背景

　　據(jù)報(bào)道，2021年11月，比利時(shí)數(shù)據(jù)保護(hù)機(jī)構(gòu)（APD/GBA）結(jié)束了對(duì)IAB歐洲的調(diào)查，并且形成了裁決草案。根據(jù)GDPR規(guī)定的程序，該裁決草案還需要由其他歐洲國(guó)家的數(shù)據(jù)保護(hù)機(jī)構(gòu)審查，因此草案文本尚未公開(kāi)。從被調(diào)查的一方IAB歐洲的聲明[1]和向APD/GBA投訴的一方ICCL（Irish Council for Civil Liberties）發(fā)表的聲明[2]對(duì)照來(lái)看【中文翻譯見(jiàn)：個(gè)性化廣告 | 歐盟的自動(dòng)化程序廣告即將迎來(lái)由GDPR引發(fā)的“震動(dòng)”】，APD/GBA的裁決中會(huì)認(rèn)定IAB歐洲設(shè)計(jì)的TCF（Transparency & Consent Framework）機(jī)制中所用到的TC字符串（Transparency & Consent String）屬于個(gè)人信息，并且IAB歐洲是此等個(gè)人信息的共同控制者；相應(yīng)地，由于目前IAB歐洲并沒(méi)有履行GDPR規(guī)定的控制者義務(wù)，因此違反了GDPR的規(guī)定。對(duì)于公眾普遍關(guān)心的TCF是否違反GDPR的問(wèn)題，雙方的聲明做了不同的表述?？梢灶A(yù)計(jì)，本案將對(duì)數(shù)字廣告生態(tài)產(chǎn)生深遠(yuǎn)的影響。

　　什么是“TCF”和“TC字符串”

　　TCF是IAB歐洲針對(duì)數(shù)字廣告生態(tài)構(gòu)建的GDPR合規(guī)解決方案[3]。正如其名字所示，TCF解決的是GDPR要求的透明度和同意的問(wèn)題。根據(jù)GDPR第6條的要求，處理個(gè)人數(shù)據(jù)必須具有合法性基礎(chǔ)。將數(shù)據(jù)主體的個(gè)人數(shù)據(jù)用于數(shù)字廣告生態(tài)，用戶同意和正當(dāng)利益是主要的合法性基礎(chǔ)。根據(jù)GDPR第13條關(guān)于透明度的要求，無(wú)論采用何等合法性基礎(chǔ)，需要在處理個(gè)人數(shù)據(jù)之前向用戶披露。此外，如果對(duì)個(gè)人數(shù)據(jù)的處理是基于同意的，根據(jù)GDPR第4條對(duì)同意的定義，同意必須是數(shù)據(jù)主體依據(jù)其個(gè)人意愿，自由、明確、知情（承接了透明度的要求）并清楚地通過(guò)陳述或積極行為表示的。數(shù)字廣告生態(tài)的參與方眾多，包括但不限于SSP、ADX、DSP、DMP，各參與方如何能夠?qū)τ脩暨M(jìn)行有效地披露，并獲得用戶的同意是很大的挑戰(zhàn)。

　　為了應(yīng)對(duì)這一挑戰(zhàn)，IAB歐洲設(shè)計(jì)了一套規(guī)則即TCF?；谶@一套規(guī)則，直接面向用戶的媒體（TCF中的Publisher，可以是網(wǎng)站、App等）向用戶披露媒體正在收集哪些數(shù)據(jù)，媒體與哪些公司合作，以及媒體及合作公司打算如何使用這些數(shù)據(jù)[4]；在此披露的基礎(chǔ)上，媒體獲得用戶對(duì)于將個(gè)人數(shù)據(jù)用于數(shù)字廣告生態(tài)的同意；然后，媒體將所述同意在數(shù)字廣告生態(tài)的參與者之間進(jìn)行同步，從而使得無(wú)法直接面向終端用戶的其他數(shù)字廣告生態(tài)參與方（TCF中的供應(yīng)商即Vendor）能夠按照用戶的同意處理個(gè)人數(shù)據(jù)；獲得和管理用戶同意的平臺(tái)在TCF中稱(chēng)為CMP（Consent Management Platform），媒體可以自建CMP，也可以使用第三方CMP。可以看出，TCF旨在幫助數(shù)字廣告生態(tài)中的所有各方在處理個(gè)人數(shù)據(jù)或訪問(wèn)和/或在用戶設(shè)備上存儲(chǔ)信息時(shí)遵守歐盟的GDPR和電子隱私指令，如cookie、廣告標(biāo)識(shí)符、設(shè)備標(biāo)識(shí)符和其他跟蹤技術(shù)，尤其是幫助滿足GDPR中關(guān)于同意的要求。

　　為了方便向用戶披露供應(yīng)商的情況，IAB歐洲維護(hù)了Global Vendor List，用于記錄承諾遵守TCF的供應(yīng)商清單，以及每個(gè)供應(yīng)商會(huì)對(duì)個(gè)人數(shù)據(jù)進(jìn)行何種處理（TCF已經(jīng)將處理行為進(jìn)行了分類(lèi)）以及每個(gè)供應(yīng)商為每種處理選擇的合法性基礎(chǔ)[5]。用戶可以查詢(xún)GVL來(lái)獲得關(guān)于供應(yīng)商如何處理其個(gè)人數(shù)據(jù)的信息。

　　TC字符串是在上述用來(lái)記錄和同步有關(guān)用戶同意的信息的數(shù)據(jù)結(jié)構(gòu)[6]。根據(jù)TCF的規(guī)則，TC字符串由CMP在用戶第一次訪問(wèn)媒體的時(shí)候通過(guò)用戶詢(xún)問(wèn)的方式生成，并由數(shù)字廣告生態(tài)的參與方消費(fèi)。TC字符串的主要內(nèi)容包括：

　　元數(shù)據(jù)，包括TC字符串的編碼版本，TC字符串的創(chuàng)建和更新時(shí)間，使用的GVL版本，創(chuàng)建該TC字符串的CMP身份）；

　　對(duì)于以用戶同意為合法性基礎(chǔ)的處理行為，用戶針對(duì)向用戶披露的每個(gè)供應(yīng)商的每個(gè)處理行為是否進(jìn)行了同意；

　　對(duì)于以正當(dāng)利益為合法性基礎(chǔ)的處理行為，用戶是否行使了Right to Object。

　　由此可見(jiàn)，TC字符串詳細(xì)記錄了向用戶披露的信息以及用戶基于此等披露對(duì)數(shù)字廣告的各參與方處理其個(gè)人數(shù)據(jù)進(jìn)行的選擇。TC字符串會(huì)被傳遞給承諾遵守TCF的供應(yīng)商，因此理論上講，用戶的個(gè)人數(shù)據(jù)只會(huì)被這些供應(yīng)商按照用戶認(rèn)可（包括給出同意，以及沒(méi)有行使Right toObject）的方式進(jìn)行處理。

　　解讀

　　1、TC字符串是否屬于個(gè)人信息？

　　根據(jù)GDPR第4條的定義，個(gè)人數(shù)據(jù)指的是與已識(shí)別或可識(shí)別的自然人有關(guān)的信息。如前所述，TC字符串表示的是用戶就數(shù)字廣告生態(tài)的各方處理其個(gè)人數(shù)據(jù)給出的同意/反對(duì)。為了完成此任務(wù)，TC字符串必然要以一種能夠識(shí)別個(gè)體的方式來(lái)生成、存儲(chǔ)和傳遞。一種典型的實(shí)現(xiàn)方式是，CMP在用戶第一次訪問(wèn)媒體時(shí)根據(jù)用戶問(wèn)詢(xún)生成TC字符串并存儲(chǔ)在cookie中；在產(chǎn)生廣告請(qǐng)求時(shí)，該cookie被讀取以提取TC字符串，并且將用戶對(duì)個(gè)人數(shù)據(jù)處理的同意/反對(duì)等隨著廣告請(qǐng)求一起傳遞到數(shù)字廣告生態(tài)的各參與者。

　　盡管如此，TC字符串與數(shù)字廣告生態(tài)所依賴(lài)的個(gè)人數(shù)據(jù)（例如用戶的行為數(shù)據(jù)）有本質(zhì)的不同。前者是為了幫助數(shù)字廣告生態(tài)各參與方進(jìn)行GDPR合規(guī)而設(shè)計(jì)出的個(gè)人數(shù)據(jù)，并且其意義在于在數(shù)字廣告生態(tài)的各參與方之間共享和被各參與方處理。因此，對(duì)此等個(gè)人數(shù)據(jù)的處理應(yīng)該采用何等合法性基礎(chǔ)，用戶對(duì)此等個(gè)人信息的處理有何等數(shù)據(jù)主體權(quán)利以及如何落地，是正式裁決中一個(gè)值得關(guān)注的部分。

　　2、IAB歐洲是否構(gòu)成GDPR項(xiàng)下的控制者？

　　根據(jù)GDPR的定義，控制者指的是決定個(gè)人數(shù)據(jù)的處理目的和處理方式的人或組織。相應(yīng)地，共同控制者指的是共同決定個(gè)人數(shù)據(jù)的處理目的和處理方式的多個(gè)人或組織。

　　EDPB在其關(guān)于控制者/處理者的判定指南中[7]指出，控制者并不一定要“接觸（access）”被處理的數(shù)據(jù)，不管是在控制者-處理者的關(guān)系中（見(jiàn)例如45段），還是在共同控制者的關(guān)系中（見(jiàn)例如56段）。如果組織將數(shù)據(jù)處理行為外包，并且對(duì)數(shù)據(jù)處理的目的和關(guān)鍵方式有決定性的影響，那么即使組織不會(huì)接觸數(shù)據(jù)，其仍然是數(shù)據(jù)控制者，而實(shí)際接觸數(shù)據(jù)的一方為數(shù)據(jù)處理者。指南引用的Jehovah's Witnesses一案中，CJEU認(rèn)為宗教社團(tuán)和社團(tuán)成員構(gòu)成共同控制者。雖然宗教社團(tuán)并沒(méi)有實(shí)際接觸數(shù)據(jù)，也沒(méi)有就數(shù)據(jù)處理給社團(tuán)成員任何書(shū)面的指導(dǎo)或指令，但是社團(tuán)通過(guò)組織和協(xié)調(diào)社團(tuán)成員的活動(dòng)來(lái)參與確定數(shù)據(jù)處理的目的和方式，并且數(shù)據(jù)處理有助于達(dá)到了宗教社團(tuán)的目的，宗教社團(tuán)也一般性地了解為了傳教而需要進(jìn)行的數(shù)據(jù)處理活動(dòng)。因此，即使IAB歐洲在TCF框架的運(yùn)轉(zhuǎn)過(guò)程中沒(méi)有實(shí)際接觸到TC字符串，也不能因此認(rèn)定IAB歐洲不屬于TC字符串這一數(shù)據(jù)的控制者。

　　但是，正如IAB歐洲在2020年末針對(duì)APD/GBA的初步報(bào)告提交應(yīng)答后所發(fā)表的聲明[8]中所述， IAB歐洲沒(méi)有以任何方式處理、擁有或決定使用特定TC字符串，因此不是TCF場(chǎng)合下的數(shù)據(jù)控制者。具體而言，TC字符串的創(chuàng)建是由CMP完成的，TC字符串的共享和使用是由數(shù)字廣告生態(tài)的各參與方完成的。唯一可能的例外是在2021年6月22日之前，某些情況下CMP需要將TC字符串存儲(chǔ)在指向consensu.org的第三方cookie中，而consensu.org是由IAB歐洲所維護(hù)的。但是，該機(jī)制所支持的功能目前已經(jīng)廢止。

　　就TCF的實(shí)施而言，雖然在GVL中允許供應(yīng)商選擇用戶同意或正當(dāng)利益作為處理個(gè)人數(shù)據(jù)的合法性基礎(chǔ)，但是如何進(jìn)行選擇是供應(yīng)商決定的，而不是IAB歐洲決定的。除了TC字符串以外，用戶的其他個(gè)人數(shù)據(jù)（例如行為數(shù)據(jù)）被用于數(shù)字廣告生態(tài)完全是各參與方自己決定處理的目的和手段，而TCF僅僅提供了一種規(guī)范來(lái)展示和交流有關(guān)此等處理的信息。

　　根據(jù)最新的報(bào)道，IAB歐洲的共同控制者身份針對(duì)的是TC字符串這一個(gè)人數(shù)據(jù)，而數(shù)字廣告生態(tài)的實(shí)現(xiàn)并不依賴(lài)于這一個(gè)人信息。因此APD/GBA認(rèn)定IAB歐洲屬于TC字符串的共同控制者后，將要求IAB歐洲如何承擔(dān)處理TC字符串的控制者義務(wù)，以及這些要求如何影響IAB歐洲在整個(gè)TCF框架乃至數(shù)字廣告生態(tài)中的地位，是正式裁決中另一個(gè)值得關(guān)注的部分。此外，該裁決還可能會(huì)影響到GDPR第40條的運(yùn)作，因?yàn)槿绻话阈缘卣J(rèn)為行業(yè)中制定個(gè)人數(shù)據(jù)處理規(guī)范的組織（例如行業(yè)協(xié)會(huì)）需要與行業(yè)中的從業(yè)者共同承擔(dān)處理個(gè)人數(shù)據(jù)的合規(guī)義務(wù)，那么行業(yè)協(xié)會(huì)在制定此類(lèi)規(guī)范前就需要認(rèn)真考慮相關(guān)的合規(guī)成本。

　　3、TCF是否違反GDPR？

　　在ICCL的聲明中還提到，此次的裁決中會(huì)涉及“IAB歐洲的同意彈窗系統(tǒng)違反了GDPR，因此是非法的”（IABEurope's “consent” pop-up system violates the GDPR and is thus illegal）。筆者認(rèn)為，這個(gè)問(wèn)題應(yīng)該從另一個(gè)角度來(lái)考慮，即TCF能否能夠解決數(shù)字廣告生態(tài)存在的違反GDPR的問(wèn)題。數(shù)字廣告生態(tài)對(duì)個(gè)人數(shù)據(jù)的處理如何（以及本質(zhì)上是否可能）符合GDPR以及其他主流隱私法律的要求，這一問(wèn)題早已引起了廣泛的討論。

　　數(shù)字廣告生態(tài)的核心是廣告位（inventory）拍賣(mài)機(jī)制，而拍賣(mài)機(jī)制必然伴隨著將盡可能多的關(guān)于廣告位的信息（尤其是廣告位受眾的個(gè)人數(shù)據(jù)）發(fā)送給盡可能多的潛在買(mǎi)家，從而讓這些買(mǎi)家做出有效的競(jìng)價(jià)選擇。如下圖所示[9]，從廣告請(qǐng)求（bid request for advert）從媒體發(fā)出那一刻起，廣告請(qǐng)求中攜帶的個(gè)人數(shù)據(jù)就進(jìn)入了一種“失控”的狀態(tài)。這些個(gè)人數(shù)據(jù)被廣播至數(shù)量巨大的參與方以便這些參與方進(jìn)行競(jìng)價(jià)（bidding），這些參與方為了進(jìn)行更有效的競(jìng)價(jià)決策，又會(huì)從各種其他來(lái)源引入更多的個(gè)人數(shù)據(jù)。更進(jìn)一步，在下圖所展示的數(shù)據(jù)交互之外，即使是廣告已經(jīng)在廣告位展示之后，相同的或者額外的個(gè)人數(shù)據(jù)仍然在這些參與方之間流轉(zhuǎn)，以便對(duì)廣告進(jìn)行歸因分析、改善廣告投放模型、進(jìn)行個(gè)人畫(huà)像等。

　　英國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)ICO[10]總結(jié)的數(shù)字廣告生態(tài)涉及個(gè)人數(shù)據(jù)處理的風(fēng)險(xiǎn)包括：參與者眾多、涉及的數(shù)據(jù)復(fù)雜、畫(huà)像和自動(dòng)化決策、大規(guī)模數(shù)據(jù)處理、新技術(shù)的使用、不同來(lái)源數(shù)據(jù)的組合和匹配、對(duì)位置和行為的追蹤、不可見(jiàn)的處理。向APD/GBA投訴IAB歐洲的ICCI將數(shù)字廣告稱(chēng)為“史上最大數(shù)據(jù)泄露”。有鑒于數(shù)字廣告生態(tài)對(duì)個(gè)人數(shù)據(jù)處理的高風(fēng)險(xiǎn)特性，全球已經(jīng)發(fā)生了多起直接針對(duì)數(shù)字廣告行業(yè)的訴訟[11],[12]。

　　數(shù)字廣告生態(tài)的復(fù)雜性導(dǎo)致很難向用戶充分地披露其個(gè)人數(shù)據(jù)是如何被處理的，從而難以獲得有效的用戶同意。即使按照TCF向用戶進(jìn)行披露，用戶為了獲得完整的信息所需要耗費(fèi)的努力也是巨大的。下圖展示了一個(gè)基于TCF向用戶進(jìn)行信息披露的界面，用戶可以分別點(diǎn)擊List Of Partners （vendors） 和ShowPurposes來(lái)了解與數(shù)字廣告生態(tài)有關(guān)的處理其個(gè)人數(shù)據(jù)的供應(yīng)商，以及處理的目的。

　　如果用戶需要了解這些供應(yīng)商的詳細(xì)信息，則需要直接查看GVL。下圖截取自GVL中對(duì)一個(gè)供應(yīng)商的數(shù)據(jù)處理行為的描述，許多項(xiàng)目需要進(jìn)一步展開(kāi)，甚至查看所引用的外部?jī)?nèi)容才能得到完整的信息。

　　由此可見(jiàn)，目前看來(lái)，TCF提供的機(jī)制在實(shí)質(zhì)性解決數(shù)字廣告生態(tài)涉及的個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)方面仍然處于起步階段，即使是在解決透明度和同意問(wèn)題的范圍內(nèi)也是這樣。

　　展望

　　盡管TCF存在不少的缺點(diǎn)，這畢竟是第一個(gè)（可能也是目前唯一一個(gè)）系統(tǒng)性解決這一問(wèn)題的框架，仍然值得進(jìn)一步的研究和推動(dòng)。與ICCL的聲明中所持的觀點(diǎn)不同，IAB歐洲的聲明中認(rèn)為，在APD/GBA的監(jiān)督下采取的后續(xù)行動(dòng)有助于使TCF成為GDPR第40條規(guī)定的行為準(zhǔn)則（CoC）。如果這一步真能實(shí)現(xiàn)，那么不僅是對(duì)TCF本身的肯定，更說(shuō)明數(shù)字廣告生態(tài)存在可行的合規(guī)路徑。因此，APD/GBA對(duì)IAB歐洲的調(diào)查，與其說(shuō)是數(shù)字廣告生態(tài)開(kāi)始衰退的表現(xiàn)，不如說(shuō)是數(shù)字廣告生態(tài)朝著合規(guī)的方向進(jìn)行的發(fā)展。

　　根據(jù)GDPR規(guī)定的合作程序，APD/GBA的裁決草案預(yù)計(jì)將在未來(lái)2-3周內(nèi)與其他歐洲國(guó)家的數(shù)據(jù)保護(hù)機(jī)構(gòu)分享。這些數(shù)據(jù)保護(hù)機(jī)構(gòu)將有30天的時(shí)間進(jìn)行審查。根據(jù)審查結(jié)果，比利時(shí)數(shù)據(jù)保護(hù)機(jī)構(gòu)可能會(huì)通過(guò)最終裁決，或者將此事提交EDPB做出具有約束力的決定。該案對(duì)數(shù)字廣告生態(tài)將產(chǎn)生什么樣的重大影響，讓我們拭目以待。