被罰 5 千萬歐元，Google 到底犯了什麼錯？

1 月 22 日，法國主管機構對 Google 開出首筆 GDPR 罰款，金額達 5 千萬歐元（約 5.7 千萬美元）──是自 2018 年 GDPR 法規生效以來首次對美國科技巨頭實施的重大處罰。

處罰的根本原因是：Google 未向 Android 用戶明確披露如何收集資料，並違法向用戶推送個性化廣告。

起底 Google 如何犯錯

事情起源

CNIL 是法國國家資訊與通訊委員會（法國資料保護主管機構），官網有個資訊點。2018 年 5 月 25 日和 28 日，CNIL 收到無業務組織（NOYB）和維權組織 La Quadrature du Net（LQDN）投訴。LQDN 被 1 萬人強制要求將「此事」提交 CNIL。

這兩起投訴均指責 Google 沒有有效的法律依據來處理服務用戶的個人資料，特別是出於廣告個性化目的。

▲ CNIL 官網的「罰款通知」。

CNIL 處理投訴

CNIL 立即開始調查。2018 年 6 月 1 日，根據 GDPR 規定的歐洲合作條款，CNIL 向歐洲同行傳送這兩項投訴，以評估是否有權處理這次事件。要注意的是，GDPR 建立了一站式服務機制，規定在歐盟設立的企業組織只應有一個對話者，這個對話者就是該組織所在國的資料保護主管機構（DPA）。

由於 Google 歐洲總部在愛爾蘭，因此法國想要調查這件事，就必然涉及跨境處理，也意味著要協調其他資料保護機構之間的合作。

但實際上，由於 Google 愛爾蘭總部對 Android 作業系統和 Google 在建立帳戶期間提供的服務處理作業沒有任何決策權，因此愛爾蘭資料保護主管機構沒辦法處理這件事，意味著一站式服務機制不適用──CNIL 有權就 Google 在手機進行的處理作業做出任何處罰決定。

2018 年 9 月，CNIL 再度啟動線上調查，目的是透過分析用戶的瀏覽模式，驗證 Google 的處理作業是否符合法國資料保護法和 GDPR。

CNIL 觀察到的違規行為

CNIL 檢查過程中，發現 Google 在兩個關鍵領域違反了新的隱私規則。

第一，違反透明度和資訊義務，用戶無法輕易存取 Google 提供的資訊。

用戶登陸 Google 時，基於個性化的廣告會輪番出現，用戶為了進入下一步驟，必須多次點擊按鈕和連接（5~6 次），才能存取相關資訊。此外，某些用戶資料沒有提供有關保留期的資訊。這意味著如果用戶不被動接受廣告，無法提供服務（貌似中國很多軟體都這樣）。

第二，違反為廣告個性化處理提供法律依據的義務。

儘管 Google 表示獲得用戶同意才處理資料，以進行廣告個性化。但 CNIL 認為，由於兩個原因，Google 無法「有效」獲得同意。

首先，用戶的「同意」並未充分了解情況。比如 Google 稀釋投放廣告，打散到 Google 搜尋、YouTube、Google 首頁、Google 地圖、Play Store、Google 圖片等處，個人資訊在多檔案下過度傳遞（預計 20 個）。

其次，用戶的「同意」既不具體也不明確。建立帳戶後，用戶透過按一下「更多選項」按鈕修改與帳戶關聯的某些選項，在「建立帳戶」按鈕上方存取。實際上，用戶不僅必須點擊「更多選項」按鈕來存取，而且還預先勾選廣告個性化的顯示。但根據 GDPR 規定，只有用戶明確的肯定行動（例如勾選未預先勾選的方框），同意才是「明確的」。最後建立帳戶之前，要求用戶勾選「我同意 Google 的服務條款」框和「我同意如上所述處理我的資訊，並在隱私政策中進一步說明」才能完成建立帳戶。

CNIL 認為 GDPR 沒有受尊重，因 GDPR 規定，只有明確同意每個目的時，同意才「具體」。