被罰 5 千萬歐元,Google 到底犯了什麼錯?

作者 | 發布日期 2019 年 01 月 23 日 8:30 | 分類 Google , 科技政策 , 資訊安全 follow us in feedly

月 22 日,法國主管機構對 Google 開出首筆 GDPR 罰款,金額達 5 千萬歐元(約 5.7 千萬美元)──是自 2018 年 GDPR 法規生效以來首次對美國科技巨頭實施的重大處罰。



處罰的根本原因是:Google 未向 Android 用戶明確披露如何收集資料,並違法向用戶推送個性化廣告。

起底 Google 如何犯錯

事情起源

CNIL 是法國國家資訊與通訊委員會(法國資料保護主管機構),官網有個資訊點。2018 年 月 25 日和 28 日,CNIL 收到無業務組織(NOYB)和維權組織 La Quadrature du NetLQDN)投訴。LQDN 被 1 萬人強制要求將「此事」提交 CNIL

這兩起投訴均指責 Google 沒有有效的法律依據來處理服務用戶的個人資料,特別是出於廣告個性化目的。

▲ CNIL 官網的「罰款通知」。

CNIL 處理投訴

CNIL 立即開始調查。2018 年 6 月 1 日,根據 GDPR 規定的歐洲合作條款,CNIL 向歐洲同行傳送這兩項投訴,以評估是否有權處理這次事件。要注意的是,GDPR 建立了一站式服務機制,規定在歐盟設立的企業組織只應有一個對話者,這個對話者就是該組織所在國的資料保護主管機構(DPA)。

由於 Google 歐洲總部在愛爾蘭,因此法國想要調查這件事,就必然涉及跨境處理,也意味著要協調其他資料保護機構之間的合作。

但實際上,由於 Google 愛爾蘭總部對 Android 作業系統和 Google 在建立帳戶期間提供的服務處理作業沒有任何決策權,因此愛爾蘭資料保護主管機構沒辦法處理這件事,意味著一站式服務機制不適用──CNIL 有權就 Google 在手機進行的處理作業做出任何處罰決定。

2018 年 月,CNIL 再度啟動線上調查,目的是透過分析用戶的瀏覽模式,驗證 Google 的處理作業是否符合法國資料保護法和 GDPR

CNIL 觀察到的違規行為

CNIL 檢查過程中,發現 Google 在兩個關鍵領域違反了新的隱私規則。

第一,違反透明度和資訊義務,用戶無法輕易存取 Google 提供的資訊。

用戶登陸 Google 時,基於個性化的廣告會輪番出現,用戶為了進入下一步驟,必須多次點擊按鈕和連接(5~6 次),才能存取相關資訊。此外,某些用戶資料沒有提供有關保留期的資訊。這意味著如果用戶不被動接受廣告,無法提供服務(貌似中國很多軟體都這樣)。

第二,違反為廣告個性化處理提供法律依據的義務。

儘管 Google 表示獲得用戶同意才處理資料,以進行廣告個性化。但 CNIL 認為,由於兩個原因,Google 無法「有效」獲得同意。

首先,用戶的「同意」並未充分了解情況。比如 Google 稀釋投放廣告,打散到 Google 搜尋、YouTubeGoogle 首頁、Google 地圖、Play StoreGoogle 圖片等處,個人資訊在多檔案下過度傳遞(預計 20 個)。

其次,用戶的「同意」既不具體也不明確。建立帳戶後,用戶透過按一下「更多選項」按鈕修改與帳戶關聯的某些選項,在「建立帳戶」按鈕上方存取。實際上,用戶不僅必須點擊「更多選項」按鈕來存取,而且還預先勾選廣告個性化的顯示。但根據 GDPR 規定,只有用戶明確的肯定行動(例如勾選未預先勾選的方框),同意才是「明確的」。最後建立帳戶之前,要求用戶勾選「 我同意 Google 的服務條款 」框和「我同意如上所述處理我的資訊,並在隱私政策中進一步說明」才能完成建立帳戶。

CNIL 認為 GDPR 沒有受尊重,因 GDPR 規定,只有明確同意每個目的時,同意才「具體」。

5 千萬歐元罰款怎麼算出來的?

這次罰款之所以引發廣泛關注,不僅在於被罰的主體是世界性網路巨頭 Google,更是以嚴格著稱的 GOPR 誕生以來最高罰款。之前 GDPR 已有多次小額罰款:

  • 2018 年 12 月,一家葡萄牙醫院工作人員使用假帳戶存取患者病歷被罰款 40 萬歐元。
  • 2018 年 11 月,德國社群媒體因用純文字檔儲存社交媒體密碼而被罰款 2 萬歐元。
  • 2018 年 10 月,奧地利一家企業因拍攝公共空間的安全鏡頭被罰款 4,800 歐元。

CNIL 這次嘗鮮,讓 GDPR 獲得更廣的權力。CNIL 認為,這次罰金及罰款宣傳都合理,有以下幾點理由:

  • 這不是 Google 第一次違反 GDPR,而是持續性、長時間。
  • 處罰目的在於要求 Google 做到讓用戶控制自己資訊資料,充分告知用戶風險,允許用戶有效同意。
  • 考慮到 Android 作業系統在法國市場的重要地位,成千上萬的法國人每天都在用智慧手機時建立 Google 帳戶,影響很大。
  • Google 的獲利模式側重廣告,因此基於廣告個性化的罰款也理所當然。

GDPR 開啟對矽谷巨頭的審查?

GDPR 在 2018 年 月正式實施,引入更嚴格的處理和儲存個人資料規則。目的是迫使像 Google 這類大型科技公司徹底改革用戶隱私政策,基於歐盟的規則,要求公司充分披露收集的資料、用在何工作上,為用戶提供更多資訊控制權,並必須在 72 小時內報告資料洩露事件。

法國這次罰款,可能意味著 GDPR 對矽谷巨頭嚴厲審查的開啟,畢竟在之前,歐盟已處罰過蘋果稅務問題,調查多次 Facebook 的隱私醜聞,對 Google / Android 系統涉嫌壟斷開出 43.4 億歐元天價罰款。

現在,Google 在歐洲吃了 GDPR「當頭棒」,迫使其他矽谷同行重新考慮冒險行為了。

華盛頓郵報認為,歐洲的 GDPR 實際上制定了全球隱私規則,美國則缺乏類似、總體的聯邦消費者隱私法,這意味著歐洲成為實際上的世界隱私警察。

美國團體:我們也要這麼強的法律!

對這次處罰,當初發起投訴的非營利組織 NOYB(無業務組織)負責人 Max Schrems 說:「我們非常高興歐洲資料保護機構首次利用 GDPR 的可能性來懲罰明顯的違法行為。重要的是,僅聲稱合規遠遠不夠。」

投訴的另一團體 La Quadrature du Net 則認為,這罰款與 Google 的年營業額相比「非常之少」。他們希望主管機構盡快回應針對 Google 的其他投訴,以便開出最高 47 億美元的罰款。

▲ Google 在 2018 年 Q3 賺了 337.4 億美元。

Google 表示,正在「研究我們下一步決定」,並補充:「人們期望我們實現高標準的透明度和控制力。我們堅定地致力於滿足這些期望和 GDPR 的要求。」

對這筆罰款,Google 沒有正面回答接受還是不接受。

FTC 雖是美國最重要的隱私和安全主管機構,卻多年來未能對科技公司採取行動。而眼下,美國消費者權益倡導者正在強烈鼓勵美國立法者跟隨歐洲的腳步。

另外還值得一提的是,前腳 GDPR 罰款一出,日本後腳就跟上,有意考慮修訂法律,以便對 Google、蘋果、Facebook 和亞馬遜等海外科技巨頭實施「通訊保密」規定。之前,印度資料本土化運動遭遇矽谷巨頭的強烈抵抗。

Google「犯錯」,誰會是下一個?

(本文由 雷鋒網 授權轉載;首圖來源:Flickr/Stock Catalog CC BY 2.0)

延伸閱讀:

關鍵字: , , , ,