奥地利数据保护机构(DSB)近日作出重要裁决,认定美国科技巨头微软在未获用户同意的情况下,向一名在校学生的设备非法安装追踪Cookie,构成违反《通用数据保护条例》(GDPR)的行为。这是继去年十月首次胜诉后,奥地利数字隐私组织"不关你的事"(noyb)在该案中取得的又一重要进展。 根据调查,微软在Microsoft 365教育版的使用过程中,向未成年用户设备植入的追踪Cookie主要用于分析用户行为、收集浏览器数据,并为广告投放提供支持。这些追踪行为在学校、教育部门和学生家长均不知情的情况下进行,引发了对未成年人隐私保护的严重关切。 问题的根源可以追溯到新冠疫情期间。当时,全球教育机构紧急转向线上教学模式,大量采用Microsoft 365教育版、Google Workspace教育版等云端协作工具。在这个背景下,微软的教育平台得到了广泛应用,但其数据处理方式的透明度和合规性问题逐渐浮现。 隐私组织noyb在2024年向奥地利数据保护机构提出投诉,要求对Microsoft 365教育版是否违反GDPR透明度条款进行调查。调查发现,微软存在多项问题:一是未能清晰说明平台究竟在处理哪些儿童数据;二是将数据保护义务转嫁给使用其系统的学校,试图推卸自身责任;三是未能充分保障数据主体查阅自身数据的权利。 涉事学校及奥地利教育部门的态度值得关注。他们均表示在隐私组织提出投诉之前,完全不知晓这些追踪Cookie的存在。这反映出一个现实问题:教育机构在采用第三方云服务时,往往缺乏对数据处理细节的充分了解和有效监督。微软通过复杂的技术手段和模糊的隐私政策,使得学校管理者难以准确掌握学生数据的流向和使用方式。 noyb的数据保护律师费利克斯·米科拉施在声明中指出,对未成年人进行追踪明显违反隐私保护原则,并质疑微软对隐私的真实态度。这一评价触及了问题的核心:在商业利益驱动下,科技企业是否真正将用户隐私保护放在首位。 奥地利数据保护机构的裁决具有明确的约束力。机构责令微软在四周内停止对投诉人的追踪行为,同时要求其提供完整的数据传输信息,并对"内部报告""业务建模""核心功能改进"等术语作出清晰解释。这些措施旨在增强平台运营的透明度,保护未成年用户的基本权益。 对于裁决——微软发言人回应称——Microsoft 365教育版符合所有必要的数据保护标准,教育机构可继续依据GDPR合规使用。微软表示正在研究这一裁决,并将适时决定后续措施。然而,这一回应并未直接回应关于追踪Cookie的具体指控,也未说明微软将如何改进其数据处理实践。 这一案件的影响范围值得重视。全球许多教育机构都在使用Microsoft 365教育版,类似的数据保护问题可能具有普遍性。奥地利的裁决为其他国家和地区的监管机构提供了参考,也为教育机构如何更好地保护学生数据提出了新的要求。
数字化教育快速发展之际,科技公司需要平衡技术创新与隐私保护。奥地利此次裁决不仅是对微软的问责,更提醒整个行业:数据隐私是不可逾越的法律和道德底线。