微软因向未成年人设备植入追踪Cookie 遭奥地利监管机构裁定违法

据DataGuidance报道，奥地利数据保护机构（DSB）作出裁决，认定微软公司在未经同意的情况下，向使用Microsoft 365教育版的未成年学生设备非法植入追踪Cookie，该行为已构成违法。这是总部位于奥地利的数字隐私活动组织“不关你的事”（noyb）在相关案件中取得的又一胜诉。

根据微软官方文档，涉事Cookie的用途包括分析用户行为、收集浏览器数据，进而为广告投放提供支持。DSB已责令微软在四周内停止对该投诉学生的追踪行为。值得关注的是，涉事学校及奥地利教育部均表示，在noyb提出投诉前，并未知晓这些追踪Cookie的存在。

此次裁决源于noyb在2024年提出的相关调查请求。该组织当时要求奥地利数据保护机构核查Microsoft 365教育版是否违反《通用数据保护条例》（GDPR）的透明度条款，指出微软将数据保护义务转嫁给使用其系统的学校，且未保障数据主体查阅自身数据的权利，即便通过微软的隐私文档、查阅请求及noyb自身研究，也无法完全厘清该教育版软件究竟在处理哪些儿童数据。

事实上，这并非微软首次在相关案件中败诉。去年10月，DSB就曾裁定微软通过365教育平台“非法”追踪学生，并试图将数据查阅请求的责任推卸给当地学校，同时责令其提供完整的数据传输信息，且对“内部报告”“业务建模”“核心功能改进”等术语作出清晰解释。

针对此次最新裁决，微软发言人回应称，Microsoft 365教育版符合所有必要的数据保护标准，教育机构可继续依据GDPR合规使用，公司正在研究该裁决，并将适时决定后续措施。

noyb数据保护律师费利克斯·米科拉施在声明中强调，对未成年人进行追踪显然不符合隐私保护原则，微软似乎并未真正重视隐私保护，相关举措更多是出于营销和公关宣传目的。