法庭中的定向广告与画像

在数字营销时代，针对性广告和用户画像已成为平台、出版商和广告商的关键工具。然而，这些数据驱动的技术正受到严格的法律审查，尤其是在《通用数据保护条例》（GDPR）和《电子隐私指令》之下。欧洲法院和数据保护机构（DPAs）越来越关注行为广告背后的合法性、透明度和同意机制，这些裁决对广告技术生态系统产生了重大影响。

本文探讨了欧盟范围内的高调案例研究和执法行动，重点关注广告目的的画像如何在隐私法下受到挑战——以及平台和营销人员应从中吸取的教训。

1. CNIL v Google (France, 2020): Cookie Consent and Tracking

2020年，法国数据保护机构（CNIL）因Google在其法国域名上在用户事先同意前放置广告Cookie而对其罚款1亿欧元。这些Cookie用于跟踪以实现个性化广告，但用户在做出任何有意义的 choices 前就被激活。

关键问题：

• 根据《电子隐私指令》缺乏有效同意。
• 用户未获得有关Cookie目的或拒绝方式的充分信息。
• Cookie横幅仅提供“接受”选项，而没有等效的“拒绝”选项。

法律依据：

• 《电子隐私指令》（2002/58/EC）在法国法律中的实施。
• 《电子隐私指令》第5(3)条要求在用户设备上存储或访问信息前获得事先同意。

结果：
Google被罚款，并随后更新了其同意横幅，提供细粒度的选择和对接受与拒绝的对称选项。

教训：
用于画像和针对性广告的同意必须是自由给予的、具体的、知情的且明确的——并且在任何跟踪开始之前实施。

2. Bundeskartellamt v Meta (Germany, ongoing): Combining Data Across Services

德国竞争机构（Bundeskartellamt）针对Meta（前身为Facebook）启动了程序，指控其在未经适当同意的情况下将Facebook、Instagram、WhatsApp和第三方网站的用户数据结合。

关键法律转折：
虽然该案起源于竞争法，但该机构严重依赖GDPR违规——认为Meta未能获得有效同意，这为其在广告市场提供了不公平优势。

法院发展：

• 德国联邦法院维持了监管机构限制数据处理实践的决定。
• 欧洲法院（CJEU）被要求作出初步裁决，以澄清数据保护与竞争法的交集（案件C-252/21，截至2025年待决）。

法律问题：

• 未经同意跨服务结合数据是否违反GDPR第6条和第9条。
• 用户是否被提供真正的选择，还是通过捆绑服务被胁迫接受。

教训：
基于跨平台数据的画像必须有有效的法律依据支持，通常是选择加入同意，并且不得作为使用核心服务的条件。

3. NOYB Complaints Against IAB Europe’s TCF (EU-wide): Real-Time Bidding Scrutiny

非营利组织NOYB（None of Your Business）针对IAB Europe的透明度和同意框架（TCF）提起了多项投诉，该框架广泛用于实时竞价（RTB）中的针对性广告。

主要指控：

• TCF未能提供真正的、知情的同意。
• RTB下的画像实时与数百个供应商共享用户数据，通常用户不知情。
• 该框架被认为不符合GDPR的数据最小化、目的限制和合法依据原则。

比利时DPA裁决（2022年）：

• 认定IAB Europe作为TCF中数据处理的联合控制器负责。
• 命令对同意机制和数据共享实践进行重大修改。

结果：
IAB Europe被要求重新设计TCF，引入更强的保障措施，并更好地控制供应商的下游数据使用。

教训：
用于程序化广告的同意框架不仅必须符合GDPR标准，还必须确保广告技术链中的可执行治理。

4. Planet49 Case (CJEU, C-673/17): Pre-Ticked Boxes and Consent Validity

欧洲法院（CJEU）审理的Planet49案审查了预选框是否构成用于促销游戏和行为广告的Cookie的有效同意。

CJEU裁决：

• 同意必须是积极的，预选框不足以构成有效同意。
• Cookie的持续时间和第三方访问也必须提前向用户披露。

法律影响：

• 确认GDPR和电子隐私指令要求合法画像的肯定行动和明确披露。

教训：
平台必须设计同意界面，确保清晰的用户参与，而非被动或默示协议。

Key Takeaways for Platforms and Ad Tech Operators

同意是核心——必须是细粒度的、知情的且可撤销的。
针对性广告的画像需要有效的法律依据，通常是GDPR第6(1)(a)条。
透明度必须全面：谁处理数据、用于何种目的、持续多长时间。
联合控制可能适用——平台和广告合作伙伴可能共同承担GDPR合规责任。
同意框架（例如，CMPs、TCFs）必须可审计且在所有用户数据接收者中可执行。

Looking Ahead: The Role of the ePrivacy Regulation and DSA

随着GDPR下执法的加强，画像监管的未来还将受以下因素塑造：

• 长期延迟的《电子隐私条例》，它可能在欧盟范围内标准化同意规则。
• 《数字服务法》（DSA），它引入了在线广告和推荐系统的透明度义务——特别是针对大型在线平台（VLOPs）。

这些框架将显著影响针对性广告模式，特别是那些依赖实时竞价、数据经纪或不透明个性化的模式。

Conclusion

在欧盟隐私法中，画像和针对性广告不再是灰色地带。法院和监管机构正在为用户数据的使用、共享和货币化设定明确界限——特别是在行为针对方面。未能与GDPR和电子隐私标准保持一致的平台和广告技术提供商面临日益增长的法律、财务和声誉风险。