x

【欧盟隐私保护合规】通过透明度和同意框架(TCF)获得个人数据处理的用户许可,第四部分

cioctocdo
11 December 2022
SEO Title
7-getting-user-permission-personal-data-processing-transparency-and-consent-framework-tcf-part-4

文章分类

7.5减轻检查数据传输许可的挑战

获得个人数据处理许可的第三步是检查数据传输许可,即确保数据发送公司和数据接收公司在传输个人数据时具有相同目的的许可,并且每个目的的许可符合相同的法律依据(即同意或合法利益)。这种匹配目的规范和法律依据的程序在技术上可能具有挑战性。TCF试图通过提供标准化的检查和匹配程序来缓解这些挑战,我们将在下文中介绍。

7.5.1促进检查出版商的许可

在本节中,我们将讨论发布者向其他供应商传输数据的情况。回想一下,TCF内的一家供应商通过GVL披露了其使用的(特殊)目的和(特殊)功能(表9-表12)。供应商还决定使用哪种法律依据来支持其追求的每一个目的。供应商只能在征得同意的情况下支持目的1。为了支持目的2-10(表9),供应商有三种选择:(1)仅使用同意,(2)仅使用合法权益,(3)使用同意或合法权益。出于同意或合法利益支持的目的,供应商设置默认的法律基础。然后,由合作伙伴出版商决定为供应商使用哪种法律依据。请注意,公司只能使用一个法律依据来支持一个目的。

更正式地说,对于除目的1外的每个目的(表9),供应商有五种选择:

  • 只有在获得同意作为法律依据的情况下,才能追求目的和支持。
  • 以合法利益为法律基础,追求目的和支持。
  • 默认情况下,以合法利益追求目的和支持,但同意作为法律依据也是可行的。
  • 默认情况下,在征得同意的情况下追求目的和支持,但合法利益作为法律依据也是可行的。
  • 不要追求目的。

表15提供了特定供应商(Emerse Sverige AB)追求TCF目的的法律依据示例,该供应商追求目的1–9而不追求目的10。供应商仅使用同意来支持目的1、目的3和目的4。供应商仅利用合法利益来支持目的7和目的8。供应商使用同意或合法利益来支持目的2和目的9,在这两种情况下,默认的法律依据都是合法利益。

Table 15: Legal Bases for Purposes under TCF Specification of an Example Vendor (here: Emerse Sverige AB)

出版商为供应商提供了三种选择:

  • 希望供应商以同意作为法律依据来追求目的和支持。
  • 希望供应商以合法利益为法律依据来追求目的和支持。
  • 希望供应商不要追求目的。

考虑到发布者出于特定目的代表供应商请求了数据处理许可,用户可以做出以下四种选择:

在同意作为法律依据的情况下:

  • 同意为此目的处理数据(接受同意)。
  • 不要同意为此目的处理数据(拒绝同意)。

在合法利益作为法律依据的情况下:

  • 接受为此目的处理数据的合法利益(接受合法利益)。
  • 对合法利益执行“反对权”,以便为此目的处理数据(拒绝合法利益)。

因此,假定发布者与供应商有关系(即,打算根据TCF程序向供应商传输用户数据),并且给定特定的TCF目的,可以获得与该目的的数据传输相关的各种结果。结果取决于(1)供应商选择的选项,(2)发布者选择的选项以及(3)给定发布者选择选项的用户决定。特别是,有七种结果是可能的(见图19);我们将这些结果分为“交易”和“无交易”。

七项成果如下:

  • 同意后进行数据传输。
  • 根据合法利益进行数据传输的交易。
  • 由于法律基础不匹配,没有交易。
  • 由于追踪状态不匹配,没有交易。
  • 没有追求就没有交易。
  • 由于没有用户同意,没有交易。
  • 由于用户对合法权益的反对,没有交易。

Figure 19: Outcomes of Actions from a Publisher, a Vendor, and a User When a Publisher Transfers Data to a Vendor

在图19中,绿色的单元格表示成功地将数据从发布者传输到供应商,以实现其中一个目的。红色单元格表示由于用户未给予许可,传输数据的交易失败。白色单元格表示无法传输数据,因为发布者期望的内容与供应商支持的内容之间的法律基础不匹配。灰色单元格表示没有数据传输协议,因为出版商或供应商,或两者都不追求这一目的。

总的来说,TCF的标准化匹配和检查程序有助于确保在数据流动的任何地方都有特定、明确和合法的法律依据。

7.5.2促进检查供应商之间的数据传输许可

在本节中,我们将讨论供应商向另一供应商传输数据的情况。对于供应商与供应商之间的案例,检查处理和传输数据的权限比发布者与供应商之间更为直接。供应商不能使用限制来调整另一供应商的法律依据,但只接受GVL中披露的和TC字符串中存储的任何内容。因此,供应商可以处于以下三种状态之一:(1)拥有处理和传输数据的用户权限(接受同意或接受合法利益),(2)没有处理和传输信息的用户权限,(拒绝同意或拒绝合法利益)或(3)不追求目的。

Figure 20: Outcomes of States of Two Vendors When a Vendor Transfers Data to another Vendor

图20总结了供应商之间数据传输的结果。如果两个供应商都有用户的权限(由绿色单元格捕获),则供应商只能将个人数据传输给另一个供应商。红色单元格表示传输数据的交易失败,因为至少有一个供应商没有用户权限为此处理数据。灰色单元格表示没有交易,因为至少有一个供应商不使用用户数据。

7.6主要要点

第7节的主要内容是:

  • 公司在获得数据处理许可时要经过三个步骤,以提供法律依据:(1)指定数据处理的目的,(2)请求并存储指定目的的许可,(3)检查数据传输许可。
  • 在获得个人数据处理许可的三个步骤中,在线广告行业都面临着挑战。
  • TCF是IAB Europe发起的一项行业倡议,旨在通过建立一个供所有参与者遵循的标准来应对获得数据处理许可所涉及的挑战。
  • TCF创建了一个统一的数据处理目的规范,由所有参与者共享,以防止误解并帮助公司方便地与用户和其他公司沟通。
  • TCF提供了一个全球供应商列表(GVL),以帮助供应商披露其目的,出版商代表其合作伙伴供应商集中和管理许可。
  • TCF创建了透明同意字符串(TC字符串),以标准化的方式存储、更新和交换用户的权限。
  • TCF不保证GDPR合规性。此外,即使在TCF的帮助下,处理和检查许可的程序仍然很复杂。
文章链接
https://cpo.work/7-getting-user-permission-personal-data-processing-transparency-and-consent-framework-tcf-part-4

标签