谷歌違反通用數據保護條例遭法國當局罰款5000萬歐元
谷歌已因違反“通用數據保護條例”(GDPR)而被法國數據保護監管機構處以5000萬歐元(約合5680萬美元)罰款,這對馬克斯·施雷姆斯(Max Schrems)旗下隱私集團NOYB來說是一場胜利。法國國家互聯網信息中心(以下簡稱“CNIL”)今日裁定,谷歌向用戶提供了不充分的信息,在多個頁面上分散提供信息,而且並未在廣告個性化的問題上獲得有效許可。
CNIL對NOYB和法國數字版權組織La Quadrature du Net提出的投訴作出了反應,稱其已對通過Android設備開設谷歌賬戶的流程進行了調查。這個監管機構作出的結論是,谷歌在兩個方面違反了“通用數據保護條例”:一是未滿足透明度和信息相關要求,二是沒有為其處理流程獲得法律依據。
根據這項條例,違規公司可被處以最高2000萬歐元或相當於年度營業額4%的罰款,而CNIL已經行使了這種新的權力,向谷歌開出了5000萬歐元的罰單。
CNIL發表聲明稱,谷歌在信息披露的問題上缺乏透明度,並指出用戶無法了解谷歌“大規模的、侵入性的”數據處理達到了什麼樣的程度。聲明還稱,即便是谷歌已經提供的信息,“對用戶來說也是不易獲得的”,原因是這些信息“過度分散於多個文件中”,需要用戶經過五六個步驟才能訪問。
“舉例來說,就谷歌出於個性化目的或為了提供地理追踪服務而收集的數據而言,當用戶想要獲得有關這些數據的完整信息時,就會發生這種情況。”聲明寫道。
除此以外,CNIL還表示,用戶“無法完全了解”谷歌對用戶數據進行處理的程度。鑑於谷歌提供的服務多達20項,加之這些服務所涉及的用戶數據十分龐大,因此CNIL將谷歌的數據處理描述為“大規模的、侵入性的”。CNIL還補充道:“谷歌對數據處理目的作出的描述過於籠統和模糊,而就谷歌為不同目的而處理的數據類別而言,情況也是如此。 ”
與此同時,用戶也無法了解谷歌到底是將用戶許可作為法律依據來根據“通用數據保護條例”處理數據,還是根據公司自身利益來處理數據。
根據CNIL作出的評估,谷歌為廣告個性化而收集的用戶許可是無效的,因為這種許可不是具體而明確的,而且用戶也並未獲得充分的通知。
CNIL表示:“有關廣告個性化數據處理的信息被分散到了多個文件中,這就使得用戶無法了解其程度如何。”
該機構承認,在用戶創建帳戶之後,可以對其進行一些修改,但同時指出“這並不意味著’通用數據保護條例’受到了尊重”。相反的,CNIL指出,不僅用戶修改數據的選項被隱藏在了“更多選項”(more options)按鈕之下,而且廣告個性化的選擇是一個預先打勾的方框(這就違反了“通用數據保護條例”的規定,因為只有在用戶明確作出肯定之後,許可才能被視為明確無誤的)。
CNIL還指出,用戶許可不夠具體,因為谷歌要求用戶必須完全同意隱私政策中的服務條款和數據處理條款,而非區分各種不同目的(如廣告個性化或語音識別等)來同意各項條款。
這是一家公司因數據保護違規行為而被處以的最大一筆罰款,同時也是CNIL採取的第一次處罰行動。該機構稱,這筆罰款“就其違規行為的嚴重程度來看是合理的”。CNIL指出:“此外,這些違規行為是持續違反’通用數據保護條例’的行為,因為直到今天,我們還能看到這種行為。這不是一次性的、時間有限的違規行為。“
在“通用數據保護條例”正式生效之後,到目前為止已經處以的罰款金額都要小得多:德國當局此前對一個聊天應用處以2萬歐元(約合2.3萬美元)罰款,奧地利當局針對CCTV被非法使用一事處以4800歐元(約合5460萬美元)罰款,葡萄牙當局則已對一家億元處以40萬歐元(約合45萬美元)罰款,原因是其允許員工非法獲取數據。
NOYB董事長施雷姆斯對此表示歡迎。“像谷歌這樣的大公司慣於’以不同的方式解讀法律’,而且往往只會在表面上修改自己的產品。”他說道。“當局應該明確表示,光是自稱做到了合規是不夠的,這一點很重要。”
谷歌尚未就此置評。