CJEU 裁定解釋關於 IAB TCF 框架中「個人資料」和「共同控制者」

歐盟法院於3月7日裁定，IAB Europe對「透明和同意框架」（Transparency & Consent Framework, TCF）負有責任。TCF是網路廣告業常用的同意管理系統，但已被歐盟資料保護機構認定違反GDPR。

歐盟法院發現：

1. 從IAB Europe的角度來看，當TC字串能與其他識別碼（例如IP位址）進行「連結」（關聯）時，該字串即構成個人資料。
2. 關於共同控制權：

• 若IAB Europe就TCF參與者處理同意相關個人資料的方式制定技術規格和規則，則其將被視為共同控制者。
• 然而，IAB Europe 並不必然延伸到 IAB 成員對此類資料的後續使用。

此裁決對網路追蹤和廣告業造成深遠影響，迫使諸如Google等巨頭承擔責任，並可能終結「史上最大規模的垃圾郵件操作」。