近日,致力于全球隐私保护的非政府组织“隐私国际”(Privacy International)在推特上透露,法国数据保护监管机构(French Data Protection Authority,CNIL)在接受其起诉并展开调查两年后,认定法国广告巨头Criteo违反了欧盟《通用数据保护条例》(GDPR)的相关规定,计划对Criteo处以约6000万欧元的罚款。其后,Criteo方回应称该拟议处罚与指控罪名不匹配,坚决反对调查结果。

公开资料显示,Criteo是一家业务遍布全球的大型在线广告公司,其总部位于法国巴黎,在德国、意大利、英国等欧洲国家均设有办事处。作为一个广告平台,Criteo为营销人员和发行商提供包括客户获取、受众匹配、广告分析和设计等服务,其声称可获取72%全球在线消费者的身份信息和偏好数据,拥有超过14亿月度活跃消费者的分析数据。

事情的起因可追溯至2018年11月。据了解,彼时GDPR刚实施数月,“隐私国际”向包括法国CNIL在内的多个数据保护机构提起诉讼,理由是Criteo、Equifax、experian等七家大型公司的数据收集和处理行为违反了GDPR的相关规定。2020年1月,CNIL正式启动调查。

“隐私国际”提交的诉状显示,Criteo等公司收集、传输、处理个人数据过程的透明度很低,“人们不知道谁在处理他们的数据,如何处理以及出于什么目的处理。”此外,Criteo的自动化决策过程不透明,其擅自通过行为跟踪和数据处理生成用户画像并推送个性化广告的行为缺乏法律依据。诉状认为,这些行为违反了GDPR的多项核心原则,要求CNIL等机构彻查。

在起诉近四年、开展调查两年多以后,事件迎来了新进展。近日,“隐私国际”在推特发文称,CNIL认定Criteo的数据处理行为存在违规,已提议对其处以 6000万欧元的罚款。不过,据报道,“隐私国际”的一位发言人表示,该处罚并非最终决定,因此还未公开,CNIL按照标准起诉处理程序告知了他们这一进展。

其后,Criteo首席法律官瑞安·达蒙(Ryan Damon)对此作出回应,称无论是有关其违反GDPR的调查结果,还是计划作出的处罚决定,他们都坚决反对,理由是拟议处罚与指控罪名不匹配。她强调,Criteo期待与CNIL进一步对话,并在最终裁决时进行辩护,“Criteo将继续坚持最高的隐私标准,开展完全透明和符合法规的全球业务。”

据了解,根据CNIL的制裁程序,Criteo有权就调查结果和处罚决定做出书面答复,随后CNIL制裁委员会将就此举行正式听证会。听证会结束后,CNIL制裁委员会将发布一项决定草案,然后提交给欧洲其他数据保护机构进行协商,该案件的最终决定可能在明年年中之后作出。

数字营销教育公司U of Digital管理合伙人希夫古普塔(Shiv Gupta)表示,如果Criteo违反了GDPR,意味着大多不面向消费者的广告科技公司及许多面向消费者的公司都很可能有罪。他推测,CNIL和其他数据保护机构可能试图以Criteo为例警告其他人,也可能这是对广告技术公司侵权罚款“一系列行动的开始”。

adtech公司Kubient的首席执行官兼创始人保罗·罗伯茨(Paul Roberts)对此也持有类似看法。在他看来,这一决定足以“让所有adtech公司召集他们的数据隐私团队开会”,而这笔巨额罚款意味着今后任何涉嫌违反GDPR的行为都将被严肃对待。

文|樊文扬

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。