挪威让 Meta 反思在欧盟追踪用户的行为:深入了解
重点:
- 由于缺乏明确的用户同意,挪威监管机构临时在 Instagram 和 Facebook 禁止投放行为定向广告。
- Meta 在欧盟将处理个人数据的法律依据改为“用户同意”
- 对 Meta 而言,禁止线上追踪用户活动的行为将是一项成本高昂且技术上具有挑战性的任务。
- 如果对 Meta 施压,不排除其停止或限制其在欧盟的业务。
问题起源
Meta(Facebook 和 Instagram 的母公司)在挪威深陷泥潭。7月17日,挪威数据保护局(简称 DPA,全称:Data Protection Authority)通知 Meta 停止在挪威向用户投放行为定向广告以追踪用户。数据保护局声称,Meta 在未经用户明确同意的情况下监视和分析用户个人数据是违法的,监控机构对这两个平台上的行为广告实施了为期三个月的临时禁令。针对特定国家的禁令将于8月4日生效,持续到10月。如果 Meta 公司不遵守禁令或改变其数据收集做法,它可能面临每天10万美元的罚款。
不过,什么是“行为定向广告”?这是一种使用个人数据向用户投放根据用户兴趣和偏爱内容的高度相关广告的广告类型。Meta 通过监控用户的在线行为收集这些数据,例如用户的网页浏览活动、社交媒体帖子、搜索历史、应用程序使用数据和位置数据。主要的问题在于,所有数据都是在未经用户明确许可的情况下收集的,这意味着你通常不知道自己的个人数据是如何被收集的,以及收集的目的是什么。
挪威现在盯住 Meta 的原因是什么?
作为一个局外人而言,挪威 DPA 对 Meta 长期广告业务的调查似乎完全出乎意料。然而,此事并不能算是突发事件。该命令紧随欧盟法院7月4日的一项裁决而来,该裁决称 Meta 不能将“合法利益”作为处理个性化广告数据的法律依据。
今年,Meta 公司就多次更改了在欧盟处理用户数据的法律依据。直到4月,Meta 声称,"合同必要性"是处理用户数据的法律依据。在欧洲数据保护委员会(简称:EDPD,全称:European Data Protection Board)认定"广告并非 Facebook 和 Instagram 所涉服务的核心要素"后,Meta 将法律依据就改为"合法利益",但7月4日的裁决也终止了这一做法。在无计可施之后,Meta 于8月1日再次更改了法律依据,这次终于改为"用户同意"。
从理论上讲,这意味着 Meta 必须在采集用户数据之前先征求用户允许投放行为定向广告。据《华尔街日报》报道,Meta 向欧盟监管机构提出限制行为广告严格针对选择加入的用户。
然而,关于 Meta 究竟会如何征求同意,以及又会玩什么手段,目前还存在很多不确定性。总之,现在庆祝胜利可能还为时过早。
Meta 改变其数据处理法律依据的决定,已经引发了挪威隐私监管机构的反应。挪威认为,这是一场其反对在线跟踪运动的胜利。挪威隐私监管机构发言人 Tobias Judin 告诉《连线杂志》:“虽然 Meta 声称,所有改变都是他们自愿的,但实在难以令人信服。”不过,他警告说,Meta 可能仍会试图欺骗用户,让他们同意允许他人进行跟踪。
挪威禁令的潜在影响
挪威 DPA 的决定并不意味着 Meta 或 Instagram 在挪威是被禁止的,而且也并不意味着他们不能向用户展示个性化广告。这意味着 Meta 必须尊重用户所使用和共享数据的选择和偏好。Meta 仍然可以根据用户自愿和知情地分享的信息来定位广告,比如他们的个人信息,包括年龄、性别、位置或兴趣。如果 Meta 能够证明它获得了用户的有效同意,可以收集他们的数据用于行为广告,那么它也可以这样做。
挪威监管机构表示,它计划在夏季过后向 EDBP 提出这个问题。EDPB 是一组来自所有欧盟国家以及挪威、列支敦士登和冰岛的数据保护当局。反过来,他们可以决定是否将 Meta 的行为广告禁令延长到挪威以外,以及延长多长时间。如果发生这种情况,可能会对 Meta 的业务产生重大影响,该公司的业务主要依赖于广告收入。
Meta 有什么解决方案:适应禁令
当然 Meta 有能力变更和停止基于位置的跟踪行为,但主要问题是,这可能会让 Mark Zuckerberg 的公司付出一些代价。或者,该公司也可以选择一种更为粗糙的方法,它目前在欧盟测试新应用程序,即 Threads。这是为了阻止挪威人使用 Facebook 和 Instragm,即使是通过 VPN。
如果 Meta 决定在挪威市场上适应禁令而不是放弃,将有几个选择,包括仅仅从同意条款的挪威用户收集行为数据;完全停止收集挪威用户的行为数据;停止向挪威用户投放行为定向广告。
从技术角度来看,最后一种方案最容易实施。停止向某个国家的人投放广告是一项相对简单的技术任务,实现很快。另一个选择,停止收集用于行为跟踪的信息却很难。这是因为此类功能是 Meta "原生"的,无法一键关闭。用户在应用程序中的每一次互动都会被跟踪和分析,成为个人资料的一部分。换句话说,Meta 在构建应用程序和网站时,无论用户做什么,它们都会收集个人数据。此外,即使你不使用 Meta 自己的应用程序,如 Facebook 或 Instagram,它仍然可以从嵌入 Meta 工具的第三方移动应用程序中收集个人数据。在 Google Play 商店中,约有 40% 的免费应用程序通过 Facebook 软件开发工具包 (SDK) 与 Meta 共享数据。
考虑到所有这些因素,我们认为,如果 Meta 打定主意遵守禁令,那么最简单的方法可能就是阻止来自挪威的大多数与广告和跟踪相关的请求。实际上,这意味着如果用户在挪威使用 Meta SDK 的应用程序或网站,Meta 将不会从或向用户的设备接收或发送任何信息。这可能会导致 Meta 应用和网站的某些功能在挪威无法使用。例如,用户可能看不到基于自己的在线行为的某些推荐或建议。
如果 Meta 选走这一条路,它与广告拦截程序的工作方式就会很像:防止应用程序和网站向用户的设备发送或接收与广告或跟踪相关的信息。
挪威在数据隐私方面处于领先地位的原因
在欧洲,挪威通常不会在隐私问题上起带头作用,我们更习惯于听到法国、德国和爱尔兰(欧盟主要隐私监管机构所在地)向大科技公司发起挑战。然而,这并不令人惊讶。挪威虽然不属于欧盟,但也要遵守《全球个人信息保护条例》(GDPR),它已成为一个支持隐私保护的国家。绝大多数挪威人都知道自己的隐私权。截至 2018 年 6 月,超过 82% 的挪威人听说过 GDPR,超过一半的挪威人表示收到过他们不知道对方有他们地址的要求同意的电子邮件。根据挪威 DPA 2019/2020年 的隐私调查,83%的挪威人非常或有点担心隐私。近七成的受访者表示,他们对个人信息在网上的存储和使用几乎没有控制权,六成的受访者表示,他们对自己在网上的个人信息控制权感到无能为力。
我们自己的数据也反映了这些强烈的隐私态度。根据我们发布的《2023 年全球广告追踪状况报告》,北欧的网络环境明显比欧洲其他地区更“远离”广告追踪。我们的数据显示,挪威人遇到的广告追踪者比欧洲平均值少20%。从技术上讲,造成这种情况的原因是本地应用程序和网站在跟踪用户方面并不太积极,这一点在我们将挪威顶级新闻媒体网站(如 "vg.no")与其他顶级媒体网站进行比较时显而易见。例如,当我们在 "vg.no "上使用 AdGuard 时,发现它只拦截了5个广告请求,而在《卫报》上计数器超过了20个。但请注意,在同一网站上拦截的跟踪器数量在任何时候都可能不同,这也取决于您的广告拦截应用程序设置。
展望未来
从更大的格局来看,挪威监管机构的决定表明,至少在欧洲,反对行为跟踪的趋势正在加强。到目前为止,Meta 不像它的一些竞争对手,比如 Google 的隐私沙盒,表现出更感兴趣的是对抗隐私法,而不是适应这一趋势。这可能是促使它认真改变的最后一根稻草。
然而,如果 Meta 在可预见的未来不修改其数据收集政策(不再是声东击西)它可能会在某个时候停止在欧盟开展业务。
