Disqus 因违反 GDPR 许可规则被罚款250万欧元
UniConsent
9 min read
近期,知名评论系统 Disqus(隶属于美国 Zeta Global)备受挪威数据保护机构指责,原因是其违反规定并未遵守 GDPR(通用数据保护条例),并在未经用户许可的情况下使用网页追踪 ID 收集网站访客的数据。
Disqus 因违反 GDPR 规定和网页追踪被罚款250万欧元
2021年5月2日,挪威数据保护机构(Datatilsynet)通知 Disqus,他们打算对其罚款约250万欧元,因其未能遵守 GDPR 相关的问责、合法性和透明度要求。
Disqus 是一个评论系统,网站所有者可以在自己的网站上(例如文章下方或文档下方)渲染一个完全托管的评论区。它是一个面向在线出版商的公共评论分享平台,并提供内容审核工具。Disqus 向已安装该系统的网站提供评论功能,但由于在未经适当同意的情况下追踪访问者(通过使用 cookies 和追踪 ID 实现),他们曾因此被罚款。
由于 Disqus 评论系统是通过插件安装的,设置起来很简单,但 Disqus 在未经用户适当同意的情况下收集了追踪 cookie 和个人数据,并将这些数据跨域传输给第三方广告合作伙伴,而 GDPR 对此有严格的同意要求。
这些数据也会传至其母公司 Zeta Group,包括用户 IP 地址、浏览器数据、Cookie ID 等。最初是挪威广播公司曝光了 Disqus 的违规行为。尽管这些数据本身不违法,但必须获得用户明确同意。
挪威 DPA 调查后发现,Disqus 通过网页追踪工具处理了用户的个人数据,分析并建立用户画像,并且在未获得用户同意的情况下,将用户数据传输给第三方广告合作伙伴。这些行为都属于 GDPR 的监管范围,而 Disqus 处理用户数据的方式并没有任何合法依据。此外,调查还发现 Disqus 并未向用户提供其数据处理的任何通知,而这也是 GDPR 的要求之一。
在与 Disqus 的母公司联系后,他们确认在挪威没有使用符合 GDPR 的评论系统版本,因为 Zeta Global 认为挪威不在 GDPR 的适用范围内,因为挪威不是欧盟成员国,所以他们认为法律不适用于该地区 —— 这反映了当前对于 GDPR 适用范围的诸多混淆,以及公司在认知不足的情况下可能会面临约 250 万欧元罚款的现实。
根据 GDPR 法律,公司有责任确保他们在尊重用户隐私和隐私法规方面收集数据。即使他们在欧洲没有实体存在,也必须遵循 GDPR 管辖范围内的数据收集要求和法律。
Disqus 表示,因为他们在挪威没有“任何业务运营”,并且他们并不知道自己已经收集了涉及挪威个人的数据。然而,挪威数据保护局发现,Disqus 符合 GDPR 法律的适用条件,因为 Disqus 通过挪威国家顶级域名提供评论系统,并且设置了可在不同域名之间追踪用户的 Cookie,而这些都未经用户同意。Disqus 辩称 Cookie ID 并不是个人信息,但根据 GDPR 的规定,它们被视为个人信息,因为Cookie ID 可以用于跟踪用户在网站和域上的每一步行为,因此被视为用户的个人数据。GDPR 明确确认在线标识符构成个人数据。
Disqus 声称他们对用户数据的滥用不知情,但作为处理所述数据的公司,他们有责任确保在适用的隐私法规(如 GDPR )下处理数据。监管机构断定 Disqus 有过错,他们未能证明其行为的合法性,也未能采取行动,履行合规责任,证明其符合 GDPR 要求。违反了问责原则,侵犯了成千上万用户的隐私。
由于Disqus未向用户提供数据处理声明,大多数受到数据滥用影响的用户根本不知道他们正在被追踪和画像。因此,用户无法判断自己是否愿意接受 Disqus 的追踪与画像。
至于挪威数据保护局采取的进一步法律行动,他们确认 Disqus 至少应该向用户提供有关他们的数据如何被处理的信息。调查发现,Disqus 在其评论系统中收集和追踪用户数据的做法没有任何法律依据。
GDPR 监管机构确定,由于 Disqus 的行为,收集到的大部分数据可能已经影响了成千上万用户的言论自由和信息自由的权利。由于数据的收集是缺乏有效同意的,该数据被视为系统性违规。挪威数据保护局还确认 Disqus 从系统中删除了相关数据,但由于数据已经被馈送到他们使用的监控和分析工具中,成为在线行为广告生态系统的一部分,损害已经造成。
监管机构认定所收集的数据高度隐私且敏感,因为对用户在线阅读行为的处理,通过长时间的追踪和分析,可能揭示个人诸多信息,例如政治观点。由此可见,用户同意的控制权极易丧失,且隐私可能受到严重损害。企业必须审慎考虑所收集的所有数据,判断是否违反了任何法律或法规。
目前,Disqus 必须在2021年5月31日之前做出回应。挪威数据保护局将在评估 Disqus 的回应后确认其决定,然后才会采取进一步的法律行动。
作为已安装 Disqus 的发布者该怎么办?
已安装评论系统 Disqus 的发布者可以使用 UniConsent CMP 等同意管理平台来管理用户同意,以符合 GDPR 的要求。只有在用户同意后才加载 Disqus 标签并向 Disqus 发送数据。
关于 UniConsent
UniConsent 是Transfon 隐私优先的用户体验平台的一部分,每天为数千万用户提供服务,旨在在后 GDPR 时代为用户和发布者提供无缝的隐私体验。欢迎通过邮件联系我们了解更多信息:hello@uniconsent.com
Leading Consent Management Platform
Compliant with GDPR, CCPA, COPPA, LGPD, PECR, PDPA, PIPEDA, and more.
Activate Google Consent Mode UniConsent to enhance the accuracy of your Google Analytics and Google Ads conversion data.
Set up Google Consent Mode →开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册意见征求管理平台资源
开始使您的网站和应用符合欧盟 GDPR、美国 CPRA、加拿大 PIPEDA 等法规
注册