许可:法国以谷歌违反GDPR为由,对其处以5000万欧元的罚款。这让谷歌成为第一家被因此试刀的科技巨头。
在生效半年后,欧盟《一般数据保护条例》(GDPR)干将发硎。1月22日,法国国家信息技术和自由委员会(CNIL)以谷歌违反GDPR为由,对其处以5000万欧元的罚款。这张有史以来因违反个人数据保护义务而开出的最大一张罚单,让谷歌成为第一家被试刀的科技巨头。
谷歌因何被罚?
谷歌被罚绝非突发事件,其实它可以追溯至2018年5月25日,也就是GDPR生效的日子。在那一天,奥地利隐私活动家Max Schremssheli所领导的非营利性组织——欧洲隐私权倡导组织Noyb,就谷歌的安卓操作系统向CNIL投诉,主张谷歌个性化广告相关的数据搜集活动是把服务提供和用户同意相互捆绑的“强制同意”,违反了GDPR关于“同意”的规定。
无独有偶,基于类似的理由,2018年5月28日,法国数字版权组织La Quadrature du Net再次向CNIL集体投诉了谷歌的Gmail、YouTube和搜索服务。
面对投诉,谷歌则辩解说它完全遵守了GDPR的规定。谷歌认为在用户创建账户时,其《隐私权政策与服务条款》已经全面列出了个人数据处理的信息。同时,在根据每一项功能创建相关账户时,其收集的额外信息也会进一步显示。
其次,在服务过程中,用户不但可以通过“控制面板”(Dashboard)全面了解其使用的谷歌各项服务情况,还能使用隐私管理工具“隐私检查”(Privacy Check-UP),来修改隐私设置,包括个性化广告、历史位置、在线活动和应用方面的内容。
不过,监管机构对于这一辩解并不买账。CNIL列出了谷歌两大罪名:一是违反了GDPR第12、13条下的“透明度”义务;二是不满足GDPR第6条下的“同意”要求。首先,谷歌必须采用“简洁透明,易懂且易于获取的形式、清晰明了的语言”告知用户处理其个人数据的相关信息。但谷歌并没有做到。
CNIL认定为,谷歌向用户提供的信息是“碎片化”的,过于分散在不同的文件中:在创建账户时会打开《隐私权政策与服务条款》,随后是通过点击文件中的链接打开《隐私权政策》和《服务条款》,而在这两份文件中又有为获得补充信息必须点击激活的按键和链接。这
种“挤牙膏”式的信息设置,使得用户必须多次点击后才能获得必要信息。不仅于此,用户还不得不再次整合各项信息并进行比较,以此理解谷歌所处理的数据内容及其特定后果。
至于“控制面板”和“隐私检查”只是亡羊补牢,因为它们都是在用户同意数据处理之后的事后措施而已。
其次,根据GDPR的规定,同意必须是“通过明确的主动式行为而给出的个人意愿的指示,指示应当具体、明确、在知情情况下作出”。第29条数据保护工作组进一步指出:如果数据处理存在多项目的,那么每一个收集行为均应单独取得同意,反过来说,多项同意不得在接受服务之初捆绑在一起。这是因为,面对要么接受所有收集行为,要么全部拒绝的困境,用户往往缺乏真正的选择,从而欠缺了GDPR所必需的“自由意志”。
然而,谷歌恰恰违背了这一点。CNIL还指出,此前默认情况下预先勾选了同意框,类似于“选择退出”而不是“选择加入”,这带来了“勾选疲劳”的危险。事实上,CNIL上述观点早已与之。2018年10月,CNIL在针对法国线上广告商Vectaury作出限期整改决定时,就警告说:企业不能通过将多个用途捆绑在单个“我同意”按钮上,来获得对处理个人数据的同意。
5000万的罚款超过了GDPR确定的2000万欧元限额(可没有达到谷歌年收入4%的上限)。但CNIL认为,综合考虑谷歌在法国操作系统市场中的显著地位、使用谷歌服务的用户数量、处理个人数据的数量及种类,以及谷歌用户个人数据所遭受“大规模、入侵式”处理,这笔罚款“就其违规行为的严重程度来看是合理的”。