法國監管機構對Google開出了首筆GDPR罰款，金額達5000萬歐元（約5700萬美元）——這是自2018年GDPR法規生效以來首次對美國科技巨頭實施的重大處罰。而處罰的根本原因是：Google未向Android用戶正確披露其數據如何被收集，並向用戶違法推送個性化廣告。

起底Google如何犯錯

事情起源

CNIL是法國國家信息與通信委員會（法國數據保護監管機構），其官網給出了一個信息點。2018年5月25日和28日，CNIL收到了無業務組織（NOYB）和維權組織La Quadrature du Net（LQDN）的團體投訴。LQDN被10000人強制要求將“此事”提交給CNIL。

這兩起投訴均指責Google沒有有效的法律依據來處理其服務用戶的個人數據，特別是出於廣告個性化目的。

CNIL官網的“罰款通知”

CNIL處理投訴

CNIL立即開始調查投訴。2018 年6 月1 日，根據GDPR中規定的歐洲合作條款，CNIL向歐洲同行發送了這兩項投訴，以評估其是否有權處理這次事件。這裡要注意的是，GDPR建立了一站式服務機制，規定在歐盟設立的企業組織只應有一個對話者，這個對話者就是該組織所在國的數據保護監管機構（DPA）。

由於Google在歐洲的總部在愛爾蘭，因此當法國想要調查這件事，就必然涉及到跨境處理的問題，也意味著要協調其他數據保護機構之間的合作。

但是實際上，由於Google愛爾蘭總部對Android操作系統和Google提供的有關在創建賬戶期間提供的服務處理操作沒有任何決策權，因此該國的數據保護監管機構就沒辦法處理這件事，也就意味著一站式服務機制在此時不適用——CNIL有權就Google在手機中進行的處理操作做出任何處罰決定。

2018年9月，CNIL再度啟動線上調查，目的是通過分析用戶的瀏覽模式，驗證Google實施的處理操作是否符合法國數據保護法和GDPR。

CNIL觀察到的違規行為

CNIL在檢查過程中，發現Google在兩個關鍵領域違反了新的隱私規則。

第一，違反透明度和信息的義務，用戶無法輕易訪問Google提供的信息。

具體是怎樣的呢？當用戶在登陸Google時，基於個性化的廣告會輪番出現在頁面上，用戶為了進入下一個步驟，必須多次點擊按鈕和鏈接（5-6次），才能訪問相關信息。此外，某些用戶數據沒有提供有關保留期的信息。這實際上意味著，如果用戶不被動接受廣告，服務將無法提供（貌似國內很多軟件都這樣）。

第二，違反了為廣告個性化處理提供法律依據的義務。

儘管Google表示它獲得了用戶同意才去處理數據，以進行廣告個性化的操作。但是，CNIL認為，由於兩個原因，Google方面無法“有效”獲得同意。

首先，用戶的“同意”並未充分了解情況。比如Google對廣告進行了稀釋操作，打散在Google搜索、You tube、Google主頁、Google地圖、Playstore、Google圖片中，個人信息在多個文件中被過度傳播（預計20個）。

其次，用戶的“同意”既不是具體的也不是明確的。創建帳戶後，用戶可以通過單擊“更多選項”按鈕修改與帳戶關聯的某些選項，在“創建帳戶”按鈕上方訪問。實際上，用戶不僅必須點擊“更多選項”按鈕來訪問配置，而且還預先勾選了廣告個性化的顯示。但是，根據GDPR的規定，只有用戶明確的肯定行動（例如勾選未預先勾選的方框），同意才是“明確的”。最後，在創建帳戶之前，要求用戶勾選“ 我同意Google的服務條款”框 和“ 我同意如上所述處理我的信息，並在隱私政策中進一步說明”才能完成創建帳戶的過程。

CNIL認為GDPR沒有受到尊重，因為GDPR規定，只有在為每個目的明確給出同意時，同意才是“具體的”。

5000萬歐元罰款怎麼開出來的？

這次的罰款之所以引發廣泛關注，不僅在於被罰的主體是世界性的互聯網巨頭Google，更在於其是以嚴格著稱的GOPR自誕生以來的最大罰款。此前GDPR發起多次小數額罰款：

• 2018年12月，一家葡萄牙醫院在其工作人員使用虛假帳戶訪問患者記錄後被罰款40萬歐元；
• 2018年11月，德國社交媒體因用純文本存儲社交媒體密碼而被罰款20000歐元；
• 2018年10月，奧地利的一家當地企業因拍攝公共空間的安全攝像頭而被罰款4800歐元。

CNIL的這次嚐鮮，讓GDPR獲得了廣泛的效力。CNIL認為，這次決定的罰金以及對罰款的宣傳都是合理的，並給出了以下幾點理由：

• 這不是Google一次性違反GDPR，而是持續性的、長時間的；
• 處罰的目的在於要求Google實現用戶控制自己信息數據的權利，充分告知用戶風險，允許用戶進行有效同意；
• 考慮到了Android操作系統在法國市場上的重要地位，成千上萬的法國人每天都會在使用智能手機時創建一個Google帳戶，影響很大；
• Google公司的盈利模式是側重在廣告，因此基於廣告個性化的罰款也是理所應當。

GDPR開啟對矽谷巨頭的審查？

據了解，GDPR在2018年5月正式實施，引入了更嚴格的處理和存儲個人數據的規則。其目的是迫使像Google這樣的大型科技公司徹底改革其用戶隱私政策，基於歐盟的規則要求公司充分披露他們對所收集的數據所做的工作，為其用戶提供對其信息的更多控制權，並且必須在72小時內報告數據洩露事件。

來自法國的這次罰款，可能意味著GDPR對矽谷巨頭嚴厲審查的開啟，畢竟在此前，歐盟已經對蘋果公司的稅務行為進行了處罰，對Facebook進行了多次隱私醜聞的調查，對Google安卓系統涉嫌壟斷開出過43.4億歐元天價罰款。

現在，Google在歐洲吃了GDPR的“當頭棒”，迫使其他矽谷同行們要重新考慮自己的冒險行為了。

華盛頓郵報認為，來自歐洲的GDPR實際上製定出了全球的隱私規則，而美國則缺乏類似的、總體的聯邦消費者隱私法，這意味著歐洲成為了當下事實上的世界隱私警察。

美國團體：“我們也要這麼強的法律”！

對於這次處罰，當初發起投訴的非營利組織NOYB（無業務組織）的負責人Max Schrems說：“我們非常高興歐洲數據保護機構首次利用GDPR的可能性來懲罰明顯的違法行為。重要的是，僅僅聲稱合規是不夠的。”

而發起投訴的另一個團體La Quadrature du Net則認為，這個罰款與Google的年營業額相比“非常之少”。他們希望監管機構盡快回應針對Google的其他投訴，以便做出最高47億美元的罰款。

Google在2018年Q3賺了337.4億美元

作為回應，Google表示正在“ 研究決定我們下一步的決定 ”，並補充道：“人們期望我們能夠實現高標準的透明度和控制力。我們堅定地致力於滿足這些期望和GDPR的要求。“

對於這筆罰款，Google沒有正面回答接受還是不接受。

FTC作為美國最重要的隱私和安全監管機構，多年來未能對科技公司採取行動。而眼下，美國消費者權益倡導者們正在強烈鼓勵美國立法者們跟隨歐洲的這一腳步。

另外還值得一提的是，前腳GDPR罰款一出，日本後腳就跟上，有意考慮修訂法律，以便對Google、蘋果、Facebook和亞馬遜等海外科技巨頭實施“通信保密”規定。此前，印度數據本地化運動遭遇了矽谷巨頭的強烈抵抗。

谷歌“犯錯”，誰會是下一個？