Katharine Kemp博士是新南威尔士大学悉尼分校法学院高级讲师,洛约拉大学芝加哥消费者反垄断研究所非常驻研究员。
许多公司并不只是在消费者购买商品或注册成为用户时直接收集他们的个人数据。相反,他们会通过其他零售商、数据经纪人和忠诚度计划来获取客户的额外信息,比如他们的年龄范围、收入、婚姻状况、健康状况以及是否有孩子。广告业称之为“数据丰富”。
这些公司可以直接向客户询问这些细节,但他们可能意识到大多数客户会拒绝。所以他们从幕后的第三方那里收集这些额外的数据,而不给客户选择退出的机会。然后,他们可以使用这些数据来分析客户,更精确地向他们投放广告,并可能推断出他们的弱点和漏洞。
这些公司可以直接向客户询问这些细节,但他们可能意识到大多数客户会拒绝
这种第三方收集的不同寻常之处在于,澳大利亚公司不公平地收集客户的个人信息,而是已经有一项法律规定,这种数据收集在很大程度上是非法的。只是没有得到执行。
该法律规定,组织“只能从个人那里收集个人信息”,除非这样做不合理或不切实际(我称之为“直接收集规则”)。
在一个研究论文在今天发布的文件中,我解释了为什么这种直接收集规则使得用于分析和锁定目的的大量数据在澳大利亚是非法的。我还解释了为什么我们的联邦隐私监管机构应该优先采取行动,打击非法从第三方收集个人信息的组织。
直接收集规则
直接收集规则见于联邦隐私法案中的澳大利亚隐私原则3.6(b),适用于年收入超过300万美元的大多数公司。
这条规定在成文的十年里几乎没有受到关注。没有法院考虑过这一条款,隐私监管机构也只发表过一份关于这一条款的裁决。这起案件与数据丰富行为无关,我们也不知道隐私监管机构对这些行为进行了任何调查。
当从数据经纪人那里购买信息或作为两个组织之间数据交换的一部分时,信息显然不是“仅从个人”收集的
“只向个人收取”的一般要求将在以下常见情况下得到满足:消费者填写组织的在线表格、回复他们的调查、从他们那里购买东西、使用他们的服务或与组织的代表通过电话交谈。
但是,当从数据经纪人那里购买信息或作为两个组织之间数据交换的一部分时,信息显然不仅仅是从个人那里收集的。
企业通常不会向消费者明确说明他们从第三方收集了哪些数据。
这种第三方数据收集只有在“不合理或不切实际”的例外适用的情况下才合法。这一例外旨在适用于狭窄的范围内的情况,其中可能包括有必要收集的情况:
- 防止欺诈性使用平台;或
- 更正为交付所购货物提供的地址。
“不合理或不切实际”的例外并不仅仅是因为组织希望收集更多关于客户的个人信息,但意识到客户可能会认为这一要求是侵入性的并拒绝。
谁在从第三方收集个人信息?
公司通常不会明确告诉消费者他们从第三方那里收集了哪些个人信息,也不会告诉消费者这些第三方是谁。但许多拥有庞大客户基础的公司在隐私政策的细则中,对他们从第三方收集个人信息的事实都有模糊的规定。
公司通常不会明确告诉消费者他们从第三方那里收集了哪些个人信息,也不会告诉消费者这些第三方是谁
亚马逊澳大利亚,eBay澳大利亚,谷歌,Meta, Twitter,新闻集团澳大利亚,Nine和Seven West Media是许多大型组织的第三方数据收集条款。这里有一些例子。
亚马逊澳大利亚基于兴趣的广告通知:“一些第三方可能会从线下和线上来源向我们提供有关您的假名信息(例如人口统计信息或向您展示广告的网站),我们可能会利用这些信息为您提供更相关、更有用的广告。”
澳大利亚新闻集团隐私政策:“我们可能会用其他来源的信息来补充我们收集的有关您的信息。这可能包括来自公开来源(如其他已发布内容)和数据提供商的信息,以及来自我们在澳大利亚或国际上的业务合作伙伴或相关和关联公司的信息。”
元的隐私政策该公司表示,它将从第三方收集你的信息,包括你使用的应用程序、你的购买行为、你在线上或线下如何使用第三方服务,以及你的教育水平等人口统计数据。
还有许多其他公司在他们的隐私政策中有类似的条款(我的论文摘录了许多例子),还有一些公司可能没有履行通知消费者这些做法的义务。
通常情况下,这些条款都没有具体说明公司从哪些第三方收集信息,消费者也没有任何选择退出的方式。
从第三方收集继续,即使消费者调查证据清楚地表明,大多数澳大利亚消费者:
- 将其视为数字平台从第三方收集信息的滥用信息;而且
- 考虑到公司收集与提供相关服务无关的信息是不公平的。
第三方在出售什么信息?
大多数公司都不会确切地说他们从第三方那里购买或与第三方交换了哪些个人信息。但我们可以从数据代理的广告中得到一些想法。
例如,下面是如何做到的甲骨文澳大利亚解释它为公司提供的数据丰富:
“你可能有一个数据库,里面满是注册了你的通讯或在你的网站上注册了账户的客户,但你对他们知之甚少。甲骨文的数据丰富通过在每个配置文件中添加人口统计数据,以及关于他们的购买行为的信息和关于他们的生活方式或身份的其他有用线索,提高了你对这些客户的理解……”
甲骨文澳大利亚公司向客户承诺,它可以“通过广泛的已知客户属性,再现一个真实的360度客户视图”。
甲骨文的网站提供了多种“丰富”客户数据的方法。资料来源:Oracle Australia。
益百利向客户承诺,他们可以使用其数据丰富服务:“基于人口统计、地理、金融和市场研究数据的组合——包括在线和离线数据——丰富受众数据。”
这似乎包括了家庭收入、人生阶段、子女、年龄、财富、房产类型和卧室数量、个人最近是否搬家,甚至“泳池和太阳能指标”等各种数据。
这些数据公司没有解释这种第三方收集如何遵守直接收集规则。
这种数据丰富不适合直接收集的例外
澳大利亚信息专员办公室(OAIC)已经就直接收集规则的“不合理或不切实际”的例外情况何时会得到满足给出了一些指导。它提供了在明确界定较窄的情况下例外的可能例子,例如调查非法行为或更新交付法律文件的地址。它还列出了决定何时适用例外时要考虑的因素。
鉴于OAIC指南中列出的因素,例外不应适用于针对或分析的数据丰富,原因如下:
- 组织可以直接向消费者询问他们的各种人口统计细节、兴趣等等,如果消费者愿意,他们也可以提供这些信息。
- 从个人收集不会像在欺诈调查中那样危及收集的目的。消费者可以自行决定他们希望了解哪些信息以用于分析和定位。
- 即使消费者使用“免费”数字服务,知道供应商收集和使用有关他们使用服务的信息,这也不能扩展到合理的预期,即将从数据经纪人或第三方收集远远超出相关服务的进一步数据。
- 从第三方收集信息不在消费者的合理预期范围内:调查证据表明,消费者认为这是对他们信息的滥用。组织在消费者背后这样做的事实也表明他们意识到消费者可能会反对。
- 消费者的隐私受到了侵犯,因为他们无法控制(甚至不知道)从他人那里收集的信息的确切类型,以及这些人是谁。
- 来自不同来源的信息片段的组合也增加了数据(或从中得出的推论)暴露个人弱点、弱点和其他他们不愿分享的细节的风险。
- 从个人那里获取信息所涉及的时间和成本并不会使直接收集信息“不合理或不切实际”,特别是当组织与客户有关系和/或他们的联系方式时。
- 如果直接收集信息的时间和成本过高,这可能只是表明一家与个人关系相对较小的公司收集如此多不必要的信息是不合理的。
向收集机构作出“同意”的情况也不例外
关于直接收集规则的一个关键点是,它不包含基于个人同意收集组织的例外情况。
这一点从规则的措辞中可以明显看出,政府机构获得个人同意是例外,但私人组织没有同样的例外。
组织不能依靠其隐私政策中的模糊条款来声称客户默认同意他们的第三方数据收集,从而使其合法
这意味着组织不能依靠其隐私政策中的模糊条款来声称客户默认同意他们的第三方数据收集,从而使其合法。
向披露资料的机构表示同意也不例外
同样,向收集者披露个人信息的组织在其隐私政策中有一个广泛的术语,称其将个人信息披露给“可信的合作伙伴”、“数据合作伙伴”等,这是不够的。
除了披露机构的义务外,直接收集规则还规定了收集机构的义务。虽然给予披露机构的真正同意,与收集机构只从个人处收集资料是否“不合理或不切实际”有关,但这种同意本身并不是例外。
这在很大程度上取决于收集的更广泛的情况,比如收集是否是个人为了他们的利益而主动和明确地要求的——例如,如果一个人在财产和解中要求他们的律师直接从他们的会计那里收集他们的财务信息,或者为了方便,要求他们的音乐流媒体服务从另一个音乐流媒体服务中导入他们的播放列表。
这些信息是“个人信息”
大多数组织似乎在他们的隐私条款中承认,他们从第三方收集的数据是“个人信息”,因此受到隐私法的保护。
但有些人可能会争辩说,这些信息实际上是“去识别的”(有时是“匿名的”),因此不包括在该法案中。例如,公司向消费者声称,某些做法只涉及“去识别”或“匿名”信息,即使是在在广告报刊上吹嘘关于他们能够在多大程度上跟踪单个消费者的行为。
也就是说,标有“隐私合规”的营销方法仍然可能收集和使用“个人信息”,其结果是适用《隐私法》下的义务。
结合数据
组织经常使用相同的“散列”电子邮件地址或其他唯一标识符来组合有关给定消费者的信息连接信息这些组织分别持有该消费者的信息,而不是使用他们的法定名称或电子邮件地址。(散列电子邮件地址本质上是由双方应用特定公式创建的唯一字母和数字字符串。)合并后的数据向每个相关组织透露了有关个人的更多信息。这应该被视为个人信息。
这是一个简单的步骤,可以识别到连接到散列电子邮件地址的收集数据是有关连接到组织自己数据库中相同散列电子邮件地址的个人信息。随着联邦法院裁定在解释《隐私法》下的“个人信息”概念时,“即使一条信息不是‘关于个人的’,但当与其他信息结合在一起时,它可能是关于个人的”。
行动时间
直接收集规则在实施的10年里几乎完全被忽视了——可能是因为这些数据实践是如此不透明,而公司认为他们可以辩称,这种数据共享是允许的,因为它们的隐私政策中提到了这一点。
监管机构是时候审查这些第三方数据收集行为,并对违反该法律的行为采取行动了
三年前,澳大利亚竞争与消费者委员会(ACCC)建议对隐私法进行实质性改革,以试图解决消费者与使用其个人数据的大型组织之间的信息不对称和议价能力失衡问题。消费者正在等待ACCC建议的结果。
但是,只要我们的隐私监管机构执行现有的直接收集规则,其中一些不平衡和不公正就可以立即得到解决。监管机构是时候审查这些第三方数据收集行为,并对违反该法律的行为采取行动了。
图片:盖蒂,除非另有说明。
