背景

　　據報道，2021年11月，比利時數據保護機構（APD/GBA）結束了對IAB歐洲的調查，并且形成了裁決草案。根據GDPR規定的程序，該裁決草案還需要由其他歐洲國家的數據保護機構審查，因此草案文本尚未公開。從被調查的一方IAB歐洲的聲明[1]和向APD/GBA投訴的一方ICCL（Irish Council for Civil Liberties）發表的聲明[2]對照來看【中文翻譯見：個性化廣告 | 歐盟的自動化程序廣告即將迎來由GDPR引發的“震動”】，APD/GBA的裁決中會認定IAB歐洲設計的TCF（Transparency & Consent Framework）機制中所用到的TC字符串（Transparency & Consent String）屬于個人信息，并且IAB歐洲是此等個人信息的共同控制者；相應地，由于目前IAB歐洲并沒有履行GDPR規定的控制者義務，因此違反了GDPR的規定。對于公眾普遍關心的TCF是否違反GDPR的問題，雙方的聲明做了不同的表述?？梢灶A計，本案將對數字廣告生態產生深遠的影響。

　　什么是“TCF”和“TC字符串”

　　TCF是IAB歐洲針對數字廣告生態構建的GDPR合規解決方案[3]。正如其名字所示，TCF解決的是GDPR要求的透明度和同意的問題。根據GDPR第6條的要求，處理個人數據必須具有合法性基礎。將數據主體的個人數據用于數字廣告生態，用戶同意和正當利益是主要的合法性基礎。根據GDPR第13條關于透明度的要求，無論采用何等合法性基礎，需要在處理個人數據之前向用戶披露。此外，如果對個人數據的處理是基于同意的，根據GDPR第4條對同意的定義，同意必須是數據主體依據其個人意愿，自由、明確、知情（承接了透明度的要求）并清楚地通過陳述或積極行為表示的。數字廣告生態的參與方眾多，包括但不限于SSP、ADX、DSP、DMP，各參與方如何能夠對用戶進行有效地披露，并獲得用戶的同意是很大的挑戰。

　　為了應對這一挑戰，IAB歐洲設計了一套規則即TCF?；谶@一套規則，直接面向用戶的媒體（TCF中的Publisher，可以是網站、App等）向用戶披露媒體正在收集哪些數據，媒體與哪些公司合作，以及媒體及合作公司打算如何使用這些數據[4]；在此披露的基礎上，媒體獲得用戶對于將個人數據用于數字廣告生態的同意；然后，媒體將所述同意在數字廣告生態的參與者之間進行同步，從而使得無法直接面向終端用戶的其他數字廣告生態參與方（TCF中的供應商即Vendor）能夠按照用戶的同意處理個人數據；獲得和管理用戶同意的平臺在TCF中稱為CMP（Consent Management Platform），媒體可以自建CMP，也可以使用第三方CMP?？梢钥闯觯琓CF旨在幫助數字廣告生態中的所有各方在處理個人數據或訪問和/或在用戶設備上存儲信息時遵守歐盟的GDPR和電子隱私指令，如cookie、廣告標識符、設備標識符和其他跟蹤技術，尤其是幫助滿足GDPR中關于同意的要求。

　　為了方便向用戶披露供應商的情況，IAB歐洲維護了Global Vendor List，用于記錄承諾遵守TCF的供應商清單，以及每個供應商會對個人數據進行何種處理（TCF已經將處理行為進行了分類）以及每個供應商為每種處理選擇的合法性基礎[5]。用戶可以查詢GVL來獲得關于供應商如何處理其個人數據的信息。

　　TC字符串是在上述用來記錄和同步有關用戶同意的信息的數據結構[6]。根據TCF的規則，TC字符串由CMP在用戶第一次訪問媒體的時候通過用戶詢問的方式生成，并由數字廣告生態的參與方消費。TC字符串的主要內容包括：

　　元數據，包括TC字符串的編碼版本，TC字符串的創建和更新時間，使用的GVL版本，創建該TC字符串的CMP身份）；

　　對于以用戶同意為合法性基礎的處理行為，用戶針對向用戶披露的每個供應商的每個處理行為是否進行了同意；

　　對于以正當利益為合法性基礎的處理行為，用戶是否行使了Right to Object。

　　由此可見，TC字符串詳細記錄了向用戶披露的信息以及用戶基于此等披露對數字廣告的各參與方處理其個人數據進行的選擇。TC字符串會被傳遞給承諾遵守TCF的供應商，因此理論上講，用戶的個人數據只會被這些供應商按照用戶認可（包括給出同意，以及沒有行使Right toObject）的方式進行處理。

　　解讀

　　1、TC字符串是否屬于個人信息？

　　根據GDPR第4條的定義，個人數據指的是與已識別或可識別的自然人有關的信息。如前所述，TC字符串表示的是用戶就數字廣告生態的各方處理其個人數據給出的同意/反對。為了完成此任務，TC字符串必然要以一種能夠識別個體的方式來生成、存儲和傳遞。一種典型的實現方式是，CMP在用戶第一次訪問媒體時根據用戶問詢生成TC字符串并存儲在cookie中；在產生廣告請求時，該cookie被讀取以提取TC字符串，并且將用戶對個人數據處理的同意/反對等隨著廣告請求一起傳遞到數字廣告生態的各參與者。

　　盡管如此，TC字符串與數字廣告生態所依賴的個人數據（例如用戶的行為數據）有本質的不同。前者是為了幫助數字廣告生態各參與方進行GDPR合規而設計出的個人數據，并且其意義在于在數字廣告生態的各參與方之間共享和被各參與方處理。因此，對此等個人數據的處理應該采用何等合法性基礎，用戶對此等個人信息的處理有何等數據主體權利以及如何落地，是正式裁決中一個值得關注的部分。

　　2、IAB歐洲是否構成GDPR項下的控制者？

　　根據GDPR的定義，控制者指的是決定個人數據的處理目的和處理方式的人或組織。相應地，共同控制者指的是共同決定個人數據的處理目的和處理方式的多個人或組織。

　　EDPB在其關于控制者/處理者的判定指南中[7]指出，控制者并不一定要“接觸（access）”被處理的數據，不管是在控制者-處理者的關系中（見例如45段），還是在共同控制者的關系中（見例如56段）。如果組織將數據處理行為外包，并且對數據處理的目的和關鍵方式有決定性的影響，那么即使組織不會接觸數據，其仍然是數據控制者，而實際接觸數據的一方為數據處理者。指南引用的Jehovah's Witnesses一案中，CJEU認為宗教社團和社團成員構成共同控制者。雖然宗教社團并沒有實際接觸數據，也沒有就數據處理給社團成員任何書面的指導或指令，但是社團通過組織和協調社團成員的活動來參與確定數據處理的目的和方式，并且數據處理有助于達到了宗教社團的目的，宗教社團也一般性地了解為了傳教而需要進行的數據處理活動。因此，即使IAB歐洲在TCF框架的運轉過程中沒有實際接觸到TC字符串，也不能因此認定IAB歐洲不屬于TC字符串這一數據的控制者。

　　但是，正如IAB歐洲在2020年末針對APD/GBA的初步報告提交應答后所發表的聲明[8]中所述， IAB歐洲沒有以任何方式處理、擁有或決定使用特定TC字符串，因此不是TCF場合下的數據控制者。具體而言，TC字符串的創建是由CMP完成的，TC字符串的共享和使用是由數字廣告生態的各參與方完成的。唯一可能的例外是在2021年6月22日之前，某些情況下CMP需要將TC字符串存儲在指向consensu.org的第三方cookie中，而consensu.org是由IAB歐洲所維護的。但是，該機制所支持的功能目前已經廢止。

　　就TCF的實施而言，雖然在GVL中允許供應商選擇用戶同意或正當利益作為處理個人數據的合法性基礎，但是如何進行選擇是供應商決定的，而不是IAB歐洲決定的。除了TC字符串以外，用戶的其他個人數據（例如行為數據）被用于數字廣告生態完全是各參與方自己決定處理的目的和手段，而TCF僅僅提供了一種規范來展示和交流有關此等處理的信息。

　　根據最新的報道，IAB歐洲的共同控制者身份針對的是TC字符串這一個人數據，而數字廣告生態的實現并不依賴于這一個人信息。因此APD/GBA認定IAB歐洲屬于TC字符串的共同控制者后，將要求IAB歐洲如何承擔處理TC字符串的控制者義務，以及這些要求如何影響IAB歐洲在整個TCF框架乃至數字廣告生態中的地位，是正式裁決中另一個值得關注的部分。此外，該裁決還可能會影響到GDPR第40條的運作，因為如果一般性地認為行業中制定個人數據處理規范的組織（例如行業協會）需要與行業中的從業者共同承擔處理個人數據的合規義務，那么行業協會在制定此類規范前就需要認真考慮相關的合規成本。

　　3、TCF是否違反GDPR？

　　在ICCL的聲明中還提到，此次的裁決中會涉及“IAB歐洲的同意彈窗系統違反了GDPR，因此是非法的”（IABEurope's “consent” pop-up system violates the GDPR and is thus illegal）。筆者認為，這個問題應該從另一個角度來考慮，即TCF能否能夠解決數字廣告生態存在的違反GDPR的問題。數字廣告生態對個人數據的處理如何（以及本質上是否可能）符合GDPR以及其他主流隱私法律的要求，這一問題早已引起了廣泛的討論。

　　數字廣告生態的核心是廣告位（inventory）拍賣機制，而拍賣機制必然伴隨著將盡可能多的關于廣告位的信息（尤其是廣告位受眾的個人數據）發送給盡可能多的潛在買家，從而讓這些買家做出有效的競價選擇。如下圖所示[9]，從廣告請求（bid request for advert）從媒體發出那一刻起，廣告請求中攜帶的個人數據就進入了一種“失控”的狀態。這些個人數據被廣播至數量巨大的參與方以便這些參與方進行競價（bidding），這些參與方為了進行更有效的競價決策，又會從各種其他來源引入更多的個人數據。更進一步，在下圖所展示的數據交互之外，即使是廣告已經在廣告位展示之后，相同的或者額外的個人數據仍然在這些參與方之間流轉，以便對廣告進行歸因分析、改善廣告投放模型、進行個人畫像等。

　　英國數據監管機構ICO[10]總結的數字廣告生態涉及個人數據處理的風險包括：參與者眾多、涉及的數據復雜、畫像和自動化決策、大規模數據處理、新技術的使用、不同來源數據的組合和匹配、對位置和行為的追蹤、不可見的處理。向APD/GBA投訴IAB歐洲的ICCI將數字廣告稱為“史上最大數據泄露”。有鑒于數字廣告生態對個人數據處理的高風險特性，全球已經發生了多起直接針對數字廣告行業的訴訟[11],[12]。

　　數字廣告生態的復雜性導致很難向用戶充分地披露其個人數據是如何被處理的，從而難以獲得有效的用戶同意。即使按照TCF向用戶進行披露，用戶為了獲得完整的信息所需要耗費的努力也是巨大的。下圖展示了一個基于TCF向用戶進行信息披露的界面，用戶可以分別點擊List Of Partners （vendors） 和ShowPurposes來了解與數字廣告生態有關的處理其個人數據的供應商，以及處理的目的。

　　如果用戶需要了解這些供應商的詳細信息，則需要直接查看GVL。下圖截取自GVL中對一個供應商的數據處理行為的描述，許多項目需要進一步展開，甚至查看所引用的外部內容才能得到完整的信息。

　　由此可見，目前看來，TCF提供的機制在實質性解決數字廣告生態涉及的個人數據保護風險方面仍然處于起步階段，即使是在解決透明度和同意問題的范圍內也是這樣。

　　展望

　　盡管TCF存在不少的缺點，這畢竟是第一個（可能也是目前唯一一個）系統性解決這一問題的框架，仍然值得進一步的研究和推動。與ICCL的聲明中所持的觀點不同，IAB歐洲的聲明中認為，在APD/GBA的監督下采取的后續行動有助于使TCF成為GDPR第40條規定的行為準則（CoC）。如果這一步真能實現，那么不僅是對TCF本身的肯定，更說明數字廣告生態存在可行的合規路徑。因此，APD/GBA對IAB歐洲的調查，與其說是數字廣告生態開始衰退的表現，不如說是數字廣告生態朝著合規的方向進行的發展。

　　根據GDPR規定的合作程序，APD/GBA的裁決草案預計將在未來2-3周內與其他歐洲國家的數據保護機構分享。這些數據保護機構將有30天的時間進行審查。根據審查結果，比利時數據保護機構可能會通過最終裁決，或者將此事提交EDPB做出具有約束力的決定。該案對數字廣告生態將產生什么樣的重大影響，讓我們拭目以待。