在过去的15个月中,我尝试在Facebook上行使我的数据保护权利,以便获得Facebook持有的个人数据,这将有助于 我 更好地了解以微观定位为目标可能对我周围的政治言论产生的影响。 世界各地的立法者也开始推动 更多的个人透明度以及,更多的透明度自上而下(汇总统计)初始请求后。 我在此提供有关我的个人努力的最新信息和时间表,但到目前为止仍未成功。 我希望这将鼓励反思执行数据保护法的失败及其后果。
2016年12月左右,我开始向Facebook提出有关其广告定位如何工作以及获取他们仍然持有的基础个人数据的副本的尖锐问题。 我认为,对于广告商和用户的某些司法管辖区组合,Facebook必须披露此信息。
我的目标是确定个人Facebook用户有权获取此数据,因此(我或其他人)可以构建工具来帮助每个个人用户更好地了解围绕他们而设计的政治过滤器泡沫。 例如,可以想象两个用户(丈夫和妻子)比较哪些政党针对他们,以及目标如何。
与欧洲和美国政客迄今从Facebook礼貌地要求的那样,这些披露将采取不同的形式。
我可以看到建议公开方式的以下优点:
- 此类披露的法律依据(数据保护法)已经存在;
- 限制披露的法律依据也存在(这将使我们更多地在法律上以Facebook的无理借口为依据,即披露哪些机器人已发布会侵犯其隐私);
- (理论上),发布的数据范围应遵守法律,而不是PR决定;
- 获得的数据比高级统计数据与个人更相关;
- 所获得的数据对于个人用户而言更具可操作性;
- 分析目标数据的动力将来自人群的智慧,而不是扎克伯格(阅读:无)或政客(阅读:缓慢)。
在取得初步成功(不幸的是,工具制造商尚未获得)之后,我于2017年2月左右开始向Facebook询问多个其他问题。 例如,这些涉及:
- 访问Facebook相似受众群体数据(以及在政治背景下进行此类剖析的法律依据);
- 拥有我的联系信息,以及更精细地访问此类数据的广告商的完整列表;
- 访问Facebook自定义受众数据;
- 访问Facebook Pixel数据。
我已经撰写了一份摘要,概述了Facebook可能实际要问的问题,以及如何在这里进行(此列表当然受我自己的想象力限制,如果您有其他想法,请与我们联系)。
在每种情况下,我都设法让Facebook参与了他们关于披露的法律义务的漫长讨论,但最终我的所有请求均被驳回。
Privacy Shield是涵盖欧洲和美国之间个人数据传输的法律工具。 我针对2017年2月至2017年4月之间的所有这些拒绝提出了Privacy Shield上诉。
2017年4月21日,TRUSTe突然驳回了我所有的上诉。
TRUSTe应该是“隐私盾”安排的独立仲裁人。 他们在解雇时使用的语言(“ TRUSTe和Facebook进行了进一步审查”)表明TRUSTe与Facebook分别进行了协商,以评估自己的权限来协助每个请求。 另一方面,TRUSTe从来没有问过我为什么会认为TRUSTe会拥有这样的权限,而TRUSTe显然在我有机会之前就关了门。
我仍然认为他们拥有该权限,例如,在非北美广告商上载用户联系信息但从未被提供过表达意见的机会的情况下。 有趣的是,我认为此权限的扩展与用户本身的出身无关 。 换句话说,如果俄罗斯人确实将他们的数据上传到了爱尔兰的Facebook以便在Facebook Inc.的平台上定位,那么这种基于美国的工具也将向美国人开放。
另一个求助机制是爱尔兰数据保护专员,因为Facebook的欧洲总部在那里(也适用于我居住的瑞士)。
由于我不同意Facebook关于我的要求的决定,因此我同时要求爱尔兰数据保护专员查看两个具体示例:Facebook Pixel数据和Facebook Custom Audiences数据。 这些上诉在2017年1月迅速启动,但爱尔兰DPC拒绝考虑此事的实质,直到Facebook确实明确拒绝为止。 换句话说,爱尔兰DPC认为Facebook的义务是仅要求他们回答我的询问并尽可能延后此事。 Facebook在几个月内一直非常成功地做到了这一点,直到2017年夏季。然后:
- 在2017年9月18日,我能够与爱尔兰DPC再次提出此事。
- 2017年10月18日,我没有收到爱尔兰DPC的任何回应(甚至没有回信),我再次询问。
- 2017年10月19日,我被告知:“爱尔兰DPC数据保护专员办公室已询问Facebook使用此[豁免],目前正在等待Facebook的回应。”“该办公室将与[我联系],只要Facebook做出回应”。
- 2017年12月14日,我没有收到任何回复,但再次询问了爱尔兰DPC。
- 2017年12月18日,我被告知“数据保护专员办公室目前正在评估Facebook的回应”。 我立即问我是否至少可以看到这种回应,以及评估需要多长时间。
- 没有收到回复,我要求在2018年1月2日进行更新。
- 2018年1月4日,我被告知爱尔兰DPC仍在确定全部事实,根据爱尔兰DPC的政策,我不会获得Facebook回应的副本。 我还被告知,“此事已引起DPC的充分注意,一旦确定并评估了相关事实,[它将]为[我]提供最新信息”。
- 2018年2月9日,我仍未进行任何更新,我再次要求爱尔兰DPC进行更新,指出最近的事态发展日益增加了回应的紧迫性。
请注意,我的最初请求涉及向爱尔兰DPC进行结构化的演示,以与Facebook进行所有相关的交流。 所有这些交换都在两个电子邮件线程内进行。 因此,地球上最大的公司之一不需要花费数月的时间就可以确定与我的要求本身相关的事实。 我的理解是,数据流本身已经产生了这些延迟,或者只是在映射它们或阐明其法律依据方面。 请注意,尽管有大量关于该主题的公开信息(主要是通过Max Schrems的举动),但我从未对这两种方法(与“隐私盾”仲裁员或与爱尔兰DPC)提供自己的见解。
即使我已设法(有点勉强地)与爱尔兰DPC进行了接触,但我的投诉现在仍在以爱尔兰DPC和Facebook本身规定的速度向前发展。 尽管我全力推动这一问题,但到目前为止,整个数据保护法对我(和其他人)毫无用处,因为没有任何资金可用于民事诉讼程序。
保罗·奥利维尔·德海(Paul-Olivier Dehaye)是 PersonalData.IO的 联合创始人 ,该公司是一家通过围绕GDPR构建创新产品来帮助个人重新控制其个人数据的公司。 PersonalData.IO还为公司提供合规解决方案,业务创新和咨询服务,并为教育工作者,监管者和新闻工作者提供专家建议。
