1 月 22 日,法国主管机构对 Google 开出首笔 GDPR 罚款,金额达 5 千万欧元(约 5.7 千万美元)──是自 2018 年 GDPR 法规生效以来首次对美国科技巨头实施的重大处罚。
处罚的根本原因是:Google 未向 Android 用户明确披露如何收集资料,并违法向用户推送个性化广告。
起底 Google 如何犯错
事情起源
CNIL 是法国国家资讯与通讯委员会(法国资料保护主管机构),官网有个资讯点。2018 年 5 月 25 日和 28 日,CNIL 收到无业务组织(NOYB)和维权组织 La Quadrature du Net(LQDN)投诉。LQDN 被 1 万人强制要求将“此事”提交 CNIL。
这两起投诉均指责 Google 没有有效的法律依据来处理服务用户的个人资料,特别是出于广告个性化目的。
▲ CNIL 官网的“罚款通知”。
CNIL 处理投诉
CNIL 立即开始调查。2018 年 6 月 1 日,根据 GDPR 规定的欧洲合作条款,CNIL 向欧洲同行传送这两项投诉,以评估是否有权处理这次事件。要注意的是,GDPR 建立了一站式服务机制,规定在欧盟设立的企业组织只应有一个对话者,这个对话者就是该组织所在国的资料保护主管机构(DPA)。
由于 Google 欧洲总部在爱尔兰,因此法国想要调查这件事,就必然涉及跨境处理,也意味着要协调其他资料保护机构之间的合作。
但实际上,由于 Google 爱尔兰总部对 Android 操作系统和 Google 在建立账户期间提供的服务处理作业没有任何决策权,因此爱尔兰资料保护主管机构没办法处理这件事,意味着一站式服务机制不适用──CNIL 有权就 Google 在手机进行的处理作业做出任何处罚决定。
2018 年 9 月,CNIL 再度启动线上调查,目的是透过分析用户的浏览模式,验证 Google 的处理作业是否符合法国资料保护法和 GDPR。
CNIL 观察到的违规行为
CNIL 检查过程中,发现 Google 在两个关键领域违反了新的隐私规则。
第一,违反透明度和资讯义务,用户无法轻易存取 Google 提供的资讯。
用户登陆 Google 时,基于个性化的广告会轮番出现,用户为了进入下一步骤,必须多次点击按钮和连接(5~6 次),才能存取相关资讯。此外,某些用户资料没有提供有关保留期的资讯。这意味着如果用户不被动接受广告,无法提供服务(貌似中国很多软件都这样)。
第二,违反为广告个性化处理提供法律依据的义务。
尽管 Google 表示获得用户同意才处理资料,以进行广告个性化。但 CNIL 认为,由于两个原因,Google 无法“有效”获得同意。
首先,用户的“同意”并未充分了解情况。比如 Google 稀释投放广告,打散到 Google 搜寻、YouTube、Google 首页、Google 地图、Play Store、Google 图片等处,个人资讯在多档案下过度传递(预计 20 个)。
其次,用户的“同意”既不具体也不明确。建立账户后,用户透过按一下“更多选项”按钮修改与账户关联的某些选项,在“建立账户”按钮上方存取。实际上,用户不仅必须点击“更多选项”按钮来存取,而且还预先勾选广告个性化的显示。但根据 GDPR 规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。最后建立账户之前,要求用户勾选“ 我同意 Google 的服务条款 ”框和“我同意如上所述处理我的资讯,并在隐私政策中进一步说明”才能完成建立账户。
CNIL 认为 GDPR 没有受尊重,因 GDPR 规定,只有明确同意每个目的时,同意才“具体”。
5 千万欧元罚款怎么算出来的?
这次罚款之所以引发广泛关注,不仅在于被罚的主体是世界性网络巨头 Google,更是以严格著称的 GOPR 诞生以来最高罚款。之前 GDPR 已有多次小额罚款:
- 2018 年 12 月,一家葡萄牙医院工作人员使用假账户存取患者病历被罚款 40 万欧元。
- 2018 年 11 月,德国社群媒体因用纯文字档储存社交媒体密码而被罚款 2 万欧元。
- 2018 年 10 月,奥地利一家企业因拍摄公共空间的安全镜头被罚款 4,800 欧元。
CNIL 这次尝鲜,让 GDPR 获得更广的权力。CNIL 认为,这次罚金及罚款宣传都合理,有以下几点理由:
- 这不是 Google 第一次违反 GDPR,而是持续性、长时间。
- 处罚目的在于要求 Google 做到让用户控制自己资讯资料,充分告知用户风险,允许用户有效同意。
- 考虑到 Android 操作系统在法国市场的重要地位,成千上万的法国人每天都在用智能手机时建立 Google 账户,影响很大。
- Google 的获利模式侧重广告,因此基于广告个性化的罚款也理所当然。
GDPR 开启对硅谷巨头的审查?
GDPR 在 2018 年 5 月正式实施,引入更严格的处理和储存个人资料规则。目的是迫使像 Google 这类大型科技公司彻底改革用户隐私政策,基于欧盟的规则,要求公司充分披露收集的资料、用在何工作上,为用户提供更多资讯控制权,并必须在 72 小时内报告资料泄露事件。
法国这次罚款,可能意味着 GDPR 对硅谷巨头严厉审查的开启,毕竟在之前,欧盟已处罚过苹果税务问题,调查多次 Facebook 的隐私丑闻,对 Google / Android 系统涉嫌垄断开出 43.4 亿欧元天价罚款。
现在,Google 在欧洲吃了 GDPR“当头棒”,迫使其他硅谷同行重新考虑冒险行为了。
华盛顿邮报认为,欧洲的 GDPR 实际上制定了全球隐私规则,美国则缺乏类似、总体的联邦消费者隐私法,这意味着欧洲成为实际上的世界隐私警察。
美国团体:我们也要这么强的法律!
对这次处罚,当初发起投诉的非营利组织 NOYB(无业务组织)负责人 Max Schrems 说:“我们非常高兴欧洲资料保护机构首次利用 GDPR 的可能性来惩罚明显的违法行为。重要的是,仅声称合规远远不够。”
投诉的另一团体 La Quadrature du Net 则认为,这罚款与 Google 的年营业额相比“非常之少”。他们希望主管机构尽快回应针对 Google 的其他投诉,以便开出最高 47 亿美元的罚款。
▲ Google 在 2018 年 Q3 赚了 337.4 亿美元。
Google 表示,正在“研究我们下一步决定”,并补充:“人们期望我们实现高标准的透明度和控制力。我们坚定地致力于满足这些期望和 GDPR 的要求。”
对这笔罚款,Google 没有正面回答接受还是不接受。
FTC 虽是美国最重要的隐私和安全主管机构,却多年来未能对科技公司采取行动。而眼下,美国消费者权益倡导者正在强烈鼓励美国立法者跟随欧洲的脚步。
另外还值得一提的是,前脚 GDPR 罚款一出,日本后脚就跟上,有意考虑修订法律,以便对 Google、苹果、Facebook 和亚马逊等海外科技巨头实施“通讯保密”规定。之前,印度资料本土化运动遭遇硅谷巨头的强烈抵抗。
Google“犯错”,谁会是下一个?
(本文由 雷锋网 授权转载;首图来源:Flickr/Stock Catalog CC BY 2.0)
延伸阅读:
- 欧洲最严隐私保护法新规首罚,Google 被罚 5,000 万欧元
