2020年9月,欧洲数据保护委员会(EDPB)发布了新的 针对社交媒体用户的准则 (指南)进行咨询。

背景

该指南解决了使用社交媒体服务根据特定标准(例如用户的感知兴趣,偏好和社会人口特征)将特定消息定向给用户时出现的隐私风险和法律问题。

 一个典型的例子是品牌(或“广告商”)在个人的社交媒体平台上宣传其产品或服务。特别是通过程序化广告(自动买卖在线广告)和“实时出价”(实时对展示广告资源进行自动出价)过程,广告商可以将个性化广告放置在个人的社交媒体平台上(例如,通过内容供稿或“故事”)。此过程通常涉及处理出价请求中的个人数据,其中可能包括个人的Web浏览历史记录,年龄,性别,位置和网络连接。广告商根据个人可能感兴趣的可能性提交出价,以将其广告放置在个人的社交媒体页面上。通常,出价请求越详细,出价就可能越高,因此,有关各方更有动力通过使用跟踪技术或其他方式收集尽可能多的个人数据。此外,广告技术生态系统内的各方(例如数据经纪人)可以使用来自其他来源(包括离线来源)的信息来扩充从出价请求中收集的数据,他们可以将其出售给参与定位过程的其他利益相关方。

《准则》将目标确定过程中涉及的行为者类型分为四个不同的组,即:(1)社交媒体提供者; (2)社交媒体用户; (3)定位对象(例如广告客户); (4)可能涉及的“其他参与者”(例如,供应方平台(SSP),需求方平台(DSP),数据管理平台(DMP),数据代理,广告网络和广告交易平台)。

该指南确定了针对社交媒体用户的潜在风险,例如失去对个人数据的控制,潜在的歧视和对个人的潜在操纵(因为针对性机制试图影响个人的行为和选择)。

该准则还试图阐明社交媒体提供者与目标者之间的角色,责任和关系,并解释应制定的关键数据保护要求和文件。

问题 和动作

联合控制人

问题 –准则规定,社交媒体提供商和定位者是以下通常与程序化广告有关的定位活动的“共同控制人”,即确定定位标准;确定目标受众;向目标受众展示广告,并提供定向的广告系列报告。各方也将是针对自定义受众(或“基于列表”)定位的联合控制者,由此目标器将上载其持有的个人数据(例如电子邮件或电话号码)列表供社交媒体提供商与平台上的信息进行匹配建立目标受众。该准则阐明,即使在目标方无法访问目标受众的个人数据的情况下,各方也可以成为联合控制方。

行动 –社交媒体提供者和目标者应订立联合控制人协议,以规定各自的责任和义务。目标者和社交媒体提供者之间的安排应包括他们共同负责的所有处理操作(这将排除在与目标活动无关之前发生的任何数据收集,而有关各方将是各自独立的控制者)。该准则指出,通过达成肤浅和不完整的安排,针对目标者和社交媒体提供商将违反其根据《通用数据保护条例》(GDPR)承担的义务。

法律基础

问题 –社交媒体提供者和目标者各自需要确定处理个人数据的适当法律依据。 GDPR第6条下的两个法律基础有可能证明支持该目标的处理是正当的权益或同意(因为《指​​南》根据合同的必要性排除了处理),控制者必须根据其具体情况评估哪个适当情况。

该准则表明,控制者很难证明合法权益是出于广告目的进行侵入性分析和跟踪做法的法律基础,其中包括跟踪跨多个网站,位置,设备,服务或数据经纪的个人。为了维护合法利益,社交媒体用户应该在处理开始之前访问平台时能够反对定向广告的显示,并且还应提供控件以确保不再针对定向目的处理其个人数据他们反对之后发生。

关于同意,《准则》指出,要使同意有效,就必须给予个人控制权和真正的选择权,以及拒绝或撤回同意而不损害其能力。同意还必须是积极,具体,知情和明确的。如果定向活动涉及使用cookie或类似的跟踪技术,则cookie同意必须满足这些相同条件。此外,即使处理是基于同意的,也不会使不相称或不公平的目标定位合法化。

请注意,如果在定向过程中处理个人数据包括敏感或“特殊类别数据”(例如,有关个人的种族或族裔,政治见解,宗教或哲学信仰,遗传学,健康状况,性生活和性取向)或推断出,GDPR第9条要求有其他法律依据(例如,明确同意)。

行动 –一旦各方确定了针对目标的合法依据,社交媒体提供者与目标者之间的联合控制人安排就应阐明处理的每个目的以及各方所依赖的相应法律依据。该准则指出,尽管GDPR并未阻止联合控制人使用不同的法律依据,但建议在可能的情况下针对特定的目标定位方法和目的使用相同的依据。另外,各方应确保已进行并记录了适当的合法权益评估和/或在必要时具有适当的同意通知和机制以用于目标锁定。

透明度和数据主体权利

问题 –由于目标者除了通过社交媒体网站主动提供或共享的个人数据外,还可以使用已“观察”或“推断”的个人数据(例如,通过用户的网络浏览行为,购买历史记录或网络连接),因此可能会导致以个人无法合理预期的方式使用个人数据。此外,在针对目标使用过程中使用的确切个人数据缺乏透明性以及由谁来确定的情况下,个人无法轻易通过数据主体权利(例如访问或擦除权)来行使控制权。

行动 –应放置清晰的隐私声明。应该向个人明确说明针对目标进行了哪些类型的加工活动,以及在实践中这对个人意味着什么。该指南规定,仅使用“广告”一词不足以告知用户其活动正在针对有针对性的广告进行监控。应告知个人是否将根据其在线行为建立个人资料,以及为建立此类个人资料而收集的个人数据类型。

此外,个人应可随时使用易于使用且高效的工具来行使其数据主体的权利,尤其是删除,访问和异议的权利。联合控制人协议可以指定响应数据主体请求的责任,但不能排除个人针对每个控制人行使其权利的可能性。

数据保护影响评估(DPIA)

问题 –在启动设想的定位操作之前,社交媒体提供商和定位者都应评估该处理是否“可能导致高风险”,因此需要完成DPIA。除其他外,各方应考虑所宣传的产品或服务的性质以及用于定位的个人数据的类型,包括是否使用敏感数据。例如,基于个人已知或感知的健康状况(例如,通过他们的搜索历史)针对药品的广告,对个人的风险要比仅针对最近来访的个人的服装的广告高。零售商的网站。

行动 –社交媒体提供者和目标者各自需要评估是否需要DPIA,并决定一方或双方都将在实践中执行DPIA(这应反映在联合控制人协议中)。 DPIA必须解决与目标相关的风险,并制定适当的安全措施和机制以减轻风险并保护个人数据。

评论

该指南提供了各种类型的在线目标定位活动的实际示例,并更加明确了目标定位器和社交媒体提供商之间制定联合控制协议的必要性。但是,尚不清楚的是社交媒体提供商,目标用户和“其他参与者”(例如SSP,DSP,DMP等)之间的关系应如何管理。尚不清楚的是,在实践中获得的删除cookie的同意是否足以覆盖后续的定位活动,特别是在GDPR第9条下需要“明确同意”以处理特殊类别数据的情况下。

各组织应审查其针对社交媒体的处理活动,并考虑遵守准则最终版本可能需要的任何补救措施。该准则将公开征询公众意见,直至2020年10月19日。我们将监控进展情况,并随时向您通报任何新进展。