尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
1 月 22 日,法國監管機構對 Google 開出了首筆 GDPR 罰款,金額達 5000 萬歐元(約 3.85 億元人民幣)——這是自 2018 年 GDPR 法規生效以來首次對美國科技巨頭實施的重大處罰。
而處罰的根本原因是:Google 未向 Android 用戶正確披露其數據如何被收集,並向用戶違法推送個性化廣告。
起底 Google 如何犯錯
事情起源
CNIL 是法國國家信息與通信委員會(法國數據保護監管機構),其官網給出了一個信息點。2018 年 5 月 25 日和 28 日,CNIL 收到了無業務組織(NOYB)和維權組織 La Quadrature du Net(LQDN)的團體投訴。LQDN 被 10000 人強制要求將 ” 此事 ” 提交給 CNIL。
這兩起投訴均指責 Google 沒有有效的法律依據來處理其服務用戶的個人數據,特別是出於廣告個性化目的。
CNIL 官網的 ” 罰款通知 “
CNIL 處理投訴
CNIL 立即開始調查投訴。2018 年 6 月 1 日,根據 GDPR 中規定的歐洲合作條款,CNIL 向歐洲同行發送了這兩項投訴,以評估其是否有權處理這次事件。這里要注意的是,GDPR 建立了一站式服務機制,規定在歐盟設立的企業組織只應有一個對話者,這個對話者就是該組織所在國的數據保護監管機構(DPA)。
由於 Google 在歐洲的總部在愛爾蘭,因此當法國想要調查這件事,就必然涉及到跨境處理的問題,也意味著要協調其他數據保護機構之間的合作。
但是實際上,由於 Google 愛爾蘭總部對 Android 操作系統和 Google 提供的有關在創建帳戶期間提供的服務處理操作沒有任何決策權,因此該國的數據保護監管機構就沒辦法處理這件事,也就意味著一站式服務機制在此時不適用—— CNIL 有權就 Google 在手機中進行的處理操作做出任何處罰決定。
2018 年 9 月,CNIL 再度啟動線上調查,目的是通過分析用戶的瀏覽模式,驗證 Google 實施的處理操作是否符合法國數據保護法和 GDPR。
CNIL 觀察到的違規行為
CNIL 在檢查過程中,發現 Google 在兩個關鍵領域違反了新的隱私規則。
第一,違反透明度和信息的義務,用戶無法輕易訪問 Google 提供的信息。
具體是怎樣的呢?當用戶在登陸 Google 時,基於個性化的廣告會輪番出現在頁面上,用戶為了進入下一個步驟,必須多次點擊按鈕和鏈接(5-6 次),才能訪問相關信息。
此外,某些用戶數據沒有提供有關保留期的信息。這實際上意味著,如果用戶不被動接受廣告,服務將無法提供(好像國內很多軟件都這樣)。
第二,違反了為廣告個性化處理提供法律依據的義務。
盡管 Google 表示它獲得了用戶同意才去處理數據,以進行廣告個性化的操作。但是,CNIL 認為,由於兩個原因,Google 方面無法 ” 有效 ” 獲得同意。
首先,用戶的 ” 同意 ” 並未充分了解情況。比如 Google 對廣告進行了稀釋操作,打散在 Google 搜尋、You tube、Google 主頁、Google 地圖、Playstore、Google 圖片中,個人信息在多個文件中被過度傳播(預計 20 個)。
其次,用戶的 ” 同意 ” 既不是具體的也不是明確的。創建帳戶後,用戶可以通過單擊 ” 更多選項 ” 按鈕修改與帳戶關聯的某些選項,在 ” 創建帳戶 ” 按鈕上方訪問。實際上,用戶不僅必須點擊 ” 更多選項 ” 按鈕來訪問配置,而且還預先勾選了廣告個性化的顯示。
但是,根據 GDPR 的規定,只有用戶明確的肯定行動(例如勾選未預先勾選的方框),同意才是 ” 明確的 “。
最後,在創建帳戶之前,要求用戶勾選 ” 我同意 Google 的服務條款 ” 框 和 ” 我同意如上所述處理我的信息,並在隱私政策中進一步說明 ” 才能完成創建帳戶的過程。
CNIL 認為 GDPR 沒有受到尊重,因為 GDPR 規定,只有在為每個目的明確給出同意時,同意才是 ” 具體的 “。
5000 萬歐元罰款怎麼開出來的?
這次的罰款之所以引發廣泛關注,不僅在於被罰的主體是世界性的互聯網巨頭 Google,更在於其是以嚴格著稱的 GOPR 自誕生以來的最大罰款。
此前 GDPR 發起多次小數額罰款:
2018 年 12 月,一家葡萄牙醫院在其工作人員使用虛假帳戶訪問患者記錄後被罰款 40 萬歐元;
2018 年 11 月,德國社交媒體因用純文本存儲社交媒體密碼而被罰款 20000 歐元;
2018 年 10 月,奧地利的一家當地企業因拍攝公共空間的安全錄影頭而被罰款 4800 歐元。
CNIL 的這次嘗鮮,讓 GDPR 獲得了廣泛的效力。CNIL 認為,這次決定的罰金以及對罰款的宣傳都是合理的,並給出了以下幾點理由:
這不是 Google 一次性違反 GDPR,而是持續性的、長時間的;
處罰的目的在於要求 Google 做到用戶控制自己信息數據的權利,充分告知用戶風險,允許用戶進行有效同意;
考慮到了 Android 操作系統在法國市場上的重要地位,成千上萬的法國人每天都會在使用智慧型手機時創建一個 Google 帳戶,影響很大;
Google 公司的盈利模式是側重在廣告,因此基於廣告個性化的罰款也是理所應當。
GDPR 開啟對矽谷巨頭的審查?
據了解,GDPR 在 2018 年 5 月正式實施,引入了更嚴格的處理和存儲個人數據的規則。其目的是迫使像 Google 這樣的大型科技公司徹底改革其用戶隱私政策,基於歐盟的規則要求公司充分披露他們對所收集的數據所做的工作,為其用戶提供對其信息的更多控制權,並且必須在 72 小時內報告數據泄露事件。
來自法國的這次罰款,可能意味著 GDPR 對矽谷巨頭嚴厲審查的開啟,畢竟在此前,歐盟已經對蘋果公司的稅務行為進行了處罰,對 Facebook 進行了多次隱私醜聞的調查,對 Google 安卓系統涉嫌壟斷開出過 43.4 億歐元天價罰款。
現在,Google 在歐洲吃了 GDPR 的 ” 當頭棒 “,迫使其他矽谷同行們要重新考慮自己的冒險行為了。
華盛頓郵報認為,來自歐洲的 GDPR 實際上制定出了全球的隱私規則,而美國則缺乏類似的、總體的聯邦消費者隱私法,這意味著歐洲成為了當下事實上的世界隱私警察。
美國團體:” 我們也要這麼強的法律 “!
對於這次處罰,當初發起投訴的非營利組織 NOYB(無業務組織)的負責人 Max Schrems 說:” 我們非常高興歐洲數據保護機構首次利用 GDPR 的可能性來懲罰明顯的違法行為。重要的是,僅僅聲稱合規是不夠的。”
而發起投訴的另一個團體 La Quadrature du Net 則認為,這個罰款與 Google 的年營業額相比 ” 非常之少 “。他們希望監管機構盡快回應針對 Google 的其他投訴,以便做出最高 47 億美元的罰款。
Google 在 2018 年 Q3 賺了 337.4 億美元
作為回應,Google 表示正在 ” 研究決定我們下一步的決定 “,並補充道:” 人們期望我們能夠做到高標準的透明度和控制力。我們堅定地致力於滿足這些期望和 GDPR 的要求。”
對於這筆罰款,Google 沒有正面回答接受還是不接受。
FTC 作為美國最重要的隱私和安全監管機構,多年來未能對科技公司採取行動。而眼下,美國消費者權益倡導者們正在強烈鼓勵美國立法者們跟隨歐洲的這一腳步。
另外還值得一提的是,前腳 GDPR 罰款一出,日本後腳就跟上,有意考慮修訂法律,以便對 Google、蘋果、Facebook 和亞馬遜等海外科技巨頭實施 ” 通信保密 ” 規定。此前,印度數據本地化運動遭遇了矽谷巨頭的強烈抵抗。
Google” 犯錯 “,誰會是下一個?