背景

　　据报道，2021年11月，比利时数据保护机构（APD/GBA）结束了对IAB欧洲的调查，并且形成了裁决草案。根据GDPR规定的程序，该裁决草案还需要由其他欧洲国家的数据保护机构审查，因此草案文本尚未公开。从被调查的一方IAB欧洲的声明[1]和向APD/GBA投诉的一方ICCL（Irish Council for Civil Liberties）发表的声明[2]对照来看【中文翻译见：个性化广告 | 欧盟的自动化程序广告即将迎来由GDPR引发的“震动”】，APD/GBA的裁决中会认定IAB欧洲设计的TCF（Transparency & Consent Framework）机制中所用到的TC字符串（Transparency & Consent String）属于个人信息，并且IAB欧洲是此等个人信息的共同控制者；相应地，由于目前IAB欧洲并没有履行GDPR规定的控制者义务，因此违反了GDPR的规定。对于公众普遍关心的TCF是否违反GDPR的问题，双方的声明做了不同的表述。可以预计，本案将对数字广告生态产生深远的影响。

　　什么是“TCF”和“TC字符串”

　　TCF是IAB欧洲针对数字广告生态构建的GDPR合规解决方案[3]。正如其名字所示，TCF解决的是GDPR要求的透明度和同意的问题。根据GDPR第6条的要求，处理个人数据必须具有合法性基础。将数据主体的个人数据用于数字广告生态，用户同意和正当利益是主要的合法性基础。根据GDPR第13条关于透明度的要求，无论采用何等合法性基础，需要在处理个人数据之前向用户披露。此外，如果对个人数据的处理是基于同意的，根据GDPR第4条对同意的定义，同意必须是数据主体依据其个人意愿，自由、明确、知情（承接了透明度的要求）并清楚地通过陈述或积极行为表示的。数字广告生态的参与方众多，包括但不限于SSP、ADX、DSP、DMP，各参与方如何能够对用户进行有效地披露，并获得用户的同意是很大的挑战。

　　为了应对这一挑战，IAB欧洲设计了一套规则即TCF。基于这一套规则，直接面向用户的媒体（TCF中的Publisher，可以是网站、App等）向用户披露媒体正在收集哪些数据，媒体与哪些公司合作，以及媒体及合作公司打算如何使用这些数据[4]；在此披露的基础上，媒体获得用户对于将个人数据用于数字广告生态的同意；然后，媒体将所述同意在数字广告生态的参与者之间进行同步，从而使得无法直接面向终端用户的其他数字广告生态参与方（TCF中的供应商即Vendor）能够按照用户的同意处理个人数据；获得和管理用户同意的平台在TCF中称为CMP（Consent Management Platform），媒体可以自建CMP，也可以使用第三方CMP。可以看出，TCF旨在帮助数字广告生态中的所有各方在处理个人数据或访问和/或在用户设备上存储信息时遵守欧盟的GDPR和电子隐私指令，如cookie、广告标识符、设备标识符和其他跟踪技术，尤其是帮助满足GDPR中关于同意的要求。

　　为了方便向用户披露供应商的情况，IAB欧洲维护了Global Vendor List，用于记录承诺遵守TCF的供应商清单，以及每个供应商会对个人数据进行何种处理（TCF已经将处理行为进行了分类）以及每个供应商为每种处理选择的合法性基础[5]。用户可以查询GVL来获得关于供应商如何处理其个人数据的信息。

　　TC字符串是在上述用来记录和同步有关用户同意的信息的数据结构[6]。根据TCF的规则，TC字符串由CMP在用户第一次访问媒体的时候通过用户询问的方式生成，并由数字广告生态的参与方消费。TC字符串的主要内容包括：

　　元数据，包括TC字符串的编码版本，TC字符串的创建和更新时间，使用的GVL版本，创建该TC字符串的CMP身份）；

　　对于以用户同意为合法性基础的处理行为，用户针对向用户披露的每个供应商的每个处理行为是否进行了同意；

　　对于以正当利益为合法性基础的处理行为，用户是否行使了Right to Object。

　　由此可见，TC字符串详细记录了向用户披露的信息以及用户基于此等披露对数字广告的各参与方处理其个人数据进行的选择。TC字符串会被传递给承诺遵守TCF的供应商，因此理论上讲，用户的个人数据只会被这些供应商按照用户认可（包括给出同意，以及没有行使Right toObject）的方式进行处理。

　　解读

　　1、TC字符串是否属于个人信息？

　　根据GDPR第4条的定义，个人数据指的是与已识别或可识别的自然人有关的信息。如前所述，TC字符串表示的是用户就数字广告生态的各方处理其个人数据给出的同意/反对。为了完成此任务，TC字符串必然要以一种能够识别个体的方式来生成、存储和传递。一种典型的实现方式是，CMP在用户第一次访问媒体时根据用户问询生成TC字符串并存储在cookie中；在产生广告请求时，该cookie被读取以提取TC字符串，并且将用户对个人数据处理的同意/反对等随着广告请求一起传递到数字广告生态的各参与者。

　　尽管如此，TC字符串与数字广告生态所依赖的个人数据（例如用户的行为数据）有本质的不同。前者是为了帮助数字广告生态各参与方进行GDPR合规而设计出的个人数据，并且其意义在于在数字广告生态的各参与方之间共享和被各参与方处理。因此，对此等个人数据的处理应该采用何等合法性基础，用户对此等个人信息的处理有何等数据主体权利以及如何落地，是正式裁决中一个值得关注的部分。

　　2、IAB欧洲是否构成GDPR项下的控制者？

　　根据GDPR的定义，控制者指的是决定个人数据的处理目的和处理方式的人或组织。相应地，共同控制者指的是共同决定个人数据的处理目的和处理方式的多个人或组织。

　　EDPB在其关于控制者/处理者的判定指南中[7]指出，控制者并不一定要“接触（access）”被处理的数据，不管是在控制者-处理者的关系中（见例如45段），还是在共同控制者的关系中（见例如56段）。如果组织将数据处理行为外包，并且对数据处理的目的和关键方式有决定性的影响，那么即使组织不会接触数据，其仍然是数据控制者，而实际接触数据的一方为数据处理者。指南引用的Jehovah's Witnesses一案中，CJEU认为宗教社团和社团成员构成共同控制者。虽然宗教社团并没有实际接触数据，也没有就数据处理给社团成员任何书面的指导或指令，但是社团通过组织和协调社团成员的活动来参与确定数据处理的目的和方式，并且数据处理有助于达到了宗教社团的目的，宗教社团也一般性地了解为了传教而需要进行的数据处理活动。因此，即使IAB欧洲在TCF框架的运转过程中没有实际接触到TC字符串，也不能因此认定IAB欧洲不属于TC字符串这一数据的控制者。

　　但是，正如IAB欧洲在2020年末针对APD/GBA的初步报告提交应答后所发表的声明[8]中所述， IAB欧洲没有以任何方式处理、拥有或决定使用特定TC字符串，因此不是TCF场合下的数据控制者。具体而言，TC字符串的创建是由CMP完成的，TC字符串的共享和使用是由数字广告生态的各参与方完成的。唯一可能的例外是在2021年6月22日之前，某些情况下CMP需要将TC字符串存储在指向consensu.org的第三方cookie中，而consensu.org是由IAB欧洲所维护的。但是，该机制所支持的功能目前已经废止。

　　就TCF的实施而言，虽然在GVL中允许供应商选择用户同意或正当利益作为处理个人数据的合法性基础，但是如何进行选择是供应商决定的，而不是IAB欧洲决定的。除了TC字符串以外，用户的其他个人数据（例如行为数据）被用于数字广告生态完全是各参与方自己决定处理的目的和手段，而TCF仅仅提供了一种规范来展示和交流有关此等处理的信息。

　　根据最新的报道，IAB欧洲的共同控制者身份针对的是TC字符串这一个人数据，而数字广告生态的实现并不依赖于这一个人信息。因此APD/GBA认定IAB欧洲属于TC字符串的共同控制者后，将要求IAB欧洲如何承担处理TC字符串的控制者义务，以及这些要求如何影响IAB欧洲在整个TCF框架乃至数字广告生态中的地位，是正式裁决中另一个值得关注的部分。此外，该裁决还可能会影响到GDPR第40条的运作，因为如果一般性地认为行业中制定个人数据处理规范的组织（例如行业协会）需要与行业中的从业者共同承担处理个人数据的合规义务，那么行业协会在制定此类规范前就需要认真考虑相关的合规成本。

　　3、TCF是否违反GDPR？

　　在ICCL的声明中还提到，此次的裁决中会涉及“IAB欧洲的同意弹窗系统违反了GDPR，因此是非法的”（IABEurope's “consent” pop-up system violates the GDPR and is thus illegal）。笔者认为，这个问题应该从另一个角度来考虑，即TCF能否能够解决数字广告生态存在的违反GDPR的问题。数字广告生态对个人数据的处理如何（以及本质上是否可能）符合GDPR以及其他主流隐私法律的要求，这一问题早已引起了广泛的讨论。

　　数字广告生态的核心是广告位（inventory）拍卖机制，而拍卖机制必然伴随着将尽可能多的关于广告位的信息（尤其是广告位受众的个人数据）发送给尽可能多的潜在买家，从而让这些买家做出有效的竞价选择。如下图所示[9]，从广告请求（bid request for advert）从媒体发出那一刻起，广告请求中携带的个人数据就进入了一种“失控”的状态。这些个人数据被广播至数量巨大的参与方以便这些参与方进行竞价（bidding），这些参与方为了进行更有效的竞价决策，又会从各种其他来源引入更多的个人数据。更进一步，在下图所展示的数据交互之外，即使是广告已经在广告位展示之后，相同的或者额外的个人数据仍然在这些参与方之间流转，以便对广告进行归因分析、改善广告投放模型、进行个人画像等。

　　英国数据监管机构ICO[10]总结的数字广告生态涉及个人数据处理的风险包括：参与者众多、涉及的数据复杂、画像和自动化决策、大规模数据处理、新技术的使用、不同来源数据的组合和匹配、对位置和行为的追踪、不可见的处理。向APD/GBA投诉IAB欧洲的ICCI将数字广告称为“史上最大数据泄露”。有鉴于数字广告生态对个人数据处理的高风险特性，全球已经发生了多起直接针对数字广告行业的诉讼[11],[12]。

　　数字广告生态的复杂性导致很难向用户充分地披露其个人数据是如何被处理的，从而难以获得有效的用户同意。即使按照TCF向用户进行披露，用户为了获得完整的信息所需要耗费的努力也是巨大的。下图展示了一个基于TCF向用户进行信息披露的界面，用户可以分别点击List Of Partners （vendors） 和ShowPurposes来了解与数字广告生态有关的处理其个人数据的供应商，以及处理的目的。

　　如果用户需要了解这些供应商的详细信息，则需要直接查看GVL。下图截取自GVL中对一个供应商的数据处理行为的描述，许多项目需要进一步展开，甚至查看所引用的外部内容才能得到完整的信息。

　　由此可见，目前看来，TCF提供的机制在实质性解决数字广告生态涉及的个人数据保护风险方面仍然处于起步阶段，即使是在解决透明度和同意问题的范围内也是这样。

　　展望

　　尽管TCF存在不少的缺点，这毕竟是第一个（可能也是目前唯一一个）系统性解决这一问题的框架，仍然值得进一步的研究和推动。与ICCL的声明中所持的观点不同，IAB欧洲的声明中认为，在APD/GBA的监督下采取的后续行动有助于使TCF成为GDPR第40条规定的行为准则（CoC）。如果这一步真能实现，那么不仅是对TCF本身的肯定，更说明数字广告生态存在可行的合规路径。因此，APD/GBA对IAB欧洲的调查，与其说是数字广告生态开始衰退的表现，不如说是数字广告生态朝着合规的方向进行的发展。

　　根据GDPR规定的合作程序，APD/GBA的裁决草案预计将在未来2-3周内与其他欧洲国家的数据保护机构分享。这些数据保护机构将有30天的时间进行审查。根据审查结果，比利时数据保护机构可能会通过最终裁决，或者将此事提交EDPB做出具有约束力的决定。该案对数字广告生态将产生什么样的重大影响，让我们拭目以待。