被罚 5 千万欧元,Google 到底犯了什幺错?

作者: 时间:2020-08-03G生活帮907人已围观

被罚 5 千万欧元,Google 到底犯了什幺错?

1 月 22 日,法国主管机构对 Google 开出首笔 GDPR 罚款,金额达 5 千万欧元(约 5.7 千万美元)──是自 2018 年 GDPR 法规生效以来首次对美国科技巨头实施的重大处罚。

处罚的根本原因是:Google 未向 Android 用户明确披露如何收集资料,并违法向用户推送个性化广告。

起底 Google 如何犯错事情起源

CNIL 是法国国家资讯与通讯委员会(法国资料保护主管机构),官网有个资讯点。2018 年 5 月 25 日和 28 日,CNIL 收到无业务组织(NOYB)和维权组织 La Quadrature du Net(LQDN)投诉。LQDN 被 1 万人强制要求将「此事」提交 CNIL。

这两起投诉均指责 Google 没有有效的法律依据来处理服务用户的个人资料,特别是出于广告个性化目的。

被罚 5 千万欧元,Google 到底犯了什幺错?

 CNIL 官网的「罚款通知」。

CNIL 处理投诉

CNIL 立即开始调查。2018 年 6 月 1 日,根据 GDPR 规定的欧洲合作条款,CNIL 向欧洲同行传送这两项投诉,以评估是否有权处理这次事件。要注意的是,GDPR 建立了一站式服务机制,规定在欧盟设立的企业组织只应有一个对话者,这个对话者就是该组织所在国的资料保护主管机构(DPA)。

由于 Google 欧洲总部在爱尔兰,因此法国想要调查这件事,就必然涉及跨境处理,也意味着要协调其他资料保护机构之间的合作。

但实际上,由于 Google 爱尔兰总部对 Android 作业系统和 Google 在建立帐户期间提供的服务处理作业没有任何决策权,因此爱尔兰资料保护主管机构没办法处理这件事,意味着一站式服务机制不适用──CNIL 有权就 Google 在手机进行的处理作业做出任何处罚决定。

2018 年 9 月,CNIL 再度启动线上调查,目的是透过分析用户的浏览模式,验证 Google 的处理作业是否符合法国资料保护法和 GDPR。

CNIL 观察到的违规行为

CNIL 检查过程中,发现 Google 在两个关键领域违反了新的隐私规则。

第一,违反透明度和资讯义务,用户无法轻易存取 Google 提供的资讯。

用户登陆 Google 时,基于个性化的广告会轮番出现,用户为了进入下一步骤,必须多次点击按钮和连接(5~6 次),才能存取相关资讯。此外,某些用户资料没有提供有关保留期的资讯。这意味着如果用户不被动接受广告,无法提供服务(貌似中国很多软体都这样)。

被罚 5 千万欧元,Google 到底犯了什幺错?

第二,违反为广告个性化处理提供法律依据的义务。

儘管 Google 表示获得用户同意才处理资料,以进行广告个性化。但 CNIL 认为,由于两个原因,Google 无法「有效」获得同意。

首先,用户的「同意」并未充分了解情况。比如 Google 稀释投放广告,打散到 Google 搜寻、YouTube、Google 首页、Google 地图、Play Store、Google 图片等处,个人资讯在多档案下过度传递(预计 20 个)。

其次,用户的「同意」既不具体也不明确。建立帐户后,用户透过按一下「更多选项」按钮修改与帐户关联的某些选项,在「建立帐户」按钮上方存取。实际上,用户不仅必须点击「更多选项」按钮来存取,而且还预先勾选广告个性化的显示。但根据 GDPR 规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是「明确的」。最后建立帐户之前,要求用户勾选「 我同意 Google 的服务条款 」框和「我同意如上所述处理我的资讯,并在隐私政策中进一步说明」才能完成建立帐户。

CNIL 认为 GDPR 没有受尊重,因 GDPR 规定,只有明确同意每个目的时,同意才「具体」。

5 千万欧元罚款怎幺算出来的?

这次罚款之所以引发广泛关注,不仅在于被罚的主体是世界性网路巨头 Google,更是以严格着称的 GOPR 诞生以来最高罚款。之前 GDPR 已有多次小额罚款:

CNIL 这次尝鲜,让 GDPR 获得更广的权力。CNIL 认为,这次罚金及罚款宣传都合理,有以下几点理由:

GDPR 开启对硅谷巨头的审查?

GDPR 在 2018 年 5 月正式实施,引入更严格的处理和储存个人资料规则。目的是迫使像 Google 这类大型科技公司彻底改革用户隐私政策,基于欧盟的规则,要求公司充分披露收集的资料、用在何工作上,为用户提供更多资讯控制权,并必须在 72 小时内报告资料洩露事件。

法国这次罚款,可能意味着 GDPR 对硅谷巨头严厉审查的开启,毕竟在之前,欧盟已处罚过苹果税务问题,调查多次 Facebook 的隐私丑闻,对 Google / Android 系统涉嫌垄断开出 43.4 亿欧元天价罚款。

现在,Google 在欧洲吃了 GDPR「当头棒」,迫使其他硅谷同行重新考虑冒险行为了。

华盛顿邮报认为,欧洲的 GDPR 实际上制定了全球隐私规则,美国则缺乏类似、总体的联邦消费者隐私法,这意味着欧洲成为实际上的世界隐私警察。

美国团体:我们也要这幺强的法律!

对这次处罚,当初发起投诉的非营利组织 NOYB(无业务组织)负责人 Max Schrems 说:「我们非常高兴欧洲资料保护机构首次利用 GDPR 的可能性来惩罚明显的违法行为。重要的是,仅声称合规远远不够。」

投诉的另一团体 La Quadrature du Net 则认为,这罚款与 Google 的年营业额相比「非常之少」。他们希望主管机构尽快回应针对 Google 的其他投诉,以便开出最高 47 亿美元的罚款。

被罚 5 千万欧元,Google 到底犯了什幺错?

 Google 在 2018 年 Q3 赚了 337.4 亿美元。

Google 表示,正在「研究我们下一步决定」,并补充:「人们期望我们实现高标準的透明度和控制力。我们坚定地致力于满足这些期望和 GDPR 的要求。」

对这笔罚款,Google 没有正面回答接受还是不接受。

FTC 虽是美国最重要的隐私和安全主管机构,却多年来未能对科技公司採取行动。而眼下,美国消费者权益倡导者正在强烈鼓励美国立法者跟随欧洲的脚步。

另外还值得一提的是,前脚 GDPR 罚款一出,日本后脚就跟上,有意考虑修订法律,以便对 Google、苹果、Facebook 和亚马逊等海外科技巨头实施「通讯保密」规定。之前,印度资料本土化运动遭遇硅谷巨头的强烈抵抗。

Google「犯错」,谁会是下一个?

相关文章