背景

　　據(jù)報道，2021年11月，比利時數(shù)據(jù)保護(hù)機(jī)構(gòu)（APD/GBA）結(jié)束了對IAB歐洲的調(diào)查，并且形成了裁決草案。根據(jù)GDPR規(guī)定的程序，該裁決草案還需要由其他歐洲國家的數(shù)據(jù)保護(hù)機(jī)構(gòu)審查，因此草案文本尚未公開。從被調(diào)查的一方IAB歐洲的聲明[1]和向APD/GBA投訴的一方ICCL（Irish Council for Civil Liberties）發(fā)表的聲明[2]對照來看【中文翻譯見：個性化廣告 | 歐盟的自動化程序廣告即將迎來由GDPR引發(fā)的“震動”】，APD/GBA的裁決中會認(rèn)定IAB歐洲設(shè)計(jì)的TCF（Transparency & Consent Framework）機(jī)制中所用到的TC字符串（Transparency & Consent String）屬于個人信息，并且IAB歐洲是此等個人信息的共同控制者；相應(yīng)地，由于目前IAB歐洲并沒有履行GDPR規(guī)定的控制者義務(wù)，因此違反了GDPR的規(guī)定。對于公眾普遍關(guān)心的TCF是否違反GDPR的問題，雙方的聲明做了不同的表述?？梢灶A(yù)計(jì)，本案將對數(shù)字廣告生態(tài)產(chǎn)生深遠(yuǎn)的影響。

　　什么是“TCF”和“TC字符串”

　　TCF是IAB歐洲針對數(shù)字廣告生態(tài)構(gòu)建的GDPR合規(guī)解決方案[3]。正如其名字所示，TCF解決的是GDPR要求的透明度和同意的問題。根據(jù)GDPR第6條的要求，處理個人數(shù)據(jù)必須具有合法性基礎(chǔ)。將數(shù)據(jù)主體的個人數(shù)據(jù)用于數(shù)字廣告生態(tài)，用戶同意和正當(dāng)利益是主要的合法性基礎(chǔ)。根據(jù)GDPR第13條關(guān)于透明度的要求，無論采用何等合法性基礎(chǔ)，需要在處理個人數(shù)據(jù)之前向用戶披露。此外，如果對個人數(shù)據(jù)的處理是基于同意的，根據(jù)GDPR第4條對同意的定義，同意必須是數(shù)據(jù)主體依據(jù)其個人意愿，自由、明確、知情（承接了透明度的要求）并清楚地通過陳述或積極行為表示的。數(shù)字廣告生態(tài)的參與方眾多，包括但不限于SSP、ADX、DSP、DMP，各參與方如何能夠?qū)τ脩暨M(jìn)行有效地披露，并獲得用戶的同意是很大的挑戰(zhàn)。

　　為了應(yīng)對這一挑戰(zhàn)，IAB歐洲設(shè)計(jì)了一套規(guī)則即TCF。基于這一套規(guī)則，直接面向用戶的媒體（TCF中的Publisher，可以是網(wǎng)站、App等）向用戶披露媒體正在收集哪些數(shù)據(jù)，媒體與哪些公司合作，以及媒體及合作公司打算如何使用這些數(shù)據(jù)[4]；在此披露的基礎(chǔ)上，媒體獲得用戶對于將個人數(shù)據(jù)用于數(shù)字廣告生態(tài)的同意；然后，媒體將所述同意在數(shù)字廣告生態(tài)的參與者之間進(jìn)行同步，從而使得無法直接面向終端用戶的其他數(shù)字廣告生態(tài)參與方（TCF中的供應(yīng)商即Vendor）能夠按照用戶的同意處理個人數(shù)據(jù)；獲得和管理用戶同意的平臺在TCF中稱為CMP（Consent Management Platform），媒體可以自建CMP，也可以使用第三方CMP?？梢钥闯觯琓CF旨在幫助數(shù)字廣告生態(tài)中的所有各方在處理個人數(shù)據(jù)或訪問和/或在用戶設(shè)備上存儲信息時遵守歐盟的GDPR和電子隱私指令，如cookie、廣告標(biāo)識符、設(shè)備標(biāo)識符和其他跟蹤技術(shù)，尤其是幫助滿足GDPR中關(guān)于同意的要求。

　　為了方便向用戶披露供應(yīng)商的情況，IAB歐洲維護(hù)了Global Vendor List，用于記錄承諾遵守TCF的供應(yīng)商清單，以及每個供應(yīng)商會對個人數(shù)據(jù)進(jìn)行何種處理（TCF已經(jīng)將處理行為進(jìn)行了分類）以及每個供應(yīng)商為每種處理選擇的合法性基礎(chǔ)[5]。用戶可以查詢GVL來獲得關(guān)于供應(yīng)商如何處理其個人數(shù)據(jù)的信息。

　　TC字符串是在上述用來記錄和同步有關(guān)用戶同意的信息的數(shù)據(jù)結(jié)構(gòu)[6]。根據(jù)TCF的規(guī)則，TC字符串由CMP在用戶第一次訪問媒體的時候通過用戶詢問的方式生成，并由數(shù)字廣告生態(tài)的參與方消費(fèi)。TC字符串的主要內(nèi)容包括：

　　元數(shù)據(jù)，包括TC字符串的編碼版本，TC字符串的創(chuàng)建和更新時間，使用的GVL版本，創(chuàng)建該TC字符串的CMP身份）；

　　對于以用戶同意為合法性基礎(chǔ)的處理行為，用戶針對向用戶披露的每個供應(yīng)商的每個處理行為是否進(jìn)行了同意；

　　對于以正當(dāng)利益為合法性基礎(chǔ)的處理行為，用戶是否行使了Right to Object。

　　由此可見，TC字符串詳細(xì)記錄了向用戶披露的信息以及用戶基于此等披露對數(shù)字廣告的各參與方處理其個人數(shù)據(jù)進(jìn)行的選擇。TC字符串會被傳遞給承諾遵守TCF的供應(yīng)商，因此理論上講，用戶的個人數(shù)據(jù)只會被這些供應(yīng)商按照用戶認(rèn)可（包括給出同意，以及沒有行使Right toObject）的方式進(jìn)行處理。

　　解讀

　　1、TC字符串是否屬于個人信息？

　　根據(jù)GDPR第4條的定義，個人數(shù)據(jù)指的是與已識別或可識別的自然人有關(guān)的信息。如前所述，TC字符串表示的是用戶就數(shù)字廣告生態(tài)的各方處理其個人數(shù)據(jù)給出的同意/反對。為了完成此任務(wù)，TC字符串必然要以一種能夠識別個體的方式來生成、存儲和傳遞。一種典型的實(shí)現(xiàn)方式是，CMP在用戶第一次訪問媒體時根據(jù)用戶問詢生成TC字符串并存儲在cookie中；在產(chǎn)生廣告請求時，該cookie被讀取以提取TC字符串，并且將用戶對個人數(shù)據(jù)處理的同意/反對等隨著廣告請求一起傳遞到數(shù)字廣告生態(tài)的各參與者。

　　盡管如此，TC字符串與數(shù)字廣告生態(tài)所依賴的個人數(shù)據(jù)（例如用戶的行為數(shù)據(jù)）有本質(zhì)的不同。前者是為了幫助數(shù)字廣告生態(tài)各參與方進(jìn)行GDPR合規(guī)而設(shè)計(jì)出的個人數(shù)據(jù)，并且其意義在于在數(shù)字廣告生態(tài)的各參與方之間共享和被各參與方處理。因此，對此等個人數(shù)據(jù)的處理應(yīng)該采用何等合法性基礎(chǔ)，用戶對此等個人信息的處理有何等數(shù)據(jù)主體權(quán)利以及如何落地，是正式裁決中一個值得關(guān)注的部分。

　　2、IAB歐洲是否構(gòu)成GDPR項(xiàng)下的控制者？

　　根據(jù)GDPR的定義，控制者指的是決定個人數(shù)據(jù)的處理目的和處理方式的人或組織。相應(yīng)地，共同控制者指的是共同決定個人數(shù)據(jù)的處理目的和處理方式的多個人或組織。

　　EDPB在其關(guān)于控制者/處理者的判定指南中[7]指出，控制者并不一定要“接觸（access）”被處理的數(shù)據(jù)，不管是在控制者-處理者的關(guān)系中（見例如45段），還是在共同控制者的關(guān)系中（見例如56段）。如果組織將數(shù)據(jù)處理行為外包，并且對數(shù)據(jù)處理的目的和關(guān)鍵方式有決定性的影響，那么即使組織不會接觸數(shù)據(jù)，其仍然是數(shù)據(jù)控制者，而實(shí)際接觸數(shù)據(jù)的一方為數(shù)據(jù)處理者。指南引用的Jehovah's Witnesses一案中，CJEU認(rèn)為宗教社團(tuán)和社團(tuán)成員構(gòu)成共同控制者。雖然宗教社團(tuán)并沒有實(shí)際接觸數(shù)據(jù)，也沒有就數(shù)據(jù)處理給社團(tuán)成員任何書面的指導(dǎo)或指令，但是社團(tuán)通過組織和協(xié)調(diào)社團(tuán)成員的活動來參與確定數(shù)據(jù)處理的目的和方式，并且數(shù)據(jù)處理有助于達(dá)到了宗教社團(tuán)的目的，宗教社團(tuán)也一般性地了解為了傳教而需要進(jìn)行的數(shù)據(jù)處理活動。因此，即使IAB歐洲在TCF框架的運(yùn)轉(zhuǎn)過程中沒有實(shí)際接觸到TC字符串，也不能因此認(rèn)定IAB歐洲不屬于TC字符串這一數(shù)據(jù)的控制者。

　　但是，正如IAB歐洲在2020年末針對APD/GBA的初步報告提交應(yīng)答后所發(fā)表的聲明[8]中所述， IAB歐洲沒有以任何方式處理、擁有或決定使用特定TC字符串，因此不是TCF場合下的數(shù)據(jù)控制者。具體而言，TC字符串的創(chuàng)建是由CMP完成的，TC字符串的共享和使用是由數(shù)字廣告生態(tài)的各參與方完成的。唯一可能的例外是在2021年6月22日之前，某些情況下CMP需要將TC字符串存儲在指向consensu.org的第三方cookie中，而consensu.org是由IAB歐洲所維護(hù)的。但是，該機(jī)制所支持的功能目前已經(jīng)廢止。

　　就TCF的實(shí)施而言，雖然在GVL中允許供應(yīng)商選擇用戶同意或正當(dāng)利益作為處理個人數(shù)據(jù)的合法性基礎(chǔ)，但是如何進(jìn)行選擇是供應(yīng)商決定的，而不是IAB歐洲決定的。除了TC字符串以外，用戶的其他個人數(shù)據(jù)（例如行為數(shù)據(jù)）被用于數(shù)字廣告生態(tài)完全是各參與方自己決定處理的目的和手段，而TCF僅僅提供了一種規(guī)范來展示和交流有關(guān)此等處理的信息。

　　根據(jù)最新的報道，IAB歐洲的共同控制者身份針對的是TC字符串這一個人數(shù)據(jù)，而數(shù)字廣告生態(tài)的實(shí)現(xiàn)并不依賴于這一個人信息。因此APD/GBA認(rèn)定IAB歐洲屬于TC字符串的共同控制者后，將要求IAB歐洲如何承擔(dān)處理TC字符串的控制者義務(wù)，以及這些要求如何影響IAB歐洲在整個TCF框架乃至數(shù)字廣告生態(tài)中的地位，是正式裁決中另一個值得關(guān)注的部分。此外，該裁決還可能會影響到GDPR第40條的運(yùn)作，因?yàn)槿绻话阈缘卣J(rèn)為行業(yè)中制定個人數(shù)據(jù)處理規(guī)范的組織（例如行業(yè)協(xié)會）需要與行業(yè)中的從業(yè)者共同承擔(dān)處理個人數(shù)據(jù)的合規(guī)義務(wù)，那么行業(yè)協(xié)會在制定此類規(guī)范前就需要認(rèn)真考慮相關(guān)的合規(guī)成本。

　　3、TCF是否違反GDPR？

　　在ICCL的聲明中還提到，此次的裁決中會涉及“IAB歐洲的同意彈窗系統(tǒng)違反了GDPR，因此是非法的”（IABEurope's “consent” pop-up system violates the GDPR and is thus illegal）。筆者認(rèn)為，這個問題應(yīng)該從另一個角度來考慮，即TCF能否能夠解決數(shù)字廣告生態(tài)存在的違反GDPR的問題。數(shù)字廣告生態(tài)對個人數(shù)據(jù)的處理如何（以及本質(zhì)上是否可能）符合GDPR以及其他主流隱私法律的要求，這一問題早已引起了廣泛的討論。

　　數(shù)字廣告生態(tài)的核心是廣告位（inventory）拍賣機(jī)制，而拍賣機(jī)制必然伴隨著將盡可能多的關(guān)于廣告位的信息（尤其是廣告位受眾的個人數(shù)據(jù)）發(fā)送給盡可能多的潛在買家，從而讓這些買家做出有效的競價選擇。如下圖所示[9]，從廣告請求（bid request for advert）從媒體發(fā)出那一刻起，廣告請求中攜帶的個人數(shù)據(jù)就進(jìn)入了一種“失控”的狀態(tài)。這些個人數(shù)據(jù)被廣播至數(shù)量巨大的參與方以便這些參與方進(jìn)行競價（bidding），這些參與方為了進(jìn)行更有效的競價決策，又會從各種其他來源引入更多的個人數(shù)據(jù)。更進(jìn)一步，在下圖所展示的數(shù)據(jù)交互之外，即使是廣告已經(jīng)在廣告位展示之后，相同的或者額外的個人數(shù)據(jù)仍然在這些參與方之間流轉(zhuǎn)，以便對廣告進(jìn)行歸因分析、改善廣告投放模型、進(jìn)行個人畫像等。

　　英國數(shù)據(jù)監(jiān)管機(jī)構(gòu)ICO[10]總結(jié)的數(shù)字廣告生態(tài)涉及個人數(shù)據(jù)處理的風(fēng)險包括：參與者眾多、涉及的數(shù)據(jù)復(fù)雜、畫像和自動化決策、大規(guī)模數(shù)據(jù)處理、新技術(shù)的使用、不同來源數(shù)據(jù)的組合和匹配、對位置和行為的追蹤、不可見的處理。向APD/GBA投訴IAB歐洲的ICCI將數(shù)字廣告稱為“史上最大數(shù)據(jù)泄露”。有鑒于數(shù)字廣告生態(tài)對個人數(shù)據(jù)處理的高風(fēng)險特性，全球已經(jīng)發(fā)生了多起直接針對數(shù)字廣告行業(yè)的訴訟[11],[12]。

　　數(shù)字廣告生態(tài)的復(fù)雜性導(dǎo)致很難向用戶充分地披露其個人數(shù)據(jù)是如何被處理的，從而難以獲得有效的用戶同意。即使按照TCF向用戶進(jìn)行披露，用戶為了獲得完整的信息所需要耗費(fèi)的努力也是巨大的。下圖展示了一個基于TCF向用戶進(jìn)行信息披露的界面，用戶可以分別點(diǎn)擊List Of Partners （vendors） 和ShowPurposes來了解與數(shù)字廣告生態(tài)有關(guān)的處理其個人數(shù)據(jù)的供應(yīng)商，以及處理的目的。

　　如果用戶需要了解這些供應(yīng)商的詳細(xì)信息，則需要直接查看GVL。下圖截取自GVL中對一個供應(yīng)商的數(shù)據(jù)處理行為的描述，許多項(xiàng)目需要進(jìn)一步展開，甚至查看所引用的外部內(nèi)容才能得到完整的信息。

　　由此可見，目前看來，TCF提供的機(jī)制在實(shí)質(zhì)性解決數(shù)字廣告生態(tài)涉及的個人數(shù)據(jù)保護(hù)風(fēng)險方面仍然處于起步階段，即使是在解決透明度和同意問題的范圍內(nèi)也是這樣。

　　展望

　　盡管TCF存在不少的缺點(diǎn)，這畢竟是第一個（可能也是目前唯一一個）系統(tǒng)性解決這一問題的框架，仍然值得進(jìn)一步的研究和推動。與ICCL的聲明中所持的觀點(diǎn)不同，IAB歐洲的聲明中認(rèn)為，在APD/GBA的監(jiān)督下采取的后續(xù)行動有助于使TCF成為GDPR第40條規(guī)定的行為準(zhǔn)則（CoC）。如果這一步真能實(shí)現(xiàn)，那么不僅是對TCF本身的肯定，更說明數(shù)字廣告生態(tài)存在可行的合規(guī)路徑。因此，APD/GBA對IAB歐洲的調(diào)查，與其說是數(shù)字廣告生態(tài)開始衰退的表現(xiàn)，不如說是數(shù)字廣告生態(tài)朝著合規(guī)的方向進(jìn)行的發(fā)展。

　　根據(jù)GDPR規(guī)定的合作程序，APD/GBA的裁決草案預(yù)計(jì)將在未來2-3周內(nèi)與其他歐洲國家的數(shù)據(jù)保護(hù)機(jī)構(gòu)分享。這些數(shù)據(jù)保護(hù)機(jī)構(gòu)將有30天的時間進(jìn)行審查。根據(jù)審查結(jié)果，比利時數(shù)據(jù)保護(hù)機(jī)構(gòu)可能會通過最終裁決，或者將此事提交EDPB做出具有約束力的決定。該案對數(shù)字廣告生態(tài)將產(chǎn)生什么樣的重大影響，讓我們拭目以待。