谷歌違反通用資料保護條例遭法國當局罰款5000萬歐元
谷歌已因違反“通用資料保護條例”(GDPR)而被法國資料保護監管機構處以5000萬歐元(約合5680萬美元)罰款,這對馬克斯·施雷姆斯(Max Schrems)旗下隱私集團NOYB來說是一場勝利。法國國家網際網路資訊中心(以下簡稱“CNIL”)今日裁定,谷歌向用戶提供了不充分的資訊,在多個頁面上分散提供資訊,而且並未在廣告個性化的問題上獲得有效許可。
CNIL對NOYB和法國數字版權組織La Quadrature du Net提出的投訴作出了反應,稱其已對通過Android裝置開設谷歌賬戶的流程進行了調查。這個監管機構作出的結論是,谷歌在兩個方面違反了“通用資料保護條例”:一是未滿足透明度和資訊相關要求,二是沒有為其處理流程獲得法律依據。
根據這項條例,違規公司可被處以最高2000萬歐元或相當於年度營業額4%的罰款,而CNIL已經行使了這種新的權力,向谷歌開出了5000萬歐元的罰單。
CNIL發表宣告稱,谷歌在資訊披露的問題上缺乏透明度,並指出使用者無法瞭解谷歌“大規模的、侵入性的”資料處理達到了什麼樣的程度。宣告還稱,即便是谷歌已經提供的資訊,“對使用者來說也是不易獲得的”,原因是這些資訊“過度分散於多個檔案中”,需要使用者經過五六個步驟才能訪問。
“舉例來說,就谷歌出於個性化目的或為了提供地理追蹤服務而收集的資料而言,當用戶想要獲得有關這些資料的完整資訊時,就會發生這種情況。”宣告寫道。
除此以外,CNIL還表示,使用者“無法完全瞭解”谷歌對使用者資料進行處理的程度。鑑於谷歌提供的服務多達20項,加之這些服務所涉及的使用者資料十分龐大,因此CNIL將谷歌的資料處理描述為“大規模的、侵入性的”。CNIL還補充道:“谷歌對資料處理目的作出的描述過於籠統和模糊,而就谷歌為不同目的而處理的資料類別而言,情況也是如此。 ”
與此同時,使用者也無法瞭解谷歌到底是將使用者許可作為法律依據來根據“通用資料保護條例”處理資料,還是根據公司自身利益來處理資料。
根據CNIL作出的評估,谷歌為廣告個性化而收集的使用者許可是無效的,因為這種許可不是具體而明確的,而且使用者也並未獲得充分的通知。
CNIL表示:“有關廣告個性化資料處理的資訊被分散到了多個檔案中,這就使得使用者無法瞭解其程度如何。”
該機構承認,在使用者建立帳戶之後,可以對其進行一些修改,但同時指出“這並不意味著‘通用資料保護條例’受到了尊重”。相反的,CNIL指出,不僅使用者修改資料的選項被隱藏在了“更多選項”(more options)按鈕之下,而且廣告個性化的選擇是一個預先打勾的方框(這就違反了“通用資料保護條例”的規定,因為只有在使用者明確作出肯定之後,許可才能被視為明確無誤的)。
CNIL還指出,使用者許可不夠具體,因為谷歌要求使用者必須完全同意隱私政策中的服務條款和資料處理條款,而非區分各種不同目的(如廣告個性化或語音識別等)來同意各項條款。
這是一家公司因資料保護違規行為而被處以的最大一筆罰款,同時也是CNIL採取的第一次處罰行動。該機構稱,這筆罰款“就其違規行為的嚴重程度來看是合理的”。CNIL指出:“此外,這些違規行為是持續違反‘通用資料保護條例’的行為,因為直到今天,我們還能看到這種行為。這不是一次性的、時間有限的違規行為。“
在“通用資料保護條例”正式生效之後,到目前為止已經處以的罰款金額都要小得多:德國當局此前對一個聊天應用處以2萬歐元(約合2.3萬美元)罰款,奧地利當局針對CCTV被非法使用一事處以4800歐元(約合5460萬美元)罰款,葡萄牙當局則已對一家億元處以40萬歐元(約合45萬美元)罰款,原因是其允許員工非法獲取資料。
NOYB董事長施雷姆斯對此表示歡迎。“像谷歌這樣的大公司慣於‘以不同的方式解讀法律’,而且往往只會在表面上修改自己的產品。”他說道。“當局應該明確表示,光是自稱做到了合規是不夠的,這一點很重要。”
谷歌尚未就此置評。