2020年9月,欧洲数据保护委员会(EDPB)发布了新的 关于社交媒体用户目标的指导 (指南)进行咨询。

背景

该指南涉及在基于特定标准的基于特定标准的用户对用户指导特定信息时出现的隐私风险和法律问题,例如用户的感知利益,偏好和社会人口统计学特征。

 典型的例子是当一个品牌(或'广告商')在个人的社交媒体平台上宣传他们的产品或服务。通过编程广告(在线广告的自动购买和销售)以及“实时招标”(实时显示广告库存的自动竞标),特别是广告商可以在个人的社交媒体平台上为个性化广告提供个性化广告(例如通过内容源或“故事”)。此过程通常涉及在出价请求中处理个人数据,该数据可以包括个人的网络浏览历史,年龄,性别,位置和网络连接。广告商根据个人将对的可能性,提交投标将其广告放在个人的社交媒体页面上。通常,竞标请求越详细,出价越高,因此涉及通过使用跟踪技术或其他方面可以尽可能多地收集个人数据的各方更高的激励。此外,AD技术生态系统(如数据经纪人)中的各方可能会增加从出价请求中收集的数据,其中包含来自其他来源的信息(包括离线源),它们可能会向其他参与目标过程的其他利益相关者销售。

该指南将涉及目标过程中涉及的参与者的类型分为四个不同的组,即:(1)社交媒体提供者; (2)社交媒体用户; (3)目标人员(例如广告商); (4)可能涉及的“其他演员”(例如,供应侧平台(SSP),需求侧平台(DSP),数据管理平台(DMPS),数据代理,广告网络和广告交换)。

该指南确定了对社交媒体用户的目标潜在风险,例如对个人数据的控制丧失,潜在的歧视和个人的潜在操纵(因为目标机制寻求影响个人的行为和选择)。

该指南还寻求澄清社交媒体提供者和目标人员之间的角色,责任和关系,并解释应该到位的关键数据保护要求和文件。

问题 和行动

联合控制

问题 - 指导方针提供社交媒体提供者和目标人员是以下目标活动的“联合控制器”,这些活动通常涉及程序化广告 - 确定目标标准;识别目标受众;向目标受众显示广告并提供目标广告系列报告。各方也将是用于定制受众的联合控制器(或基于列出的“)目标,由此目标方上传其拥有的个人数据列表(例如电子邮件或电话号码),以便在平台上与信息匹配。建立目标受众。这些指导方针澄清了各方可以是联合控制器,即使目标人员无法访问目标受众的个人数据。

行动 - 社交媒体提供者和目标人员应建立联合人员协议,以列出各自的责任和负债。目标者和社交媒体提供者之间的安排应包括所有处理操作,他们共同负责(这将排除与目标广告系列之前和无关的任何数据收集,各方将是单独的和独立的控制器)。指导方针说明,通过结束肤浅和不完整的安排,目标人员和社会媒体提供者将违反违反“一般数据保护条例”(GDPR)的义务。

法律基础

问题 - 社交媒体提供者和目标人员各每人都需要确定处理个人数据的合法依据。在GDPR第6条下的两个法律基础,这可能是支持支持目标的处理是合法利益或同意的处理(作为指导方针,根据合同的必要性排出处理),并控制人必须根据其特定评估情况。

该指南表明,控制人员难以使用合法利益作为侵扰性分析和追踪广告目的的追踪实践的合法依据,其中包括跟踪多个网站,地点,设备,服务或数据经纪人的个人。为了依赖合法的利益,社交媒体用户应该能够在开始处理之前访问平台时的目标广告的显示,并且还提供控制,确保其个人数据的处理不再是目标目的。他们对象后发生。

关于同意,指导方针指出,由于同意有效,必须提供控制和真正的选择,以及拒绝或撤销同意的能力。同意也必须是积极的,具体,知情和明确的。在目标活动涉及使用饼干或类似跟踪技术的情况下,Cookie同意必须满足这些相同的条件。此外,即使加工基于同意,这也不会合法化靶向,这是不成比例或不公平的。

请注意,如果目标过程中的个人数据处理包括敏感或“特殊类别数据”(例如,关于个人的种族或族裔血统,政治意见,宗教或哲学信仰,遗传,健康,性生活和性生活)是否明确或推断出,根据GDPR(例如明确同意)第9条要求额外的法律依据。

行动 - 一旦各方确定其合法的目标基础,社交媒体提供者和目标人员之间的联合控制器安排应列出每个政党的处理目的和相应的法律基础。指导方针说明了虽然GDPR不排除联合控制器使用不同的法律基础,但建议在可能的情况下对特定目标方法和目的使用相同的基础。另外,各方应确保其进行并记录了适当的合法利益评估和/或在必要时适当的同意通知和适当的目标。

透明度和数据主体权利

问题 –由于目标人员可以使用已被“观察”或“推断”(例如通过用户的Web浏览行为,购买历史记录或网络连接)的个人数据,除了主动提供或通过社交媒体网站共享的个人数据,这可能会导致以个人方式使用的个人数据不会合理预期。此外,在目标过程中使用的确切个人数据缺乏透明度以及由谁缺乏透明度,个人不能轻易通过数据主体权利进行控制,例如访问或擦除权。

行动 –应清除隐私声明应到位。对于个人而言,应该对个人进行哪些类型的加工活动,以及在实践中为个人的意思是什么类型的处理活动。该指南提供了仅仅使用“广告”这个词的使用,不足以告知用户他们的活动是为了针对有针对性的广告而被监视的。如果将基于其在线行为构建配置文件,以及收集此类配置文件的个人数据类型,则应通知个人。

此外,对于个人,应提供易于使用和有效的工具,以便随时行使数据学科,特别是擦除,访问和异议的权利。联合控制人协议可以指定响应数据主题请求的责任,但不能排除个人对每个控制员行使其权利的可能性。

数据保护影响评估(DPIA)

问题 - 在启动设想的目标操作之前,社交媒体提供者和目标人员都应评估处理是否“可能导致高风险”,因此需要进行DPIA。在其他事情中,各方应考虑广告的产品或服务的性质和用于目标的个人数据类型,包括是否使用敏感数据。例如,根据个人已知或感知的健康状况(例如,通过他们的搜索历史)的基础上针对的药物产品的广告更有可能导致个人的高风险,而不是仅在最近访问过的人的衣服的广告零售商的网站。

行动 - 社交媒体提供者和目标人员各种需要评估DPIA是否必要,并决定一方是否将在实践中执行DPIA(这应该反映在联合控制人协议中)。 DPIA必须解决涉及目标涉及的风险,并列出了安全措施和机制,以减轻风险并保护个人数据。

评论

该指南提供了不同类型的在线定位活动的实际示例,并提供了更加清晰的必要性,以便在目标人员和社交媒体提供者之间建立联合控制器协议。然而,仍然清楚的是,社交媒体提供者,目标人员和“其他演员”(例如SSP,DSP,DMP等)之间的关系是如何控制的。它还仍然尚不清楚在实践中删除饼干的同意是否足够,以涵盖随后的目标活动,特别是在第9条GDPR条件下需要“明确同意”,以处理特殊类别数据。

组织应审查他们的社交媒体定位处理活动,并考虑任何可能需要遵守指南的最终版本所必需的任何修复行动。该指南在2020年10月19日至10月19日之前开放公众咨询。我们将监控进度,并通知您任何新的发展。