1月22日，法國監(jiān)管機(jī)構(gòu)對Google開出了首筆GDPR罰款，金額達(dá)5000萬歐元（約5700萬美元）——這是自2018年GDPR法規(guī)生效以來首次對美國科技巨頭實(shí)施的重大處罰。

而處罰的根本原因是：Google未向Android用戶正確披露其數(shù)據(jù)如何被收集，并向用戶違法推送個(gè)性化廣告。

起底Google如何犯錯(cuò)

事情起源

CNIL是法國國家信息與通信委員會(huì)（法國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)），其官網(wǎng)給出了一個(gè)信息點(diǎn)。2018年5月25日和28日，CNIL收到了無業(yè)務(wù)組織（NOYB）和維權(quán)組織La Quadrature du Net（LQDN）的團(tuán)體投訴。LQDN被10000人強(qiáng)制要求將“此事”提交給CNIL。

這兩起投訴均指責(zé)Google沒有有效的法律依據(jù)來處理其服務(wù)用戶的個(gè)人數(shù)據(jù)，特別是出于廣告?zhèn)€性化目的。

CNIL官網(wǎng)的“罰款通知”

CNIL處理投訴

CNIL立即開始調(diào)查投訴。2018 年6 月1 日，根據(jù)GDPR中規(guī)定的歐洲合作條款，CNIL向歐洲同行發(fā)送了這兩項(xiàng)投訴，以評估其是否有權(quán)處理這次事件。這里要注意的是，GDPR建立了一站式服務(wù)機(jī)制，規(guī)定在歐盟設(shè)立的企業(yè)組織只應(yīng)有一個(gè)對話者，這個(gè)對話者就是該組織所在國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（DPA）。

由于Google在歐洲的總部在愛爾蘭，因此當(dāng)法國想要調(diào)查這件事，就必然涉及到跨境處理的問題，也意味著要協(xié)調(diào)其他數(shù)據(jù)保護(hù)機(jī)構(gòu)之間的合作。

但是實(shí)際上，由于Google愛爾蘭總部對Android操作系統(tǒng)和Google提供的有關(guān)在創(chuàng)建賬戶期間提供的服務(wù)處理操作沒有任何決策權(quán)，因此該國的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)就沒辦法處理這件事，也就意味著一站式服務(wù)機(jī)制在此時(shí)不適用——CNIL有權(quán)就Google在手機(jī)中進(jìn)行的處理操作做出任何處罰決定。

2018年9月，CNIL再度啟動(dòng)線上調(diào)查，目的是通過分析用戶的瀏覽模式，驗(yàn)證Google實(shí)施的處理操作是否符合法國數(shù)據(jù)保護(hù)法和GDPR。

CNIL觀察到的違規(guī)行為

CNIL在檢查過程中，發(fā)現(xiàn)Google在兩個(gè)關(guān)鍵領(lǐng)域違反了新的隱私規(guī)則。

第一，違反透明度和信息的義務(wù)，用戶無法輕易訪問Google提供的信息。

具體是怎樣的呢？當(dāng)用戶在登陸Google時(shí)，基于個(gè)性化的廣告會(huì)輪番出現(xiàn)在頁面上，用戶為了進(jìn)入下一個(gè)步驟，必須多次點(diǎn)擊按鈕和鏈接（5-6次），才能訪問相關(guān)信息。此外，某些用戶數(shù)據(jù)沒有提供有關(guān)保留期的信息。這實(shí)際上意味著，如果用戶不被動(dòng)接受廣告，服務(wù)將無法提供（貌似國內(nèi)很多軟件都這樣）。

第二，違反了為廣告?zhèn)€性化處理提供法律依據(jù)的義務(wù)。

盡管Google表示它獲得了用戶同意才去處理數(shù)據(jù)，以進(jìn)行廣告?zhèn)€性化的操作。但是，CNIL認(rèn)為，由于兩個(gè)原因，Google方面無法“有效”獲得同意。

首先，用戶的“同意”并未充分了解情況。比如Google對廣告進(jìn)行了稀釋操作，打散在Google搜索、You tube、Google主頁、Google地圖、Playstore、Google圖片中，個(gè)人信息在多個(gè)文件中被過度傳播（預(yù)計(jì)20個(gè)）。

其次，用戶的“同意”既不是具體的也不是明確的。創(chuàng)建帳戶后，用戶可以通過單擊“更多選項(xiàng)”按鈕修改與帳戶關(guān)聯(lián)的某些選項(xiàng)，在“創(chuàng)建帳戶”按鈕上方訪問。實(shí)際上，用戶不僅必須點(diǎn)擊“更多選項(xiàng)”按鈕來訪問配置，而且還預(yù)先勾選了廣告?zhèn)€性化的顯示。但是，根據(jù)GDPR的規(guī)定，只有用戶明確的肯定行動(dòng)（例如勾選未預(yù)先勾選的方框），同意才是“明確的”。最后，在創(chuàng)建帳戶之前，要求用戶勾選“ 我同意Google的服務(wù)條款 ”框  和“  我同意如上所述處理我的信息，并在隱私政策中進(jìn)一步說明”才能完成創(chuàng)建帳戶的過程。

CNIL認(rèn)為GDPR沒有受到尊重，因?yàn)镚DPR規(guī)定，只有在為每個(gè)目的明確給出同意時(shí)，同意才是“具體的”。

5000萬歐元罰款怎么開出來的？

這次的罰款之所以引發(fā)廣泛關(guān)注，不僅在于被罰的主體是世界性的互聯(lián)網(wǎng)巨頭Google，更在于其是以嚴(yán)格著稱的GOPR自誕生以來的最大罰款。雷鋒網(wǎng)了解到，此前GDPR發(fā)起多次小數(shù)額罰款：

• 2018年12月，一家葡萄牙醫(yī)院在其工作人員使用虛假帳戶訪問患者記錄后被罰款40萬歐元；

• 2018年11月，德國社交媒體因用純文本存儲(chǔ)社交媒體密碼而被罰款20000歐元；

• 2018年10月，奧地利的一家當(dāng)?shù)仄髽I(yè)因拍攝公共空間的安全攝像頭而被罰款4800歐元。

CNIL的這次嘗鮮，讓GDPR獲得了廣泛的效力。CNIL認(rèn)為，這次決定的罰金以及對罰款的宣傳都是合理的，并給出了以下幾點(diǎn)理由：

• 這不是Google一次性違反GDPR，而是持續(xù)性的、長時(shí)間的；

• 處罰的目的在于要求Google實(shí)現(xiàn)用戶控制自己信息數(shù)據(jù)的權(quán)利，充分告知用戶風(fēng)險(xiǎn)，允許用戶進(jìn)行有效同意；

• 考慮到了Android操作系統(tǒng)在法國市場上的重要地位，成千上萬的法國人每天都會(huì)在使用智能手機(jī)時(shí)創(chuàng)建一個(gè)Google帳戶，影響很大；

• Google公司的盈利模式是側(cè)重在廣告，因此基于廣告?zhèn)€性化的罰款也是理所應(yīng)當(dāng)。

GDPR開啟對硅谷巨頭的審查？

據(jù)了解，GDPR在2018年5月正式實(shí)施，引入了更嚴(yán)格的處理和存儲(chǔ)個(gè)人數(shù)據(jù)的規(guī)則。其目的是迫使像Google這樣的大型科技公司徹底改革其用戶隱私政策，基于歐盟的規(guī)則要求公司充分披露他們對所收集的數(shù)據(jù)所做的工作，為其用戶提供對其信息的更多控制權(quán)，并且必須在72小時(shí)內(nèi)報(bào)告數(shù)據(jù)泄露事件。

來自法國的這次罰款，可能意味著GDPR對硅谷巨頭嚴(yán)厲審查的開啟，畢竟在此前，歐盟已經(jīng)對蘋果公司的稅務(wù)行為進(jìn)行了處罰，對Facebook進(jìn)行了多次隱私丑聞的調(diào)查，對Google安卓系統(tǒng)涉嫌壟斷開出過43.4億歐元天價(jià)罰款。

現(xiàn)在，Google在歐洲吃了GDPR的“當(dāng)頭棒”，迫使其他硅谷同行們要重新考慮自己的冒險(xiǎn)行為了。

華盛頓郵報(bào)認(rèn)為，來自歐洲的GDPR實(shí)際上制定出了全球的隱私規(guī)則，而美國則缺乏類似的、總體的聯(lián)邦消費(fèi)者隱私法，這意味著歐洲成為了當(dāng)下事實(shí)上的世界隱私警察。

美國團(tuán)體：“我們也要這么強(qiáng)的法律”！

對于這次處罰，當(dāng)初發(fā)起投訴的非營利組織NOYB（無業(yè)務(wù)組織）的負(fù)責(zé)人Max Schrems說：“我們非常高興歐洲數(shù)據(jù)保護(hù)機(jī)構(gòu)首次利用GDPR的可能性來懲罰明顯的違法行為。重要的是，僅僅聲稱合規(guī)是不夠的?！?/p>

而發(fā)起投訴的另一個(gè)團(tuán)體La Quadrature du Net則認(rèn)為，這個(gè)罰款與Google的年?duì)I業(yè)額相比“非常之少”。他們希望監(jiān)管機(jī)構(gòu)盡快回應(yīng)針對Google的其他投訴，以便做出最高47億美元的罰款。

Google在2018年Q3賺了337.4億美元

作為回應(yīng)，Google表示正在“研究決定我們下一步的決定”，并補(bǔ)充道：“人們期望我們能夠?qū)崿F(xiàn)高標(biāo)準(zhǔn)的透明度和控制力。我們堅(jiān)定地致力于滿足這些期望和GDPR的要求?！?/p>

對于這筆罰款，Google沒有正面回答接受還是不接受。

而雷鋒網(wǎng)也觀察到，F(xiàn)TC作為美國最重要的隱私和安全監(jiān)管機(jī)構(gòu)，多年來未能對科技公司采取行動(dòng)。而眼下，美國消費(fèi)者權(quán)益倡導(dǎo)者們正在強(qiáng)烈鼓勵(lì)美國立法者們跟隨歐洲的這一腳步。

另外還值得一提的是，前腳GDPR罰款一出，日本后腳就跟上，有意考慮修訂法律，以便對Google、蘋果、Facebook和亞馬遜等海外科技巨頭實(shí)施“通信保密”規(guī)定。此前，印度數(shù)據(jù)本地化運(yùn)動(dòng)遭遇了硅谷巨頭的強(qiáng)烈抵抗。

谷歌“犯錯(cuò)”，誰會(huì)是下一個(gè)？（雷鋒網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。