ECJ 裁决：Cookie 和 GDPR – 现在谁必须同意？

ECJ 裁决：Cookie 和 GDPR – 现在谁必须同意？

2025 年 5 月 30 日，重点将放在数据保护和个人数据处理上，特别是在个性化广告的背景下。欧洲法院（ECJ）最近做出了一项决定性裁决，明确了处理这些数据时获得用户同意的要求。该判决（参考号 C-604/22）以比利时法院的初步裁决为基础，澄清在展示个性化广告之前必须征得同意。

法院裁定，“TC 字符串”（用于存储和传输用户数据的更新标准）算作《通用数据保护条例》(GDPR) 含义内的个人数据。这种分类意味着 TC 字符串可能会泄露用户的身份，因此受到 GDPR 的严格要求。根据裁决，欧洲互动广告局（IAB）等广告公司必须确保获得用户的同意才能收集和处理其数据。

数据存储技术

合作伙伴 cookie 和类似的在线标识符的使用已经很普遍。这些技术使得存储或读取终端设备上的浏览器类型、语言、屏幕尺寸和支持的技术等信息成为可能。然后，该数据用于投放有针对性的广告。例如，汽车制造商可以在下午 6:30 后专门向城市用户宣传电动汽车。

此类广告措施通常基于根据先前收集的相应平台上的行为创建的用户配置文件。例如，一家在线零售商专门向之前搜索过这些产品的用户展示跑鞋广告。此外，有关与广告交互的信息用于衡量广告效果并提高内容的相关性。

广告公司的责任

欧洲法院的裁决明确指出，IAB 等处理个人数据的公司被归类为 GDPR 含义内的“控制者”。这意味着他们必须决定数据处理的目的和方式。不遵守规定可能会导致采取措施和罚款，就像比利时数据保护局最近对 IAB 实施的那样。

在数字广告中，至关重要的是，用户不仅要了解情况，而且还可以主动反对对其数据的收集和处理。收集的数据可以包括从位置和年龄到搜索历史记录和购买行为的所有内容，突出了主题的复杂性。

为了遵守GDPR的要求，IAB制定了“透明度和同意框架”（TCF）。该平台使数据处理更容易获得必要的同意，并确保用户的权利受到尊重。这也为进行匿名评估以改进产品和报价等奠定了基础。

总体而言，当前有关广告、数据保护要求和责任人角色的讨论表明，在满足法律要求的同时透明地处理用户数据是多么重要。为了长期获得和维持用户的信任，广告和数据保护之间的紧密联系比以往任何时候都更加必要。