欧盟最高法院昨天做出的一项裁决可能会对在线平台产生重大影响，这些平台使用背景跟踪和分析以行为广告瞄准用户，或为推荐引擎提供信息，这些引擎旨在展示所谓的“个性化”内容。

影响可能更为广泛-隐私法专家建议，该判决可能会增加各种其他形式在线处理的法律风险，从约会应用到位置跟踪等等。尽管他们认为，由于运营商试图解开判决可能产生的复杂实际困难，新的法律转介也可能出现。

提交欧盟法院的案件涉及立陶宛关于国家反腐败立法的案件。但该判决的影响可能会在整个地区都能感受到，因为它明确表明了欧盟的《一般数据保护条例》（GDPR）在涉及可以对个人做出敏感推断的数据操作时，应该如何解释，该条例为处理个人数据设定了法律框架。

隐私观察者很快就注意到了这一点，并预计会对执法产生实质性的后续影响，因为CJEU的指导基本上指示该地区的数据保护机构网络避免对敏感数据的构成做出过于狭隘的解释，这意味着该集团最严格的隐私保护将使平台更难规避。

 

Dr. Gabriela Zanfir-Fortuna

Adding the general objective of the #GDPR of ensuring a high level of protection of fundamental rights & the purpose of Art 9 GDPR to ensure enhanced protection "bc of the particular sensitivity of the data processed", the Court finds that such adjacent data falls under Art 9 4/

 

Dr. Gabriela Zanfir-Fortuna

This judgment is groundbreaking and may have substantial impact. Disagreement between DPAs has emerged on this question - the Norwegian DPA took the same extended interpretation in its #Grindr case, but the Spanish DPA took the opposite interpretation in the same case 5/

总部位于华盛顿的智库“隐私的未来”论坛全球隐私副总裁加布里埃拉·赞菲尔·福图纳博士在给TechCrunch的电子邮件中，将CJEU的“约束性解释”总结为确认“通过涉及比较或推断的智力操作”能够揭示自然人性取向的数据实际上是受GDPR第9条保护的敏感数据。

向欧盟法院提交案件的相关部分涉及公布配偶或伴侣姓名是否构成敏感数据的处理，因为这可能会揭示性取向。法院裁定确实如此。并且，通过暗示，相同的规则适用于与其他类型的特殊类别数据相关的推理。

Zanfir Fortuna预测，“我认为这可能会对未来产生广泛影响，在第9条适用的所有情况下，包括在线广告、约会应用程序、指示礼拜场所或诊所的位置数据、乘坐飞机的食物选择等。”，他补充道：“这也给数据编目和建立不同的合规轨道带来了巨大的复杂性和实际困难，我预计这个问题将在更复杂的情况下回到欧盟法院。”

正如她在推文中指出的那样，对特殊类别数据处理的类似非狭义解释最近让同性恋连接应用Grindr与挪威数据保护局陷入了困境，导致去年罚款1000万欧元，约占其年收入的10%。

GDPR允许高达全球年营业额4%的罚款（或高达2000万欧元，以较大者为准）。因此，任何违反这一规定的大型科技平台（现在）都强化了获得明确同意的要求，如果他们对用户做出敏感的推断，可能面临比Grindr大几个数量级的罚款。

帧中的广告跟踪

在讨论CJEU裁决的意义时，独立顾问、欧洲安全和隐私研究员卢卡斯·奥列伊尼克博士明确预测了严重影响，尤其是对adtech。

“这是迄今为止对GDPR唯一、最重要、最明确的解释，”他告诉我们。“根据GDPR第9条的规定，推断数据实际上是[个人]数据，推断的受保护/敏感数据是受保护/敏感性数据，这是一个坚如磐石的陈述。”

“这一判断将加快数字广告生态系统的演变，朝着认真考虑隐私的解决方案发展，”他还建议道。“从某种意义上说，它支持了苹果的做法，而且谷歌似乎希望将广告业转型为（即通过其隐私沙盒提案）。”

自2018年5月以来，GDPR在整个集团内制定了严格的规则，用于处理所谓的“特殊类别”个人数据，如健康信息、性取向、政治归属、性别、性别和性别等，工会成员资格等-但对于泛欧盟法律如何实际适用于可能出现敏感推断的数据处理操作，存在一些争议（以及DPA之间的解释差异）。

这一点很重要，因为多年来，大型平台能够保存足够的个人行为数据，通过识别（并替换）敏感信息的代理，从本质上规避了对特殊类别数据处理限制的狭义解释。

因此，一些平台可以（或确实）声称，它们在技术上没有处理特殊类别的数据，同时对大量其他个人信息进行三角剖分和连接，因此对个人权利的腐蚀作用和影响是相同的。（同样重要的是要记住，关于个人的敏感推断不一定要正确，才能符合GDPR的特殊类别处理要求；重要的是数据处理，而不是得出的敏感结论的有效性或其他方面；事实上，糟糕的敏感推断也可能对个人权利造成可怕影响。）

这可能需要广告资助的平台使用文化或其他类型的敏感数据代理，以针对基于兴趣的广告或推荐他们认为用户也会参与的类似内容。推断的例子包括：利用一个人喜欢福克斯新闻的页面这一事实推断他们持有右翼政治观点；或者将在线圣经研究小组的成员资格与持有基督教信仰联系起来；或购买婴儿车和婴儿床，或去某类商店购物，以推断怀孕；或者推断Grindr应用程序的用户是同性恋或同性恋。

对于推荐引擎，算法可以通过跟踪观看习惯，并基于这些活动和兴趣模式对用户进行聚类，以最大程度地参与他们的平台。因此，像YouTube的AIs这样的大数据平台可以填充其他视频的粘性侧栏，吸引你继续点击。或者在您实际选择观看的视频结束后自动选择“个性化”播放的内容。但是，同样，这种行为跟踪似乎可能与受保护的利益相交叉，因此，正如CJEU规则所强调的，需要处理敏感数据。

例如，Facebook长期以来一直面临地区审查，因为它允许广告商根据与政治信仰、性行为和宗教等敏感类别相关的兴趣定位用户，而无需征得他们的明确同意-这是GDPR（法律上）处理敏感数据的障碍。

尽管这家科技巨头现在被称为Meta，但迄今为止，它在这个问题上避免了欧盟的直接制裁，尽管它是许多强制同意投诉的目标-其中一些投诉可以追溯到四年多前开始实施GDPR。（爱尔兰DPA去年秋天的一项决定草案，显然接受了Facebook的说法，即它可以通过规定用户与它签订接收广告的合同来完全绕过处理个人数据的同意要求，当时被隐私活动家称为一个笑话；由于其他欧盟DPA的审查过程，该程序仍在进行中-活动家希望，这将是一个笑话。）最终，对Meta基于无同意追踪的商业模式的合法性持不同观点。但这一特定的监管执法仍在继续。）

近年来，随着监管关注以及法律挑战和隐私诉讼的加剧，Facebook/Meta对其广告定位工具进行了一些表面调整，例如在去年年底宣布，它将不再允许广告商瞄准健康、性取向和政治信仰等敏感利益。

然而，它仍然在其各种社交平台上处理大量个人数据，以配置用户在其提要中看到的“个性化”内容。而且，它仍然跟踪和分析网络用户，以“相关”广告来定位他们，而没有为人们提供拒绝这种侵入性行为跟踪和分析的选择。因此，该公司继续采用一种商业模式，依赖于提取和利用人们的信息，而不询问他们是否同意。

因此，对现有欧盟隐私法的更严格解释对像Meta这样的广告技术巨头构成了明显的战略威胁。

YouTube的母公司谷歌/字母表（Google/Alphabet）也处理大量的个人数据-既用于配置内容推荐，也用于行为广告定位-因此，如果监管机构接受欧盟中央委员会的指示，对敏感推断采取更强硬的态度，YouTube也可能会受到攻击。除非它能够证明它要求用户明确同意这种敏感的处理。（也许值得注意的是，谷歌最近修改了其在欧洲的cookie同意横幅的设计，以便于用户选择退出这种类型的广告跟踪-此前在法国进行了几次以跟踪为重点的监管干预。）

Olejnik预测：“那些假设[推断出的受保护/敏感数据，是受保护/敏感性数据]并准备好其系统的组织应该没问题。他们是正确的，似乎他们受到了保护。对其他组织来说，[欧盟法院的裁决]意味着重大转变。”。“这涉及技术和组织措施。因为这类数据的处理是被禁止的。除非部署了一些重要措施。比如明确同意。在技术实践中，这可能意味着需要实际选择加入跟踪。”

他补充说：“目前的现状不可能满足GDPR第9（2）条第款的要求。”。“变化不能仅仅在纸面上发生。这次不行。DPA刚刚获得了强大的弹药。他们想使用它吗？请记住，虽然本周做出了这一判决，但GDPR和欧盟数据保护法律框架从一开始就是这样运作的。”

欧盟确实制定了新的法规，将进一步收紧围绕最强大的“大科技”在线平台的操作套索，并为所谓的超大在线平台（VLOP）制定更多规则，如数字市场法（DMA）和数字服务法（DSA），计划从明年开始生效，目标是为大型科技公司提供公平竞争的环境；以及更普遍地对在线消费者进行拨号平台问责。

DSA甚至还包括一项规定，即使用算法确定用户看到的内容的VLOP（也称为“推荐系统”）必须至少提供一个不基于分析的选项-因此，已经明确要求大型平台的一个子集为用户提供拒绝欧盟即将出现的行为跟踪的方法。

但我们采访过的隐私专家建议，欧盟法院的裁决将从本质上把这一要求扩大到非VLOP。或者至少那些正在处理足够数据的平台会遇到相关的法律风险，因为他们的算法会做出敏感的推断——即使他们没有有意识地指示他们这样做（太长了，读不下去了，人工智能黑匣子也必须遵守法律）。

DSA和DMA还将禁止将敏感数据用于广告定位-再加上CJEU确认敏感推断是敏感数据，这意味着即将到来的泛欧盟行为广告限制将具有重要意义，一些隐私观察者担心，广告技术巨头的数据挖掘将很容易绕过这一限制，代理识别通常的技巧。

提醒：大型科技说客集中了大量火力，成功地阻止了欧盟立法者去年早些时候提出的一项要求，即DSA将全面禁止基于跟踪的定向广告。因此，任何强化现有限制的措施都非常重要。

行为推荐引擎

加州大学法学院数字权利与监管副教授迈克尔·韦埃尔博士，当涉及到推荐系统时，它预测了CJEU对敏感推理的判断所产生的特别“有趣的后果”-至少对于那些尚未要求用户明确同意进行行为处理的平台而言，这有可能以提供粘性“自定义”内容的名义进入敏感领域。

一种可能的情况是，平台将通过默认按时间顺序和/或其他非行为配置的提要来应对CJEU强调的围绕敏感推断的法律风险，除非或直到获得用户明确同意接收此类“个性化”推荐。

“这一判决与DPA一段时间以来一直在说的话相差不远，但可能会给他们和国家法院执行判决的信心，”Veal预测道。“我看到这一判断在在线推荐领域产生了有趣的后果。例如，Instagram和TikTok等推荐平台可能不会在内部手动标记用户的性取向-这样做显然需要在数据保护法下有严格的法律基础。然而，他们会密切观察用户与平台的互动，并从数学角度进行分析将具有特定类型内容的用户配置文件聚集在一起。其中一些集群显然与性有关，围绕针对男同性恋的内容集群的男性用户可以自信地认为他们不是异性恋。根据这一判决，可以说，此类案件需要有法律依据来处理，而这只能通过明确同意予以驳回。”

以及Instagram和TikTok等VLOP，他认为，由于欧盟委员会澄清了GDPR第9条的非狭义应用，像Twitter这样的小型平台无法逃脱这一要求，因为Twitter对所谓的“热门推特”或其推荐的其他用户等功能使用算法处理可能需要处理类似的敏感数据（目前还不清楚该平台在进行该处理之前是否明确要求用户同意）。

“DSA已经允许个人选择基于非配置文件的推荐系统，但仅适用于最大的平台。鉴于这种类型的平台推荐人固有的风险是以揭示特殊类别的方式将用户和内容聚集在一起，可以说，这一判断强化了所有存在这种风险的平台提供推荐系统的必要性基于对行为的观察，”他告诉TechCrunch。

鉴于欧盟委员会坚持敏感推断确实属于GDPR第9条的观点，TikTok最近试图取消欧洲用户同意其分析的能力-试图声称自己有合法的利益来处理数据-鉴于TikTok的AIs和推荐系统在跟踪用户使用情况和分析用户时可能会接收到多少敏感数据，这看起来像是一厢情愿。

无论如何，蒂克托克的计划很快就受到了欧洲监管机构的抨击。上个月，在意大利DPA发出警告后，该公司表示正在“暂停”切换，以便该平台可能已经决定，采用无需同意的方式推送算法提要的法律条款即将出台。

然而，鉴于Facebook/Meta尚未被迫暂停其对欧盟个人数据处理法律框架的践踏，如此热烈的监管关注似乎不公平。（或者至少是不平等的。）但这是一个迹象，表明所有侵犯人权者最终——不可阻挡地——都将面临困境，不管他们是在做什么，还是刚刚试图碰碰运气。

逆风沙箱

另一方面，谷歌（尽管）一再推迟降低对Chrome中行为跟踪Cookie支持的计划，这似乎更符合欧洲监管的方向。

尽管关于它正在策划的替代广告定位方案（在欧洲受到严格的监管审查）是否会通过双重审查程序（考虑到竞争和隐私监督）仍存在疑问。但是，正如维亚尔所言，非基于行为的推荐-比如通过白名单主题进行基于兴趣的定位-可能比试图坚持一种通过监视个人在线行为来暗中操纵个人的商业模式风险更小，至少从隐私法的角度来看是如此。

小牛肉又来了：“基于特定明确兴趣和因素（如友谊或话题）的非行为建议更容易处理，因为个人可以允许使用敏感话题，或者可以被视为已将敏感话题“公开”给平台。”

那么Meta呢？面对一段时间以来高管们被迫公开承认的“监管阻力”（委婉的投资者用语，用更简单的英语来说，这意味着一场完全的隐私合规恐怖秀）正在加剧，其战略是提拔一位备受瞩目的前地区政治家，前英国副首相和欧洲议会议员尼克·克莱格，成为该公司的全球事务总裁，希望在该公司的高层摆出一张熟悉的面孔，让metaverse做出创造就业机会的承诺，从而说服当地立法者不要对其商业模式强制执行自己的法律。

但随着欧盟最高法官在更多捍卫基本权利的判例中进行权衡，梅塔的商业模式看起来非常暴露，站在受到法律质疑的理由上，其声称的理由肯定是在拖延已久的清洗开始之前的最后一轮旋转中，以重大GDPR执法的形式——即使它押注克莱格在当地的名声/耻辱，对欧盟决策的严重影响总是看起来更像是廉价的讨价还价，而不是坚实的长期战略。

如果Meta希望为自己争取更多的时间来重组其adtech以保护隐私-正如谷歌声称正在处理其沙盒提案-那幺执行真正的清理工作就太晚了。

本文：https://cioctocdo.com/sensitive-data-ruling-europes-top-court-could-for…