法国数据保护机构向谷歌开出 5700 万美元罚单

下一篇文章

加拿大运营商 Telus:与华为的合作是可靠的

法国数据保护监管机构 CNIL 对谷歌处以 5700 万美元(约合 5000 万欧元)的罚款,这也是《通用数据保护条例》(GDPR)生效以来 CNIL 实施的 第一笔罚款 。CNIL 声称,当安卓用户设置新手机并遵循安卓系统信息载入流程进行操作时,谷歌却未能遵守 GDPR 相关规定。

两个非营利组织“None Of Your Business”(noyb)和 La Quadrature du Net 最早在 2018 年 5 月进行了投诉——noyb 最初要求对谷歌和 Facebook 进行处罚 ,考虑到谷歌遭 CNIL 罚款,Facebook 接下来会发生什么,还请大家拭目以待。根据 GDPR 的规定,此类投诉会被移交至当地数据保护监管机构处理。

虽然谷歌欧洲总部位于都柏林,但 CNIL 最先得出结论称,谷歌都柏林团队在新安卓用户的数据处理问题上没有最终决定权——决定权可能掌握在谷歌美国总部手里。这也是调查在巴黎继续的原因。

CNIL 后来作出裁定,称谷歌在透明度和知情权方面均未遵守 GDPR 规定。

我们先来说一说谷歌如何缺乏透明度。CNIL 写道,“基本信息,如数据处理目的、数据存储期及用于广告个性化的个人数据类别,在多个文档中被过度传播,另外还有一些按钮和链接,在访问补充信息时就需要点击这些按钮和链接。”

举例来说,如果用户想要知道其数据如何被处理,以用于个性化广告,那么就需要点击五六下。CNIL 还说,通常你很难理解自己的数据是如何被使用的——谷歌的措辞是泛泛且有意含糊不清。

其次,CNIL 表示谷歌的同意流程也不符合 GDPR 规定。在默认情况下,谷歌确实会要求用户登录或注册谷歌帐户。该公司会告诉用户,如果没有谷歌帐户,他们的体验会更糟。CNIL 认为,谷歌应该将创建帐户的举动与设置设备的举动相分离——根据 GDPR 规定,同意捆绑是非法的。

如果用户选择注册某个帐户,谷歌会要求用户勾选或取消某些设置,在这种情况下,谷歌就无法解释这样做的意义。例如,当谷歌询问用户是否需要个性化广告时,该公司并没有告诉用户,它正在推荐许多不同的服务——从 YouTube 到谷歌地图和谷歌照片——而不仅仅是关于用户的安卓手机。

除此之外,谷歌在用户创建帐户时也不会要求他们作出具体且明确的同意——退出个性化广告的选项,隐藏在“更多选项”链接后面。那个选项在默认情况下是预先勾选的。

最后,在默认情况下,谷歌会在用户创建帐户时勾选一个框,上面写着“我同意我的信息按上述方式进行处理,也认可在‘私隐政策’中进一步解释的内容”。GDPR 也禁止这样措辞泛泛的同意流程。

CNIL 还提醒谷歌,自 2018 年 9 月该机构进行调查以来,该公司没有做出任何调整。

noyb 主席马科斯·施勒姆斯(Max Schrems)给我们发来以下声明:

“我们非常高兴,欧洲数据保护机构首次运用 GDPR 的可能性来惩罚明显的违法行为。在 GDPR 生效以后,我们发现像谷歌这样的大公司只是‘以不同的方式来解释法律’,而且在将这些法律适用于他们产品的问题上,态度往往很敷衍。重要的是,当局仅仅明确表示接受投诉的做法是不够的。我们也很高兴,我们保护基本权利的工作正在取得成果。我还要感谢让我们的工作成为可能的支持者们。”

更新: 谷歌发言人给我们发来以下声明:

“人们对我们提高透明度和控制力方面的期望很高。我们坚定地致力于满足这些期望和 GDPR 的同意要求。我们正在研究这一裁决,以确定我们的下一步行动。”

翻译:皓岳

French data protection watchdog fines Google $57 million under the GDPR