要な原則をカバーしています。 公平性と透明性; 処理のセキュリティ; 個人データの完全性; とりわけ、設計およびデフォルトによるデータ保護。
IAB ヨーロッパ自体も GDPR に違反していることが判明しました。 また、オンライン広告業界団体には、一連の違反リストを修正するために 6 か月という厳しい期限が与えられましたが、TCF はその間存続することが許可されています (したがって、迷惑なポップアップはまだ消えていません)。
IAB ヨーロッパは、弁護士を起用し、控訴することで、規制の平手打ちに対応しました。ベルギーの DPA の決定を覆すために、手続き上の不公平の主張から、その役割や技術を完全に否定するまで、複数の角度から反対することを求めました。去勢牛が EU 法に違反している。
同時に、追跡広告に関する実存的なプライバシー問題をさらに否定する中で、組織は、TCF を「国境を越えた行動規範」として推進し、提出することを計画していると述べ、明らかに注目している. 米国の規制要件 (カリフォルニア州の CCPA など) への「準拠」を移植します。 (関連する米国を拠点とするアドテク団体である IAB Tech Lab は、この夏、「グローバル プライバシー プラットフォーム」、それは「合理化」と主張しています[es] 技術的なプライバシーとデータ保護のシグナリング標準を単一のスキーマと一連のツールにまとめ、チャネル全体で規制および商業市場の要求に適応できるようにします。 批評家は、TCF を法廷闘争に巻き込んだのと同じ明白な欠陥の多くを繰り返すだけだと警告している ヨーロッパでは、改革への熱意の欠如は明白です。)
しかし、データ保護が (少なくとも紙面では) 包括的であり、プライバシーが基本的な権利である EU で法的現実を否定することから、IAB がどれだけの利益を得ることができるかは大きな問題です。
TCF の GDPR のストライキに対する上訴への最初の打撃で、その手続き上の不満の束が今投げ出されました。
控訴理由は?
上訴のこの時点でブリュッセル裁判所によって決定された 8 つの根拠のうち、5 つが完全に根拠のないものであることが判明しました。 支配する それを置く。 (IAB のフレームワークのメカニズムが個人データを構成するかどうかを中心とした追加の申し立てと苦情が、「十分な注意」なしに公聴会の後に決定に組み込まれたという認定に関連するもの。 IABが主張したように、まったく新しい調査を開始するため、これはかなり小さな手続き上の勝利のように見えます.)
この段階で裁判所が決定した他の 5 つの理由 – 苦情が受け入れられないという IAB の主張や、当局の検査報告書が「不完全で偏りがある」など – はすべて却下されました。
しかし、IAB によって提出されたさらに多くの理由があります (判決は全部で 19 をリストしています)。 そして、これらの根拠に関連する法的な質問に対する司法裁判所 (CJEU) の応答が保留されているため、控訴は現在保留されています。
参照された質問は、TCF を介して渡されたユーザーごとの同意文字列が個人データを構成するかどうかに集中しています (IAB はそうではないと主張していますが、申立人も主張しているように、ベルギーの DPA はそうであると判断しました)。 IAB は謙虚な業界標準化団体であると自称しているが、TCF といわゆる「TC ストリング」の目的のための共同データ管理者であるかどうか (繰り返しますが、それは主張していませんが、当局によって発見されました)。共同管理者となる)。
「ブリュッセル控訴裁判所が私たちの質問を欧州司法裁判所に付託したことは、この事件の重要性を示しています。 市民的自由のためのアイルランド評議会、声明で。 「本日の判決は、ヨーロッパのインターネット ユーザーに何年もの間嫌がらせをしてきた同意ポップアップに終止符を打つための次のステップです。 現在、欧州司法裁判所からの回答と、その後のブリュッセル控訴裁判所の本案判決を楽しみにしています。」
CJEU がこれらの問題について裁定を下すには数年かかる可能性がありますが、その裁定に対して控訴する手段はありません。 これで列車は駅を出発しました。
かなり短期間のうちに、大規模な監視アドテク インフラストラクチャを考案および促進し、その規則によってこの追跡機構の中核となる手順が規定されているエンティティが、サイバー犯罪者の全力を回避できるかどうかなどの重要な点について、法廷から厳しい評決が下されるでしょう。 EU のプライバシー法は、単なる標準化団体の guv であると主張しています。 そして、IAB の旗艦手先の早業について — TC 文字列は個人データではなく、個人にリンクされていないと主張する場合、とにかくそれらを処理するための法的根拠は必要ありません — これはかなりの抜け道になるでしょう-法廷で待機することが許可されている場合、EU データ保護法の行動広告に関する条項。
(この議論に対するベルギーの DPA の回答は、TCF が同意文字列をユーザーの IP アドレスにリンクしていることを指摘するものでした。これは、GDPR の下では完全に個人データと見なされます。ツールのユーザーは、他のデータを介してユーザーを識別することもできます。また、実際、TC 文字列の要点はユーザーを識別することです。)
この時点で、GDPR が個人データをどのように定義しているかについて記憶を新たにする価値があります。 [with added emphasis ours]:
「個人データ」とは、 任意の情報 に関連する を 特定または 識別可能な 自然人 (「データ主体」); 識別可能な自然人は一人です 特定できる人、直接または 間接的に、 特に 識別子への参照による そのような 名前、識別番号、位置データ、 オンライン識別子 または、その自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに固有の 1 つまたは複数の要因。
そのため、数え切れないほどの違法なポップアップに悩まされている EU 市民は、CJEU の裁定を待つ必要があります。 (しかし、ヨーロッパの最も優れた法律家は、このマリガンを叫ぶのに、あまり長く頭を悩ませる必要はないでしょう。)
次のストップ、施行?
その間、ベルギーのDPAは元の命令の執行を再開することができ、実際にそうすべきである.
執行に対する彼の期待について尋ねられたライアンは、当局の決定が最終的に適用されるかどうかを検討しているとTechCrunchに語った(これもGDPRに違反しているというベルギーの暫定的な裁定は、この時点でほぼ2年前にさかのぼる)。 .
「延長は、市場裁判所の決定まででした。 したがって、今すぐ適用できるはずです」と彼は示唆し、「追跡ベースのオンライン広告業界は、EU データ保護法が実際に施行される可能性を考慮しなければなりません」と付け加えました。
また、ベルギー当局とIABヨーロッパにも質問をしましたが、どちらもプレス時に応答しませんでした.
IAB ヨーロッパは、 声明 開発に関するウェブサイトにアクセスし、「暫定的な決定」と呼ばれるものと、CJEUへの質問の付託を認め、「歓迎する」と述べています.
「APD に含まれる個人データと管理権の概念の解釈 [Belgian DPA] IAB Europe の CEO である Townsend Feehan 氏は、既成のコメントの中で、消費者保護の観点から不必要に広範であり、オープン スタンダードの開発と GDPR で予見される行動規範に重大な悪影響を及ぼします。 「ホスト組織に容認できないほどの財政的負担を課し、これらの重要なコンプライアンスツールの開発を思いとどまらせるでしょう」.
で 声明 ベルギー当局はそのウェブサイトで、「判決の内容をより詳細に表現する前に、判決をさらに分析する必要がある」と書いているが、「この決定にすでに満足しており、判決の重要な概念をさらに明確にするだろう」と公言している。データ管理者の概念の定義、およびフレームワーク設計者への適用可能性などの GDPR」。
DPA の訴訟室の議長である Hielke Hijmans 氏は、声明の中で次のように付け加えています。 だからこそ、欧州レベル、EU の司法裁判所で議論されていることは良いことだと考えています。」
当局は続けて、その決定は「ターゲットを絞ったオンライン広告に対するユーザーの好みを記録するメカニズムの分析を通じて、ヨーロッパにおけるインターネット ユーザーのプライバシーの保護に重要な貢献をした」と書いており、さらに次のように主張しています。オンライン広告、特にターゲティング広告を受け取る同意の背後にあるメカニズムについての認識。」
DPA の声明は、ベルギーが「EU のカウンターパートと可能な次のステップについて話し合う」と付け加えています。
これは、まあ、「このスペースを見てください」のように聞こえます…