Disqus因违反GDPR同意规则被罚款250万欧元

作为已安装Disqus的发布者该怎么办？
关于UniConsent

作为已安装Disqus的发布者该怎么办？
关于UniConsent

近期，由Zeta Global拥有的美国公司Disqus备受挪威数据保护机构指责，原因是其违反规定并未遵守GDPR（通用数据保护条例），并在未经用户同意的情况下使用网页追踪ID收集网站访客的数据。

Disqus因违反GDPR规定和网页追踪被罚款250万欧元

2021年5月2日，挪威数据保护机构（Datatilsynet）通知Disqus，他们打算对其罚款约250万欧元，因未能遵守GDPR相关的问责、合法性和透明度要求。

Disqus是一个网页评论系统，由网站所有者使用，可在其网站上呈现完全托管的评论部分，例如在文章下或文档下。它是一款为在线发布商提供的公共评论共享平台，配备有审查工具。Disqus提供的评论系统会加载到已安装的网站上，并因未经用户同意而被罚款，其追踪访问者的行为是通过使用Cookie和追踪ID完成的。

由于Disqus评论系统是通过插件安装的，因此很容易设置，Disqus正在收集追踪Cookie、个人数据并将这些数据传递到第三方广告合作伙伴的域和其他域，而用户未经适当同意，这是GDPR严格要求的。

所收集的数据还会传递到其母公司Zeta Group，用户必须同意此数据传输。收集的个人数据包括用户的IP地址、浏览器数据和Cookie ID。挪威广播公司首次发现了Disqus的错误，并发布了描述其活动的新闻文章。虽然他们收集的数据不是非法的，但必须首先获得用户的明确许可。

德国数据保护局（DPA）进行的调查显示，美国公司Disqus通过网络追踪工具处理了个人用户数据，对收集的数据进行分析和用户画像，并将用户数据转移到第三方广告合作伙伴，而未经过任何用户同意。所有这些行为均属于GDPR的范畴，并且在处理用户数据的方式上没有合法依据。Disqus也被发现没有向用户提供任何关于其数据处理的通知，而这在GDPR下是一项要求。

在与Disqus的母公司联系后，他们确认在挪威没有使用符合GDPR的评论系统版本，因为Zeta Global认为挪威不在GDPR的适用范围内，因为挪威不是欧盟成员国，所以他们认为法律不适用于该地区 - 这引发了对GDPR实际范围以及公司对可能面临高达250万欧元罚款的了解程度的一些混淆。

根据GDPR法律，公司有责任确保他们在尊重用户隐私和隐私法规方面收集数据。即使他们在欧洲没有实体存在，也必须遵循GDPR管辖范围内的数据收集要求和法律。

Disqus表示，因为他们在挪威没有“任何业务运营”，并且他们并不知道自己已经收集了涉及挪威个人的数据。然而，挪威数据保护局发现，Disqus符合GDPR法律的标准，因为Disqus通过挪威国家顶级域名提供评论系统，并且他们提供的Cookie可以用于跨域跟踪用户而无需获得许可。Disqus辩称Cookie ID并不是个人信息，但根据GDPR的规定，它们被视为个人信息，因为Cookie ID可以用于跟踪用户在网站和域上的每一步行为，因此被视为用户的个人数据。GDPR明确确认在线标识符构成个人数据。

Disqus声称他们对用户数据的滥用不知情，但作为处理所述数据的公司，他们有责任确保在适用的隐私法规（如GDPR）下处理数据。监管机构断定Disqus有过错，他们未能证明其行为的合法性，未能采取行动并展示遵守和证明GDPR合规性的责任，违反了问责原则，侵犯了成千上万用户的隐私。

由于Disqus还未向用户提供数据处理声明，大多数受到数据滥用影响的用户根本不知道他们正在被追踪和建档。因此，用户无法评估他们是否愿意接受Disqus的追踪和建档。

至于挪威数据保护局采取的进一步法律行动，他们确认Disqus至少应该向用户提供有关他们的数据如何被处理的信息。Disqus被发现在其评论系统中收集和追踪数据的方式没有法律依据。

GDPR监管机构确定由于Disqus的行为，收集到的大部分数据可能已经影响了成千上万用户有关言论自由和信息自由的权利。由于数据的收集是没有有效同意的，该数据被视为系统性违规。Datatilsynet还确认Disqus从系统中删除了相关数据，但由于数据已经被馈送到他们使用的监控和分析工具中，成为在线行为广告生态系统的一部分，损害已经造成。

监管机构认为，由于在线阅读活动的处理可能会通过跟踪和分析随时间的推移透露个体的很多信息，因此收集的数据非常私密和敏感。您可以看到很容易失去对用户同意的控制并对隐私造成损害。重要的是考虑公司收集的所有数据，看看是否违反了任何法律或法规。

目前，Disqus必须在2021年5月31日之前做出回应，然后挪威数据保护局将在评估Disqus的任何回应后确认其决定，之后才会采取进一步的法律行动。