当地时间1月21日,法国数据保护监管机构——国家信息与自由委员会(CNIL)宣布,对谷歌处以高达5000万欧元的罚款。据悉,这是欧盟《一般数据保护条例》(GDPR)生效以来,监管机构依据GDPR开出的最高金额罚单。
CNIL调查后认为,谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意”,并开具了5000万欧元的罚单。新华社资料图
这项针对谷歌的调查源于CNIL早在GDPR生效三天内收到的两起集体诉讼,分别来自None Of Your Business(NOYB)和La Quadrature du Net(LQDN)两个机构。他们指出,谷歌缺乏有效的法律依据来处理用户的个人数据,尤其在被用于个性化广告时。
CNIL调查后认为,谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意”,并开具了5000万欧元的罚单。
2处违规:信息披露不完整、未充分告知用户
谷歌的欧洲总部位于爱尔兰。按照GDPR的相关规定,这两起诉讼本应由爱尔兰的数据监管机构(DPA)受理。但是,彼时爱尔兰DPA对安卓用户的数据处理尚不具决策权。因此,对谷歌的处理权就回到了CNIL手里。
经过3个多月调查,CNIL认为,谷歌有两处违反了GDPR:一是未满足透明度和信息披露的相关要求,二是未尽到为个性化广告提供法律依据的义务。
第一处主要表现在谷歌提供的相关信息对用户不够友好,以及表述不够清晰完整。
比如数据用途、存储时限、个性化广告所需的个人数据类型等重要条款分散在不同的文件里,有时甚至需要跳转5、6次才能看全;在对数据用途和类型的表述上,谷歌的用语含糊不清,导致用户难以获知谷歌是否将用户许可作为个性化广告的法律依据。
第二处则表现为用户没有得到充分告知。以“个性化广告”段落为例,用户从文本中无法充分了解数据处理过程中可能涉及到其他产品,如谷歌搜索、Youtube、谷歌地图等。
此外,在谷歌的注册页面,个性化广告的选项是默认勾选的,而用户只有勾选了所有协议之后才能成功注册,谷歌有强制一揽子同意的嫌疑,与GDPR要求的“明示同意”相悖。
基于GDPR的三大要素——透明度、信息披露和明示同意,并综合考虑违规的严重性,CNIL最终对谷歌处以5000万的高额罚款。这是CNIL首次依据GDPR开出的罚单。
CNIL表示,截至目前,谷歌的这些违规操作依然存在,而每天有上千个法国人注册谷歌账号,造成的危害无疑是巨大且持续的。
截至目前,依据GDPR开出的罚单全球共有4例
CNIL公布处罚结果后,谷歌迅速发表声明称,“人们对我们在提供高标准的透明度和数据控制力方面有很高期望,我们一直致力于满足这些期望并达到GDPR的要求。目前我们正在研究这份裁决,以决定下一步行动。”
提起诉讼的机构之一NOYB的创始人Max Schrems得知谷歌被罚的消息后,也迅速发表了声明,称自己“非常开心”。“我们发现了像谷歌这样的大型企业只是简单地以‘理解不同’为由,让自己的产品在表面上合规”,他说,“我是一名律师,可我还是读不懂他们会怎么使用我的个人数据”。
据隐私护卫队统计,截至目前,依据GDPR开出的罚单仅有四例,且罚款金额呈成倍上升趋势:
去年10月,一家奥地利的当地企业因安装的摄像头拍到了公共场所,被罚4800欧元;
去年11月,一家德国社交平台因将用户的账号密码以未加密的文本方式存储,被罚2万欧元;
去年12月,一家葡萄牙医院因工作人员用虚假账号登录查看患者病历,被罚40万欧元;
今年1月,谷歌因在个性化广告方面缺乏透明度,信息提供不充分,且未获得用户的有效同意,被罚5000万欧元。
尽管5000万已经是GDPR生效以来的最高罚款金额,但仍然远远低于GDPR的顶格罚款金额——全球营收的4%。对于谷歌来说,这个数额将高达40亿美元。
隐私护卫队了解到,除了谷歌之外,NOYB和LQDN的诉讼对象还有另外一位互联网巨头——Facebook。据媒体估算,按照当时Facebook的营收计算,罚款最高可能达到39亿欧元。事实上,欧盟多个数据保护监管机构均已启动了对Facebook的调查,结果尚未公布。
