网站往往会诱导用户同意网站跟踪cookie,它们的做法是增加用户拒绝网站要求的难度。1月6日,法国的数据保护监管机构开始打击科技业内这种所谓的“黑暗模式”,对Facebook、谷歌(Google)和YouTube共处以2.1亿欧元(约合2.38亿美元)罚款。
法国国家信息与自由委员会(CNIL)表示,这些公司的行为违反了《法国数据保护法》(French Data Protection Act),对Facebook罚款6000万欧元,对谷歌及其视频流媒体业务罚款1.5亿欧元。除罚款以外,该监管机构还要求这些公司在三个月内修改其cookie接受/拒绝机制,否则将面临每天10万欧元的罚款。
欧洲严格的在线隐私保护制度于2021年正式启动,之前颁布的《通用数据保护条例》(General Data Protection Regulation)在2021年的罚款总额超过10亿欧元,主要包括卢森堡和爱尔兰分别对亚马逊(Amazon)和WhatsApp收取的巨额罚款。《通用数据保护条例》的影响并没有人们所担心的那么严重。
但法国国家信息与自由委员会最近的罚款却是依据另外一项欧盟法律:《电子隐私指令》(ePrivacy Directive)。该指令在约20年前被转变成法国法律。这项“古老的”(在互联网时代)法律即人们常说的“cookie法律”,本来应该在五年前被取代,但立法程序却多次停滞不前。
Cookie?没错!
用户同意是cookie法律的关键,而法国国家信息与自由委员会认为Facebook和谷歌并没有恰当获得用户同意。
该监管机构批评谷歌和YouTube的网站称:“用户拒绝全部cookie需要点击多次,但接受cookie却只需要点击一次。”
Facebook的网站也存在同样的问题,只是该监管机构在1月6日的声明中额外增加了一句有趣的评论:“法国国家信息与自由委员会还发现,允许用户拒绝cookie的按钮位于第二个窗口底部,但标注的却是‘接受cookie’。”该机构表示,这些网站的机制均通过“影响互联网用户同意自由”的程序,阻止用户拒绝cookie。
Facebook母公司Meta的发言人说:“我们正在评估该部门的决定,并继续致力于与相关部门合作。我们的cookie同意控制措施为用户提供了对其个人数据的较大控制权,包括在Facebook和Instagram上新增一个设置菜单,支持用户随时重新查看和管理自己的决定,并且我们将继续开发和完善这些控制措施。”
谷歌的发言人表示:“人们相信我们会尊重他们的隐私权并保障他们的安全。我们深知我们有责任保护这种信任,并承诺根据《电子隐私指令》的规定,以此次决定为基础继续做出调整,同法国国家信息与自由委员会密切合作。”
“黑暗模式”
这并非Facebook和谷歌首次被指控使用黑暗模式这种有欺骗性的设计,诱导用户放弃他们的隐私。
几年前,《通用数据保护条例》正式颁布后不久,欧洲各地的消费者团体曾经向国家隐私监管机构请求调查黑暗模式。挪威消费者协会(Norwegian Consumer Council)作为该行动的主要发起者,曾经正式向挪威的数据保护监管机构投诉谷歌。
但根据《通用数据保护条例》下的“一站式”机制,这类投诉应该由公司欧洲总部所在国家的监管机构处理,而大部分大型科技公司的总部都位于爱尔兰。因此,这项投诉被转交给爱尔兰数据保护委员会(Irish Data Protection Commission)。众所周知,该机构效率低下并且资金不足,因此该案后来就不了了之了。
法国国家信息与自由委员会避免了这个陷阱,依据《电子隐私指令》针对谷歌和Facebook采取行动。该机构在1月6日的声明中反复提到,其对于在法国境内违反《电子隐私指令》的行为有处以罚款的司法管辖权。
挪威消费者协会的数字政策主管芬恩·米尔斯塔德在1月6日告诉《财富》杂志:“法国国家信息与自由委员会的决定发出了强烈的信号,即网站必须给用户真正公平的选择权,不能诱导用户接受符合公司‘自身利益’的条件。”
美国电子隐私信息中心(Electronic Privacy Information Center)曾经多次向美国联邦贸易委员会(Federal Trade Commission)投诉黑暗模式。在美国总统乔·拜登政府执政期间,美国联邦贸易委员会更加支持这类投诉。它在2021年10月曾经表示,将针对“欺骗或引诱消费者选择订阅服务”的黑暗模式加大执法力度。(财富中文网)
翻译:刘进龙
审校:汪皓
网站往往会诱导用户同意网站跟踪cookie,它们的做法是增加用户拒绝网站要求的难度。1月6日,法国的数据保护监管机构开始打击科技业内这种所谓的“黑暗模式”,对Facebook、谷歌(Google)和YouTube共处以2.1亿欧元(约合2.38亿美元)罚款。
法国国家信息与自由委员会(CNIL)表示,这些公司的行为违反了《法国数据保护法》(French Data Protection Act),对Facebook罚款6000万欧元,对谷歌及其视频流媒体业务罚款1.5亿欧元。除罚款以外,该监管机构还要求这些公司在三个月内修改其cookie接受/拒绝机制,否则将面临每天10万欧元的罚款。
欧洲严格的在线隐私保护制度于2021年正式启动,之前颁布的《通用数据保护条例》(General Data Protection Regulation)在2021年的罚款总额超过10亿欧元,主要包括卢森堡和爱尔兰分别对亚马逊(Amazon)和WhatsApp收取的巨额罚款。《通用数据保护条例》的影响并没有人们所担心的那么严重。
但法国国家信息与自由委员会最近的罚款却是依据另外一项欧盟法律:《电子隐私指令》(ePrivacy Directive)。该指令在约20年前被转变成法国法律。这项“古老的”(在互联网时代)法律即人们常说的“cookie法律”,本来应该在五年前被取代,但立法程序却多次停滞不前。
Cookie?没错!
用户同意是cookie法律的关键,而法国国家信息与自由委员会认为Facebook和谷歌并没有恰当获得用户同意。
该监管机构批评谷歌和YouTube的网站称:“用户拒绝全部cookie需要点击多次,但接受cookie却只需要点击一次。”
Facebook的网站也存在同样的问题,只是该监管机构在1月6日的声明中额外增加了一句有趣的评论:“法国国家信息与自由委员会还发现,允许用户拒绝cookie的按钮位于第二个窗口底部,但标注的却是‘接受cookie’。”该机构表示,这些网站的机制均通过“影响互联网用户同意自由”的程序,阻止用户拒绝cookie。
Facebook母公司Meta的发言人说:“我们正在评估该部门的决定,并继续致力于与相关部门合作。我们的cookie同意控制措施为用户提供了对其个人数据的较大控制权,包括在Facebook和Instagram上新增一个设置菜单,支持用户随时重新查看和管理自己的决定,并且我们将继续开发和完善这些控制措施。”
谷歌的发言人表示:“人们相信我们会尊重他们的隐私权并保障他们的安全。我们深知我们有责任保护这种信任,并承诺根据《电子隐私指令》的规定,以此次决定为基础继续做出调整,同法国国家信息与自由委员会密切合作。”
“黑暗模式”
这并非Facebook和谷歌首次被指控使用黑暗模式这种有欺骗性的设计,诱导用户放弃他们的隐私。
几年前,《通用数据保护条例》正式颁布后不久,欧洲各地的消费者团体曾经向国家隐私监管机构请求调查黑暗模式。挪威消费者协会(Norwegian Consumer Council)作为该行动的主要发起者,曾经正式向挪威的数据保护监管机构投诉谷歌。
但根据《通用数据保护条例》下的“一站式”机制,这类投诉应该由公司欧洲总部所在国家的监管机构处理,而大部分大型科技公司的总部都位于爱尔兰。因此,这项投诉被转交给爱尔兰数据保护委员会(Irish Data Protection Commission)。众所周知,该机构效率低下并且资金不足,因此该案后来就不了了之了。
法国国家信息与自由委员会避免了这个陷阱,依据《电子隐私指令》针对谷歌和Facebook采取行动。该机构在1月6日的声明中反复提到,其对于在法国境内违反《电子隐私指令》的行为有处以罚款的司法管辖权。
挪威消费者协会的数字政策主管芬恩·米尔斯塔德在1月6日告诉《财富》杂志:“法国国家信息与自由委员会的决定发出了强烈的信号,即网站必须给用户真正公平的选择权,不能诱导用户接受符合公司‘自身利益’的条件。”
美国电子隐私信息中心(Electronic Privacy Information Center)曾经多次向美国联邦贸易委员会(Federal Trade Commission)投诉黑暗模式。在美国总统乔·拜登政府执政期间,美国联邦贸易委员会更加支持这类投诉。它在2021年10月曾经表示,将针对“欺骗或引诱消费者选择订阅服务”的黑暗模式加大执法力度。(财富中文网)
翻译:刘进龙
审校:汪皓
Websites regularly try to steer users toward accepting their tracking cookies by making it relatively hard to reject them. On January 6, France's data protection watchdog struck back against such tricks—known in the tech industry as "dark patterns"—by fining Facebook, Google, and YouTube a total of €210 million ($238 million).
The agency, known as CNIL, said the companies' actions violated the French Data Protection Act. Apart from these fines—€60 million for Facebook and €150 million for Google and its video-streaming business—it gave them three months to change how their cookie acceptance/rejection mechanisms work, or face further penalties of €100,000 a day.
Europe's tough online privacy regime really kicked into gear in 2021, when fines under the previously less-than-feared General Data Protection Regulation (GDPR) totaled more than €1 billion, mostly thanks to blockbuster fines for Amazon and WhatsApp, levied in Luxembourg and Ireland respectively.
CNIL's latest fines, however, were underpinned by a different piece of EU legislation: the ePrivacy Directive, which was transposed into French law some two decades ago. Popularly known as the "cookie law," this ancient (in internet time) rulebook was supposed to be replaced five years ago, though the legislative process has repeatedly stalled.
Cookies? Doh!
Users' consent is central to the cookie law and, according to CNIL, Facebook and Google haven't been getting it fairly.
"Several clicks are required to refuse all cookies, against a single one to accept them," the regulator complained regarding Google and YouTube's websites.
The same applies to Facebook's website, with one particularly entertaining added wrinkle—per January 6's statement: “The CNIL also noted that the button allowing the user to refuse cookies is located at the bottom of the second window and is entitled ‘Accept cookies.’” In all these cases, CNIL said, the mechanisms discourage users from refusing cookies, in a process that "affects the freedom of consent of Internet users."
"We are reviewing the authority's decision and remain committed to working with relevant authorities," said a spokesperson for Facebook owner Meta. "Our cookie consent controls provide people with greater control over their data, including a new settings menu on Facebook and Instagram where people can revisit and manage their decisions at any time, and we continue to develop and improve these controls.”
A Google spokesperson said, "People trust us to respect their right to privacy and keep them safe. We understand our responsibility to protect that trust and are committing to further changes and active work with the CNIL in light of this decision under the ePrivacy Directive."
“Dark patterns”
This is not the first time Facebook and Google have been accused of employing dark patterns—essentially deceptive designs—to manipulate people into weakening their privacy.
A few years ago, shortly after the GDPR came into force, consumer groups from across Europe asked national privacy regulators to investigate dark patterns. The Norwegian Consumer Council (NCC), which spearheaded the push, made a formal complaint against Google to Norway's data protection watchdog.
However, under the GDPR's "one stop shop" mechanism, complaints are supposed to be handled by the regulator in the country where the company has its European headquarters—meaning Ireland, for most of Big Tech. So the NCC's complaint got passed to the notoriously slow and underfunded Irish Data Protection Commission, where it has been languishing ever since.
France's CNIL avoided this trap by targeting Google and Facebook under the ePrivacy law. As it repeatedly noted in January 6's statements, it has the jurisdiction to issue fines for ePrivacy violations on French soil.
"The CNIL decision sends a strong signal that users must be given real and fair choices online, and not manipulated into 'accepting' whatever is in the companies' own interest," NCC digital policy chief Finn Myrstad told Fortune on January 6.
Over in the U.S., the Electronic Privacy Information Center (EPIC) has repeatedly complained to the Federal Trade Commission (FTC) about dark patterns. The agency has become more sympathetic to these complaints under the Biden administration. It said last October that it would step up enforcement against dark patterns that "trick or trap consumers into subscription services."