0
1月22日,法国监管机构对Google开出了首笔GDPR罚款,金额达5000万欧元(约5700万美元)——这是自2018年GDPR法规生效以来首次对美国科技巨头实施的重大处罚。
而处罚的根本原因是:Google未向Android用户正确披露其数据如何被收集,并向用户违法推送个性化广告。
起底Google如何犯错
事情起源
CNIL是法国国家信息与通信委员会(法国数据保护监管机构),其官网给出了一个信息点。2018年5月25日和28日,CNIL收到了无业务组织(NOYB)和维权组织La Quadrature du Net(LQDN)的团体投诉。LQDN被10000人强制要求将“此事”提交给CNIL。
这两起投诉均指责Google没有有效的法律依据来处理其服务用户的个人数据,特别是出于广告个性化目的。
CNIL官网的“罚款通知”
CNIL处理投诉
CNIL立即开始调查投诉。2018 年6 月1 日,根据GDPR中规定的欧洲合作条款,CNIL向欧洲同行发送了这两项投诉,以评估其是否有权处理这次事件。这里要注意的是,GDPR建立了一站式服务机制,规定在欧盟设立的企业组织只应有一个对话者,这个对话者就是该组织所在国的数据保护监管机构(DPA)。
由于Google在欧洲的总部在爱尔兰,因此当法国想要调查这件事,就必然涉及到跨境处理的问题,也意味着要协调其他数据保护机构之间的合作。
但是实际上,由于Google爱尔兰总部对Android操作系统和Google提供的有关在创建账户期间提供的服务处理操作没有任何决策权,因此该国的数据保护监管机构就没办法处理这件事,也就意味着一站式服务机制在此时不适用——CNIL有权就Google在手机中进行的处理操作做出任何处罚决定。
2018年9月,CNIL再度启动线上调查,目的是通过分析用户的浏览模式,验证Google实施的处理操作是否符合法国数据保护法和GDPR。
CNIL观察到的违规行为
CNIL在检查过程中,发现Google在两个关键领域违反了新的隐私规则。
第一,违反透明度和信息的义务,用户无法轻易访问Google提供的信息。
具体是怎样的呢?当用户在登陆Google时,基于个性化的广告会轮番出现在页面上,用户为了进入下一个步骤,必须多次点击按钮和链接(5-6次),才能访问相关信息。此外,某些用户数据没有提供有关保留期的信息。这实际上意味着,如果用户不被动接受广告,服务将无法提供(貌似国内很多软件都这样)。
第二,违反了为广告个性化处理提供法律依据的义务。
尽管Google表示它获得了用户同意才去处理数据,以进行广告个性化的操作。但是,CNIL认为,由于两个原因,Google方面无法“有效”获得同意。
首先,用户的“同意”并未充分了解情况。比如Google对广告进行了稀释操作,打散在Google搜索、You tube、Google主页、Google地图、Playstore、Google图片中,个人信息在多个文件中被过度传播(预计20个)。
其次,用户的“同意”既不是具体的也不是明确的。创建帐户后,用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项,在“创建帐户”按钮上方访问。实际上,用户不仅必须点击“更多选项”按钮来访问配置,而且还预先勾选了广告个性化的显示。但是,根据GDPR的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。最后,在创建帐户之前,要求用户勾选“ 我同意Google的服务条款 ”框 和“ 我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程。
CNIL认为GDPR没有受到尊重,因为GDPR规定,只有在为每个目的明确给出同意时,同意才是“具体的”。
5000万欧元罚款怎么开出来的?
这次的罚款之所以引发广泛关注,不仅在于被罚的主体是世界性的互联网巨头Google,更在于其是以严格著称的GOPR自诞生以来的最大罚款。雷锋网了解到,此前GDPR发起多次小数额罚款:
2018年12月,一家葡萄牙医院在其工作人员使用虚假帐户访问患者记录后被罚款40万欧元;
2018年11月,德国社交媒体因用纯文本存储社交媒体密码而被罚款20000欧元;
2018年10月,奥地利的一家当地企业因拍摄公共空间的安全摄像头而被罚款4800欧元。
CNIL的这次尝鲜,让GDPR获得了广泛的效力。CNIL认为,这次决定的罚金以及对罚款的宣传都是合理的,并给出了以下几点理由:
这不是Google一次性违反GDPR,而是持续性的、长时间的;
处罚的目的在于要求Google实现用户控制自己信息数据的权利,充分告知用户风险,允许用户进行有效同意;
考虑到了Android操作系统在法国市场上的重要地位,成千上万的法国人每天都会在使用智能手机时创建一个Google帐户,影响很大;
Google公司的盈利模式是侧重在广告,因此基于广告个性化的罚款也是理所应当。
GDPR开启对硅谷巨头的审查?
据了解,GDPR在2018年5月正式实施,引入了更严格的处理和存储个人数据的规则。其目的是迫使像Google这样的大型科技公司彻底改革其用户隐私政策,基于欧盟的规则要求公司充分披露他们对所收集的数据所做的工作,为其用户提供对其信息的更多控制权,并且必须在72小时内报告数据泄露事件。
来自法国的这次罚款,可能意味着GDPR对硅谷巨头严厉审查的开启,毕竟在此前,欧盟已经对苹果公司的税务行为进行了处罚,对Facebook进行了多次隐私丑闻的调查,对Google安卓系统涉嫌垄断开出过43.4亿欧元天价罚款。
现在,Google在欧洲吃了GDPR的“当头棒”,迫使其他硅谷同行们要重新考虑自己的冒险行为了。
华盛顿邮报认为,来自欧洲的GDPR实际上制定出了全球的隐私规则,而美国则缺乏类似的、总体的联邦消费者隐私法,这意味着欧洲成为了当下事实上的世界隐私警察。
美国团体:“我们也要这么强的法律”!
对于这次处罚,当初发起投诉的非营利组织NOYB(无业务组织)的负责人Max Schrems说:“我们非常高兴欧洲数据保护机构首次利用GDPR的可能性来惩罚明显的违法行为。重要的是,仅仅声称合规是不够的。”
而发起投诉的另一个团体La Quadrature du Net则认为,这个罚款与Google的年营业额相比“非常之少”。他们希望监管机构尽快回应针对Google的其他投诉,以便做出最高47亿美元的罚款。
Google在2018年Q3赚了337.4亿美元
作为回应,Google表示正在“研究决定我们下一步的决定”,并补充道:“人们期望我们能够实现高标准的透明度和控制力。我们坚定地致力于满足这些期望和GDPR的要求。“
对于这笔罚款,Google没有正面回答接受还是不接受。
而雷锋网也观察到,FTC作为美国最重要的隐私和安全监管机构,多年来未能对科技公司采取行动。而眼下,美国消费者权益倡导者们正在强烈鼓励美国立法者们跟随欧洲的这一脚步。
另外还值得一提的是,前脚GDPR罚款一出,日本后脚就跟上,有意考虑修订法律,以便对Google、苹果、Facebook和亚马逊等海外科技巨头实施“通信保密”规定。此前,印度数据本地化运动遭遇了硅谷巨头的强烈抵抗。
谷歌“犯错”,谁会是下一个?(雷锋网)
雷峰网原创文章,未经授权禁止转载。详情见转载须知。