圖文詳解Google緣何遭“5000萬歐元罰單滑鐵盧”
近日,業界都在密切關注Google因違反GDPR遭法國CNIL重罰的新聞,然而,Google遭重罰的深層原因究竟是什麼?如何從法律、監管機構、以及市場等多個角度分析CNIL此次行為的原因?大型跨國企業如何避免類似處罰? 業界仍未有一篇文章對上述問題作出詳細解答。
作為以“為構建誠信社會添磚加瓦”為己任的普華永道賽博星人,我們必須利用專業知識及豐富的行業經驗,為您答疑解惑。 希望本文可以在未來為您的企業避免“5000萬歐元”的損失,真正做到“合規創造價值”。
本文關鍵詞
Google 遭 5000 萬歐元罰款;
Google 違規行為詳細圖文分析;
中國企業如何避免類似違規行為?
下一個受罰企業會是誰?
Google因GDPR被罰5000萬歐元事件之背景
一、2018年5月25日和5月28日,法國資料保護監管機構(National Data Protection Commission,下稱“CNIL”)分別收到來自兩個有關團體“NOYB ( None Of Your Business)”和“LQDN ( La Quadrature du Net)”針對Google的兩起GDPR違規投訴。
二、2018年6月,CNIL立即基於上述兩宗投訴對Google開展調查。
三、2019年1月21日,CNIL對Google開出自GDPR ( General Data Protection Regulation,下稱GDPR)自2018年5月生效以來的首張鉅額罰單,罰款金額高達5000萬歐元(約3.8億元人民幣)。
四、此次罰款的根本原因是:Google在為使用者提供個性化廣告推送服務中違反GDPR的透明性原則,並且沒有在處理使用者資訊前獲取有效同意。
Why Google?
Google被公認為全球最大的 搜尋引擎 公司,主要業務包括網際網路搜尋、 雲端計算 、 廣告技術 等,同時開發並提供大量基於 網際網路 的產品與服務,其主要利潤來自於廣告業務。 style=”color: rgb(0, 0, 0);”>依靠實力強大的公司律師團隊,Google幾年前就著手開展個人隱私保護合規工作。那麼,為什麼作為行業領軍企業的Google會在2019開年被CNIL開出鉅額罰單?CNIL對處罰的公開說明沒有深入分析或者解釋Google內部的一些原因, 在對Google的違規行為進行法律解析前,我們先來分析一下Google遭罰款背後真正的原因(內部的一些原因) :
1.作為行業龍頭企業,Google業務範圍廣泛,卻對多個服務使用單一隱私政策
作為世界級的網際網路領軍企業,Google推出了20餘種網際網路服務,如Google搜尋、Google廣告、Google地圖、YouTube、Android、Chrome、Google地球、Gmail等,上述服務無一例外都會收集和處理龐大的個人資料。根據GDPR的規定可推定,企業在進行隱私政策制定的過程中,不光要按照GDPR的要求提出共性化的政策條款,同時也應當有區別地根據不同的業務模組進行隱私政策的個性化定製,從而使使用者明確不同的服務如何收集、處理和使用其個人資料。
不知道是因為Google網際網路服務的業務體系過於繁雜,難以在短時間內做到個人資料保護體系的系統性合規;還是在網際網路市場佔絕對主導地位的Google沒有對GDPR投入足夠重視。Google在其遭到投訴的隱私政策中明確規定,只要使用者勾選“同意”對話方塊,則代表Google網際網路的 任何一項服務 均可以收集和處理使用者個人資料。這種 “ 一攬子 ” 式 的隱私政策一方面嚴重違反了GDPR關於資料處理透明性的原則,也侵犯了使用者的自主選擇權。
圖2:GMAIL業務的隱私政策顯示使用者資料將會被用於任何Google服務
圖3:您可以嘗試在任何Google產品頁面點選 “ 私隱權政策 ” ,都會跳轉至同一個頁面 ( https://policies.google.com/privacy )
2.業務佔市場主導地位,使用者處於弱勢地位,使用者給Google的“同意”效力有待商榷
安卓系統作為Google開發的作業系統,在歐洲市場擁有高達85%的佔有率,2018年,其在法國市場的佔有率也達到80%左右。
圖 4: 2018 年安卓系統在法國所佔市場份額
針對資料控制者/處理者同資料主體地位嚴重不平等的情況,GDPR專門做了有關的規定,根據“鑑於條款”(即第第43條)規定“為確保‘同意’系自願作出,在資料主體與控制者之間存在明顯不平衡的特殊情況下,資料主體 不可能在所有情況下都是自願作出的同意 ,因此在此情況下‘同意’不應作為處理個人資料的有效法律依據。
根據安卓系統的市場表現,可知一旦使用者拒絕使用安卓系統,則可選擇其它作業系統的空間十分有限,處於明顯的弱勢地位。然而,Google的隱私協議中規定,如果使用者不作出“同意”,就無法繼續使用安卓系統。因此,即使使用者做出明確“同意”,基於其弱勢地位以及Google隱私協議中的強制性規定,其“同意”的有效性仍然值得商榷。
3.個性化廣告投放為主要營收業務,高額罰款有據可循
根據Google 2018年釋出的財報顯示,截至2018年6月30日,Google Alphabet公司營收326.6億美元,淨利潤82.66億美元,高於市場預期。而支撐起Google營收的主力依然毫無懸念是其廣告業務,在2018年第二季度貢獻了280億美元的營收,同比增長24%,並佔據了總營收85.7%的份額。
CNIL針對Google此次違規行為做出罰款的重要依據之一,就是其個性化廣告推送業務在收集和處理使用者個人資料過程中,沒有符合GDPR的相關要求。在GDPR中,根據所觸犯的條款不同,設定了兩個級別的處罰金額,分別為:
最大處罰金額1000萬歐元或企業上一年度全球營業額的2%(選其中較高的數字);
第二級別是,最大處罰金額2000萬歐元或是企業上一年度全球營業額的4%(選其中較高的數字)。
由此可見,基於Google服務的使用者數量、處理個人資料的種類眾多且數量龐大,並且在廣告投放領域獲取高額利潤,CNIL此次開出鉅額罰單,也是有據可循的。
圖5:Google 2018年財報資料
違規行為詳細解析
| Google 違規行為一覽 |
| 1.Google網際網路多種服務提供單一化隱私政策,未設定個性化區分 |
| 2.Google個性化廣告業務的隱私政策不夠完整,並且有關資訊分散在多個文件中。 |
| 3.Google沒有向用戶盡到提示義務,告知使用者個性化廣告推送隱私政策的分散情況,致使使用者無法獲取完整的資料處理資訊。 |
| 4.Google預先為使用者勾選了“同意提供個性化廣告服務”的選項。 |
| 5.Google在註冊時,預先勾選的行為被故意隱藏,不易被使用者發現。 |
1.首先,Google網際網路多種服務使用單一化隱私政策,未設定個性化區分
Google網際網路為使用者提供20餘種服務,如YouTube,Google Search等,每種服務收集使用者資訊的類別及處理目的和使用範圍都不盡相同。因此,按照GDPR的規定,Google網際網路的每種個性化服務,都需要制定有區分度的隱私政策,為使用不同服務的使用者清晰展示自己的資料將會被如何收集及應用。 然而,目前 Google 網際網路卻處於 “ 所有服務共用同一隱私政策 ” 的違規現象。這種 “ 一攬子 ” 式的隱私政策提供模式,強制使用者接受所有服務處理其個人資訊的行為,嚴重損害了使用者的自主選擇權。
圖6:Google網際網路服務提供的單一化隱私政策
2.Google個性化廣告業務的隱私政策不夠完整,並且有關資訊分散在多個文件中
由於廣告推送是Google網際網路服務的最主要營收來源,所以Google 需要制定完整、清晰、易於獲取的與廣告推送有關的隱私政策。 然而,目前 Google 使用的與廣告推送業務有關的隱私政策並不完整,如下所示,僅區區幾百字,如使用者想要獲取與廣告推送業務背後有關的使用者個人資訊被處理的目的、儲存期限、收集和使用目的等內容,則需要點選介面上的連結,跳轉到其他介面才可以進一步獲取上述資訊。與此同時,當跳轉到另外介面後,使用者獲取的也是不完整的文件資訊。
圖7:個性化廣告推送隱私政策介面
圖8:其它多個介面 ( 文件 ) 還有與個性化廣告推送有關的隱私說明,並沒有容易讓使用者在一處獲取最盈利業務的所有說明
3.Google沒有向用戶盡到提示義務,告知使用者個性化廣告推送隱私政策的分散情況,致使使用者無法獲取完整的資料處理資訊
如上所述,關於廣告個性化處理操作的資訊在多個文件中被稀釋,使用者如果想完整獲取該資訊需要點選不同的連結,進入到不同的介面。然而,Google並沒有對此情況在最初即明確提示,導致使用者無法清晰的意識到上述資料的範圍及分佈情況, 同時, Google 也沒有主動向使用者澄清廣告服務的涵蓋範圍。 例如,在隱私政策“廣告個性化” 這一節,使用者無法真正瞭解Google的廣告個性化業務究竟會在哪些服務裡提供( Google地圖,Play store,Google圖片)等,這些資訊都是模糊不清的。
圖9:個性化廣告推送隱私政策簡略且模糊
4.Google預先為使用者勾選了“同意提供個性化廣告服務”的複選框
在使用任何一種Google網際網路服務時,使用者都可以選擇註冊後瀏覽及不註冊直接瀏覽兩種方式。 然而,無論客戶使用哪種方式, “ 同意提供個性化廣告服務 ” 的複選框都被 Google 預置勾選,剝奪了使用者自主選擇的權利。 
圖10:在註冊Google帳戶時, “顯示個性化廣告”選項被預置勾選
圖11:如果不註冊,以匿名使用者使用Google服務也會預設勾選個性化廣告選項
5.最大罪狀:Google預先勾選的行為被故意隱藏,不易被使用者發現
如上所述,Google在使用者註冊的介面,預先勾選了“同意提供個性化廣告服務” 的複選框,這一行為本身就是違規的。 然而, Google 故意隱藏該預置勾選的複選框,只有當用戶點選 “ 更多選項 ” 時才可發現該複選框被勾選的事實。 實際上,根據使用者習慣,大多數人在註冊時都不會完整的瀏覽供應商提供的文字說明,如果不將獲取使用者同意的複選框放置在“易於被發現”的位置,也同樣違反了GDPR中關於“獲取同意”的規定。
圖12:必須點選“更多選項”按鍵才能看到被Google預設預選的 “同意提供個性化廣告服務”
GDPR相關法條速覽
1.GDPR第三章“資料主體權利”第一節“資訊處理透明性及其形式”第12條
控制者應當採取適當措施向資料主體提供本條例第13條和第14條規定的資訊和任何依據本條例第15條至第22條和第34條進行的、與資料處理相關的交流資訊,尤其是需要提供給兒童的任何資訊。 該種資訊應當以一種準確、透明、易於理解、易於獲取的方式提供,且應使用清楚、平實的語言 。
2.GDPR第二章“原則”第7條“同意的條件”第2款
如資料主體通過書面宣告的方式作出同意,且書面宣告涉及其他事項,則要求資料主體同意的請求應以符合以下要求的形式呈現:與其他事項顯著區別; 易理解、易獲得;使用清楚、平實的文字。如該宣告中任何部分違反本條例的規定,則其應不具約束力。
普華永道解讀(給中國企業的啟示)
企業應該如何做,才能真正符合GDPR中有關遵循資訊處理透明性原則的規定?又該怎麼做來有效獲取客戶同意?
| 建議 | 拜託,能不能簡單一點說? |
| 企業需要保證客戶 明確 知悉何種業務在收集和處理他們的個人資料及其目的; | 請把隱私宣告寫得簡單點,讓一個小白讀一次,如果GDPR小白都看不懂,那就把諮詢顧問或者律師炒了吧,要不就準備好5000萬歐元準備接受罰款。 儘量寫詳細點,使用者資料在系統中如何處理、儲存,用於哪些業務。 拜託,不要老是站在您們律師或者諮詢顧問的角度幫我寫,請站在使用者的角度寫一個隱私政策出來。 |
| 使用者被告知企業處理其個人資料的相關資訊時,不會發現任何具有欺騙性、誤導性的措辭; | |
| 企業必須向用戶提供滿足相關透明度要求所需的資訊,並保持這些資訊的可訪問性和最新性。 |
| 建議 | 拜託,能不能簡單一點說? |
| 用於獲取客戶同意的隱私政策必須置於“易於發現”的位置 | 有關的資訊放在同一個文件裡,不要讓使用者還得點選後去到其它地方檢視,甚至要檢視好幾個文件 與收費有關的業務,儘量,我是說盡量哈,不要預先替使用者選上。 |
| 用於獲取客戶同意的隱私政策不得同其他類別的使用者協議混合出現 | |
| 企業不得預先勾選“同意”複選框或者按照使用者操作習慣設定複選框陷阱 |
資料保護監管機構管轄權判定
根據GDPR規定,某跨國企業遭到違反GDPR相關投訴,如該企業在歐盟某國具有“主營業場所”(mainestablishment),該國的資料保護監管機構則作為管轄此次投訴的主要監管機構。(關於資料監管機構的詳細分析參見《後GDPR時代——企業如何與歐洲監管機構建立有效溝通渠道》,2018,11,08,微信公眾號:賽博星人)。
然而在本案中,雖然Google在歐洲總部的設立地為愛爾蘭,並同時在歐洲經濟區其他國家也設有分支機構,但經過CNIL在與愛爾蘭資料監管機構充分溝通後,認為無法判定Google在歐盟境內的“主營業場所”。因此,CNIL接到投訴後,即刻啟動了相關程式並主導調查。
然而,並未確定Google在歐盟境內的主營業場所,就證明其設立分支機構的任何一個歐盟國家的資料保護監管機構,包括法國的CNIL都會該案享有執法管轄權。因此,可以看出,如果無法判定企業的“主營業機構”,很可能導致被訴企業面臨多家監管機構多頭執法的情形。
繼 Google 之後,誰會是下一個被罰者?
1.NOYB是何方神聖?
NOYB成立於2017年6月12日,是由歐洲著名隱私保護律師馬克斯施雷姆斯(Max Schrems)成立的一家設立於奧地利維也納的非盈利資料權利機構,其成員包括歐洲議員、歐盟委員會專家、法學教授、隱私保護律師等。NOYB成立一年來,致力於針對違反GDPR規定的私營企業進行投訴,發起訴訟案件。值得關注的是,馬克斯施雷姆斯在隱私保護領域可謂“戰功赫赫”,自2011年起,其就針對Facebook相關服務違規處理使用者個人資訊進行起訴並獲勝。馬克斯施雷姆斯訴Facebook事件也對歐盟修改同美國之間的資料傳輸協議(隱私盾)造成了深遠影響。
儘管剛成立一年有餘,NOYB已經針對八家企業的線上流媒體服務進行了測試,分別是AmazonPrime, Apple Music, Dan, Flimmit, Netflix, SoundCloud, Spotify, YouTube,然而,八家企業均不完全符合GDPR的合規要求。日前,NOYB已向相關資料保護部門提出正式投訴。投訴主要依據為GDPR中的資訊處理透明性原則、獲取資料主體明確同意要求、以及積極響應資料主體權利(訪問權、修正權、刪除權、拒絕權等)。馬克斯•施雷姆斯(MaxSchrems)表示,所有主要供應商甚至都存在“結構性違反(structuralviolation)”法律的行為。
圖13:HOYB投訴的企業清單
2.房地產公司、航空公司、大型跨國酒店等大規模處理使用者資料的企業要提高警惕,謹防遭到資料監管機構處罰
由Google被罰案不難看出,歐洲監管機構都是在收到企業違規行為的投訴後,立即開展系統性調查,僅用4個月的時間就開出了鉅額罰單。與此同時,處理大量個人資料資料的行業巨頭在被投訴中首當其衝。由此推斷,市場份額巨大的行業巨頭在面臨GDPR的出臺及生效時,並不一定已經能夠充分做到合規。
目前,遭到NOBY投訴的企業集中在網際網路的巨頭企業,但不排除未來NOBY甚至其他公益組織或個人將目光瞄準到房地產公司、航空公司、大型跨國酒店、通訊及終端裝置提供商等大規模處理個人資料,甚至涉及到個人資料跨境傳輸問題的大型跨國企業。與此同時,上一年度在世界範圍內也發生了幾起嚴重的資料洩漏事件,其中最為轟動的就是“國泰航空資料洩露事件”、“萬豪國際酒店資料洩露事件”。2018年10月25日,國泰航空公司宣稱約940萬份乘客資料曾被未獲授權瀏覽,幾日內,其股價25日下跌近7%。香港個人資料私隱專員公署(PCPD)稱將主動接觸國泰展開調查;無獨有偶,2018年11月30日,萬豪酒店的客房預訂資料庫被黑客入侵,在該酒店預定的最多約5億名客人的資訊或被洩露,其股價迅速下跌約6%。美國紐約、馬里蘭等多個州開始著手調查。或面臨史上最高罰款。
因此,上述型別的跨國企業在2019年度要密切關注歐洲乃至世界範圍內的隱私保護立法、執法動態以及NOBY的投訴動態,積極投入資金資源及人力資源,加緊開展個人資料合規體系搭建以及風險防控機制建設。
其它有關文章閱讀:
後GDPR時代關鍵——企業如何與歐洲監管機構建立有效溝通渠道
時下最熱門的隱私資料合規議題之一:如何將歐盟個人隱私資料合規離境、以最優成本離境至中國?(一)
*本文作者:普華永道賽博星人,轉載請註明來自FreeBuf.COM