جریمه نادر حریم خصوصی اپل: سازمان دیده بان حفاظت از داده های فرانسه، CNIL، اعلام کرده است که سازنده آیفون را به دلیل عدم کسب رضایت کاربران محلی تلفن همراه قبل از قرار دادن (و/یا خواندن) شناسه های تبلیغاتی، 8 میلیون یورو (8.5 میلیون دلار) جریمه کرده است. دستگاه های خود را در نقض قوانین محلی حفاظت از داده ها.
تصمیم در مورد تحریم در 29 دسامبر صادر شد، اما تنها دیروز به اطلاع عموم رسید (متن تصمیم در اینجا به زبان فرانسه موجود است).
CNIL بر اساس دستورالعمل حفظ حریم خصوصی الکترونیک اتحادیه اروپا عمل می کند – که به مقامات حفاظت از داده ها در سطح کشورهای عضو اجازه می دهد تا به شکایات محلی مربوط به تخلفات، به جای ارجاع آنها به ناظر داده های یک کشور، جایی که شرکت مورد نظر مرکز اصلی خود را دارد، اقدام کنند. در اتحادیه اروپا (مانند مقررات جدیدتر حفاظت از داده های عمومی اتحادیه اروپا یا GDPR).
در حالی که اندازه این جریمه حریم خصوصی الکترونیکی باعث ایجاد شبهای بیخوابی در کوپرتینو نمیشود، اپل از ادعاهای مربوط به حریم خصوصی بینظیر مصرفکننده استفاده میکند تا نام تجاری ممتاز خود را برجسته کند – و آیفون را از سختافزار ارزانتر دارای پلتفرم اندروید گوگل متمایز کند – بنابراین هرگونه نقض اعتبار آن حفاظت از داده های کاربر باید آسیب ببیند.
CNIL می گوید که به شکایتی علیه اپل به دلیل نمایش تبلیغات شخصی در اپ استور عمل کرده است. این اقدام مربوط به نسخه قدیمیتر (14.6) سیستم عامل آیفون است که در آن – پس از بررسیهای ناظر در سالهای 2021 و 2022 – دریافت که غول فناوری رضایت قبلی کاربران را برای پردازش دادههای آنها برای تبلیغات هدفمند دریافت نکرده است. زمانی ارائه شد که کاربری از اپ استور اپل بازدید کرد.
CNIL دریافت که نسخه 14.6 iOS بهطور خودکار شناسههای آیفون کاربران را میخواند – که اهداف مختلفی را دنبال میکند، از جمله تقویت تبلیغات شخصیشده در اپ استور – و طبق گفته تنظیمکننده، پردازش بدون کسب رضایت مناسب از اپل انجام شده است، زیرا رضایت از طریق تنظیمی که به طور پیش فرض از قبل بررسی شده است جمع آوری می شود. (توجه: دستورالعمل CNIL 2019 در مورد دستورالعمل حریم خصوصی الکترونیکی تصریح می کند که برای ردیابی تبلیغات رضایت لازم است.)
از بیانیه مطبوعاتی CNIL [translated from French with machine translation]:
به دلیل هدف تبلیغاتی، این شناسه ها برای ارائه سرویس (اپ استور) به شدت ضروری نیستند. بنابراین، آنها نباید بدون رضایت قبلی کاربر خوانده و/یا ذخیره شوند. با این حال، در عمل، تنظیمات هدفگیری تبلیغات موجود از نماد تنظیمات آیفون بهطور پیشفرض از قبل نمایش داده میشد.
علاوه بر این، کاربر مجبور بود تعداد زیادی از اقدامات را برای غیرفعال کردن موفقیت آمیز این پارامتر انجام دهد، زیرا این امکان در فرآیند اولیه سازی تلفن ادغام نشده بود. کاربر باید روی آیکون «تنظیمات» در آیفون کلیک می کرد، سپس به منوی «حریم خصوصی» و در نهایت به قسمتی با عنوان «تبلیغات اپل» می رفت. این عناصر امکان جمع آوری رضایت قبلی کاربران را فراهم نمی کرد.
CNIL گفت که سطح جریمه منعکس کننده دامنه پردازش است (که اشاره کرد محدود به فروشگاه App است). تعداد کاربران فرانسوی تحت تأثیر قرار گرفته است. و سودی که اپل از درآمد تبلیغاتی که بهطور غیرمستقیم توسط دادههای جمعآوریشده از شناسهها ایجاد میشود، به دست میآورد – و همچنین تنظیمکننده این واقعیت را که اپل از آن زمان به بعد رعایت کرده است را مورد توجه قرار میدهد.
اپل برای اظهار نظر در مورد تحریم CNIL تماس گرفته است. سخنگوی این شرکت تأیید کرد که قصد دارد درخواست تجدید نظر کند – این بیانیه را برای ما ارسال کرد:
با توجه به اینکه CNIL قبلاً اذعان کرده است که نحوه نمایش تبلیغات جستجو در اپ استور حریم خصوصی کاربران را در اولویت قرار می دهد، از این تصمیم ناامید شده ایم، و ما درخواست تجدید نظر خواهیم کرد. یک سیب تبلیغات جستجو فراتر از هر پلتفرم تبلیغات دیجیتال دیگری که ما می شناسیم، به کاربران این امکان را می دهد که انتخاب روشنی داشته باشند که آیا تبلیغات شخصی می خواهند یا نه. علاوه بر این، یک سیب تبلیغات جستجو هرگز کاربران را در برنامه ها و وب سایت های شخص ثالث ردیابی نمی کند و فقط از داده های شخص اول برای شخصی سازی تبلیغات استفاده می کند. ما بر این باوریم که حریم خصوصی یک حق اولیه انسانی است و کاربر همیشه باید تصمیم بگیرد که آیا داده های خود را با چه کسی به اشتراک بگذارد یا خیر.
این اولین باری نیست که اپل به دلیل استانداردهای دوگانه حریم خصوصی خود مورد بررسی قرار می گیرد. در سال 2020، گروه اروپایی حقوق حریم خصوصی noyb یک سری شکایت با ناظران حفاظت از داده اتحادیه اروپا در رابطه با شناسه تبلیغکنندگان (معروف به IDFA) که به طور پیشفرض توسط اپل در آیفونها تعبیه شده بود، ارائه کرد و ادعا کرد که وجود IDFA نقض مشابهی است. از اصل رضایت قبلی برای ردیابی.
این شرکت همچنین در سالهای اخیر به دلیل برخورد متفاوت با ردیابی فعالیت برنامه کاربران آیفون برای ارائه «تبلیغات شخصی» خود در مقابل الزام اخیراً اجرا شده مبنی بر دریافت رضایت کاربر توسط برنامههای شخص ثالث – پس از معرفی ردیابی برنامه، به ریاکاری در حفظ حریم خصوصی متهم شده است. ویژگی شفافیت (معروف به ATT) در iOS در سال 2021.
اپل به مخالفت با این استدلال ها ادامه داد – ادعا کرد که با قوانین حریم خصوصی محلی مطابقت دارد و سطح بالاتری از حریم خصوصی و حفاظت از داده ها را برای کاربران iOS نسبت به سیستم عامل های رقیب ارائه می دهد.
در همین حال، فرانسه در سالهای اخیر در اجرای نقض حریم خصوصی الکترونیکی علیه غولهای فناوری بسیار فعال بوده است، نمونهای دیگر در ماه گذشته هنگامی که مایکروسافت را با جریمه 60 میلیون یورویی برای طراحی الگوی تیره در رابطه با ردیابی کوکیها – پس از اینکه متوجه شد شرکت این کار را انجام نداده بود، محکوم کرد. مکانیزمی را برای کاربران پیشنهاد کرده است که کوکی ها را رد کنند که به سادگی ارائه دکمه ای برای پذیرش کوکی ها است.
آمازون، گوگل و متا (فیس بوک) نیز از سال 2020 تحت تحریم های CNIL به دلیل تخلفات مرتبط با کوکی قرار گرفته اند. و سال گذشته، گوگل به به روز رسانی پنجره بازشو رضایت کوکی در سراسر اتحادیه اروپا ادامه داد تا (در نهایت) گزینه ساده «پذیرفتن همه» یا «رد کردن همه» را که در سطح بالا ارائه می شود، ارائه دهد.
tl;dr: اجرای مقررات حریم خصوصی کار می کند.
جریان پیوسته اجرا و اصلاحاتی که مداخلات CNIL توانسته است برای مصرف کنندگان در فرانسه از طریق ePrivacy (دستورالعمل بسیار قدیمی اتحادیه اروپا نسبت به GDPR) به دست آورد، عملکرد جدیدترین مقررات حریم خصوصی شاخص را روشن کرده است، که در آن کنترل و اجرا غولهای فناوری همچنان درگیر جستجوهای فروم، مشکلات رویهای و منابع مرتبط، و اختلافات بین تنظیمکنندهها بر سر نحوه رسیدگی به این پروندههای فرامرزی هستند.
اما در حالی که تکمیل شکایت GDPR علیه یک غول فناوری ممکن است سالها طول بکشد، مثلاً 4.8 سال طول کشید تا شکایتهای «رضایت اجباری» علیه دو دارایی متا، فیسبوک و اینستاگرام نهایی شود، و هنوز هم احتمالاً سالها تجدیدنظر علیه این تصمیم در آینده (و با درخواستهای حتی قدیمیتر که هنوز بهشدت برای تصمیمگیری نهایی تلاش میکنند) – تفاوت بین یک دستورالعمل اتحادیه اروپا و یک مقررات به این معنی است که اجرا بهطور پیشفرض در سراسر اتحادیه اروپا است، نه اینکه در حوزه قضایی برنامه DPA قرار گیرد. . این به این معنی است که با ePrivacy، هرگونه پیادهسازی انطباق گستردهتر به صلاحدید یک نهاد تحریمشده است – بنابراین تأثیر آن بر کاربران ممکن است محلیتر باشد.
علاوه بر این، هر گونه جریمه GDPR (بالقوه) ممکن است بیشتر از جریمههای EPrivacy باشد – با GDPR که جریمههایی تا 4 درصد از گردش مالی سالانه جهانی را مجاز میکند، در حالی که حریم خصوصی الکترونیکی با رژیم قدیمیتری گیر کرده است که به کشورهای عضو اجازه میدهد «موثر، متناسب و» را تنظیم کنند. مجازات های بازدارنده (در نتیجه، حقوق کاربر در اینجا به خط مشی محلی محدود می شود.)
اگرچه سفارشهای اصلاحی میتوانند به مراتب بیشتر از جریمههای مالی بر روی فناوریهای بزرگ تاثیر بگذارند، با توجه به درآمدی که این غولها به ارمغان میآورند – زیرا حتی جریمههایی که به صدها میلیون یا بیشتر میرسد را میتوان صرفاً به عنوان هزینهای برای انجام تجارت حذف کرد. در حالی که دستورات تغییر رویه ها برای مطابقت با قوانین حفظ حریم خصوصی ممکن است نیاز به اصلاحات قابل توجهی داشته باشد.
شایان ذکر است که اتحادیه اروپا – برای سالها – در تلاش است تا دستورالعمل حریم خصوصی الکترونیکی را که اکنون بیش از دو دهه قدمت دارد، با مقررات بهروزرسانی شده حریم خصوصی الکترونیکی جایگزین کند. با این حال، لابیهای بزرگ فناوری و کشمکشهای قانونی بر سر پیشنهاد کمیسیون در سال 2017 باعث شد تا این پرونده در بیشتر آن دوره متوقف شود.
کشورهای عضو سرانجام در فوریه 2021 بر سر یک موضع مذاکره مشترک توافق کردند – در نهایت اجازه دادند مذاکرات سه جانبه آغاز شود. اما بحثها بین قانونگذاران مشترک اتحادیه اروپا بر سر جزئیات کوچک و بزرگ همچنان ادامه دارد – و مشخص نیست چه زمانی (یا حتی اگر) میتوان به اجماع رسید.
و این بدان معناست که دستورالعمل قدیمی حریم خصوصی الکترونیک ممکن است هنوز سالها عمر کاری داشته باشد – و میلیونها جریمه بزرگ فناوری – در پیش رو داشته باشد.