2023 年 9 月 28 日,挪威数据保护局(Datatilsynet)请求欧洲数据保护委员会(EDPB)作出具有约束力的决定,把它对 Meta 爱尔兰在 Facebook、Instagram 上开展行为广告的临时禁令永久化,并将适用范围从挪威扩展到整个欧盟/欧洲经济区(EEA)。争议核心是 Meta 处理个人数据投放个性化广告缺乏 GDPR 认可的合法性基础。
TL;DR
2022 年 12 月 31 日,爱尔兰数据保护委员会(DPC)作出两项决定,认定 Meta 爱尔兰在 Facebook、Instagram 提供服务时不能以 GDPR 第 6(1)(b) 条(履行合同所必需)作为处理个人数据的基础,并命令其三个月内整改。随后 Meta 将部分处理活动的法律基础转到第 6(1)(f) 条(合法利益)。挪威数据保护局对这一转换的合法性存疑,认为它同时违反 GDPR 第 21 条的反对权,并于 2023 年 5 月 5 日正式要求临时禁止相关处理,但未获 DPC 支持。
2023 年 7 月,欧盟法院(CJEU)确认 Meta 不能依赖第 6(1)(f) 条处理个人数据投放个性化广告,并为第 6(1)(b) 条设定了严格的”合同必要”标准。据此,挪威对 Meta 爱尔兰和 Facebook 挪威实施临时禁令,禁止为投放行为广告而处理挪威数据主体的个人数据,同时指出若 Meta 在 2023 年 11 月 3 日前作出符合第 6(1) 条和第 21 条的充分承诺,禁令可解除。这条时间线与挪威此前的处罚决定相衔接,可参考挪威禁止 Meta 违规投放个性化广告、限期不改每日最高罚百万。
基于行为的营销,是企业依据用户的行为、兴趣、地理位置等指标定位受众,通过网络分析、cookie、搜索历史等收集数据后投放定制广告。它通常分三步:数据收集与分析、受众细分、个性化投放。常见形态包括邮件营销、产品推荐和人群圈选。这类做法能提升转化率,但其数据收集与画像环节直接触发 GDPR 对同意、透明度和反对权的要求。行为广告的合规全景可对照出海隐私保护系列之定向广告。
对于算法自动处理个人数据和用户画像,GDPR 要求保障数据主体的同意权、退出权和知情权:用户应能退出自动化处理,并了解处理逻辑与后果。若企业使用 cookie 存储或读取行为广告相关信息,《电子隐私指令》要求在提供清晰全面信息后取得同意。
最难的问题是同意的”自由”。GDPR 要求同意是自由、具体、知情、明确的意思表示,且企业须能举证。当访问在线服务的前提被设成必须同意为定向广告处理数据时,用户实际上被迫同意,这就削弱了同意的自由属性。这也是 Meta 后续”付费即无广告”方案引发新一轮质疑的根源,详见付费才能去掉广告?多国监管机构对 Meta 提出质疑。
Meta 案说明,个性化广告的合法性基础不能随意在”合同必要”和”合法利益”之间切换,监管和法院都会实质审查。出海企业在欧盟做行为营销时,应先明确每类数据处理的合法性基础,优先以符合 GDPR 标准的同意支撑广告类处理;对第三方合作方施加同等合规义务并定期审查;在产品端提供清晰的画像说明、便捷的退出与偏好管理入口。奥地利最高法院(OGH)也就类似问题作出裁定,可对照OGH 裁定 Meta 个性化广告数据处理违法。