當地時間1月21日,法國數據保護監管機構——國家信息與自由委員會(CNIL)宣佈,對谷歌處以高達5000萬歐元的罰款。據悉,這是歐盟《一般數據保護條例》(GDPR)生效以來,監管機構依據GDPR開出的最高金額罰單。
CNIL調查後認為,谷歌在個性化廣告方面“缺乏透明度,信息提供不充分,且未獲得用戶的有效同意”,並開具了5000萬歐元的罰單。新華社資料圖
這項針對谷歌的調查源於CNIL早在GDPR生效三天內收到的兩起集體訴訟,分別來自None Of Your Business(NOYB)和La Quadrature du Net(LQDN)兩個機構。他們指出,谷歌缺乏有效的法律依據來處理用戶的個人數據,尤其在被用於個性化廣告時。
CNIL調查後認為,谷歌在個性化廣告方面“缺乏透明度,信息提供不充分,且未獲得用戶的有效同意”,並開具了5000萬歐元的罰單。
2處違規:信息披露不完整、未充分告知用戶
谷歌的歐洲總部位於愛爾蘭。按照GDPR的相關規定,這兩起訴訟本應由愛爾蘭的數據監管機構(DPA)受理。但是,彼時愛爾蘭DPA對安卓用戶的數據處理尚不具決策權。因此,對谷歌的處理權就回到了CNIL手裡。
經過3個多月調查,CNIL認為,谷歌有兩處違反了GDPR:一是未滿足透明度和信息披露的相關要求,二是未盡到為個性化廣告提供法律依據的義務。
第一處主要表現在谷歌提供的相關信息對用戶不夠友好,以及表述不夠清晰完整。
比如數據用途、存儲時限、個性化廣告所需的個人數據類型等重要條款分散在不同的文件裡,有時甚至需要跳轉5、6次才能看全;在對數據用途和類型的表述上,谷歌的用語含糊不清,導致用戶難以獲知谷歌是否將用戶許可作為個性化廣告的法律依據。
第二處則表現為用戶沒有得到充分告知。以“個性化廣告”段落為例,用戶從文本中無法充分了解數據處理過程中可能涉及到其他產品,如谷歌搜索、Youtube、谷歌地圖等。
此外,在谷歌的註冊頁面,個性化廣告的選項是默認勾選的,而用戶只有勾選了所有協議之後才能成功註冊,谷歌有強制一攬子同意的嫌疑,與GDPR要求的“明示同意”相悖。
基於GDPR的三大要素——透明度、信息披露和明示同意,並綜合考慮違規的嚴重性,CNIL最終對谷歌處以5000萬的高額罰款。這是CNIL首次依據GDPR開出的罰單。
CNIL表示,截至目前,谷歌的這些違規操作依然存在,而每天有上千個法國人註冊谷歌賬號,造成的危害無疑是巨大且持續的。
截至目前,依據GDPR開出的罰單全球共有4例
CNIL公佈處罰結果後,谷歌迅速發表聲明稱,“人們對我們在提供高標準的透明度和數據控制力方面有很高期望,我們一直致力於滿足這些期望並達到GDPR的要求。目前我們正在研究這份裁決,以決定下一步行動。”
提起訴訟的機構之一NOYB的創始人Max Schrems得知谷歌被罰的消息後,也迅速發表了聲明,稱自己“非常開心”。“我們發現了像谷歌這樣的大型企業只是簡單地以‘理解不同’為由,讓自己的產品在表面上合規”,他說,“我是一名律師,可我還是讀不懂他們會怎麼使用我的個人數據”。
據隱私護衛隊統計,截至目前,依據GDPR開出的罰單僅有四例,且罰款金額呈成倍上升趨勢:
去年10月,一家奧地利的當地企業因安裝的攝像頭拍到了公共場所,被罰4800歐元;
去年11月,一家德國社交平臺因將用戶的賬號密碼以未加密的文本方式存儲,被罰2萬歐元;
去年12月,一家葡萄牙醫院因工作人員用虛假賬號登錄查看患者病歷,被罰40萬歐元;
今年1月,谷歌因在個性化廣告方面缺乏透明度,信息提供不充分,且未獲得用戶的有效同意,被罰5000萬歐元。
儘管5000萬已經是GDPR生效以來的最高罰款金額,但仍然遠遠低於GDPR的頂格罰款金額——全球營收的4%。對於谷歌來說,這個數額將高達40億美元。
隱私護衛隊瞭解到,除了谷歌之外,NOYB和LQDN的訴訟對象還有另外一位互聯網巨頭——Facebook。據媒體估算,按照當時Facebook的營收計算,罰款最高可能達到39億歐元。事實上,歐盟多個數據保護監管機構均已啟動了對Facebook的調查,結果尚未公佈。
