违反GDPR,五千万欧元罚单从天而降Google也吃不了兜着走!
相信本周,各位大佬一定听说了,Google 被法国数据专门保护机关(以下简称“CNIL”)罚了 5000 万欧元。
小编今天要给各位大佬汇报的是,Google 挨罚的这件事情里面,各位大佬可以关注点儿啥。老规矩,小编希望各位大佬在看完本文后能了解以下内容。
. 为啥是 CNIL 来管;
. 因为什么罚 Google;
. 怎么就罚了 5000 万欧元这么多;
进入主题之前,小编给各位大佬说明一下,本文中很多细节都是从 CNIL 那篇二十多页法文的罚单中扒出来的。如果有法语好的大佬认为哪个细节小编理解的有问题,欢迎指正哈!
1. 为啥是 CNIL 来管
一开始的时候,CNIL 说这事儿归我管了,Google 是不服气的。
Google 认为其欧洲总部在爱尔兰,其 GDPR 下的“主要营业场所”也因此在爱尔兰。
根据 GDPR 的规定,爱尔兰的专门数据保护机构应该作为“主要保护机关”发起、协调和主导针对 Google 的调查。
也就是大家常说的,“一站式执法”。
Google 的这套说辞被 CNIL 怼了回去。
基于以下理由,CNIL 认为 Google 的欧洲总部不是 Google 的“主要营业场所”。
# 虽然,Google 欧洲总部得以在欧洲范围内调配大量的财务和人力资源,但是涉嫌违反 GDPR 的数据处理行为的目的和方式均不是 Google 欧洲总部来决定的,而是由位于美国的 Google 总部决定。
# Google 2018 年 5 月 25 日版本的“隐私和使用条款”中并没有提到 Google 欧洲总部将对披露的数据处理行为负责。
# 2018 年 12 月 3 日 Google 自己的邮件中提到,将于 2019 年 1 月 31 日,完全将数据处理行为产生的责任从美国 Google 总部转移到 Google 欧洲总部。并提到,将在 2019 年 1 月 22 日前相应的更新“隐私和适用条款”。
没有“主要营业场所”的情况下,无法确定 Google 在欧洲的“主要保护机关”。因此,根据 GDPR 的规定,CNIL 乃至于其他有关的数据专门保护机关有权在“主要保护机关”无法确定的情况下开展执法。
谁来管(也就是管辖权“jurisdiction”)这件事儿,Google 不服气的地方还有很多,比如质疑 CNIL 没有履行完 GDPR 规定的“协同一致”机制等等。限于篇幅,小编这里就不展开了。
2. 因为什么罚 Google?
. Google 违反了 GDPR 披露信息透明度要求 !
GDPR 规定:个人数据的控制者必须以“简洁、透明、易懂以及容易获取的方式,以清晰和平实的语言”向相关数据主体提供与处理其个人数据有关的信息。
首先,Google 个人数据处理有关的信息披露远非“容易获取”的。CNIL 进行了统计,如果完整阅读所有例如与“个性化广告”有关的 Google 的披露文档,用户需要执行五步操作。
其次,CNIL 认为,“隐私和使用条款”等披露文档本身,也没有满足“平实和清晰易懂的”要求。很多时候都是一些套话,比如“为了改进我们提供的服务,我们收集个人信息”,以及奇怪的话,比如“我们会根据您如何使用我们的服务和您的隐私设置来决定我们如何收集和使用您的信息”。
最后,CNIL 认为 Google 提供的账户设立时的“个人数据收集弹窗提示”、设立账户后可以使用的“隐私设置”功能以及“个人数据面板”功能均无法有效改善以上问题。
弹窗中提示的信息简单空泛。“隐私设置”和“个人数据面板”功能都只能在设立账号后才能使用,并且隐含有调整上面的设置,就会影响使用的意味。
. Google 就“个性化广告投放”征得用户“同意”的机制不符合 GDPR 要求 !
GDPR 规定:用户关于处理行为做出的“同意”,必须是“自愿的、具体的、完全知情且毫不含糊的”。“同意”应当通过明确的“主动肯定”行为做出。
首先,CNIL 指出,因为 Google 的信息披露存在问题,用户“同意”“个性化广告”投放时,并非“完全知情”的。这里上面已经讲过了,就不赘述了。
其次,CNIL 指出,Google 征得“同意”的机制,使得用户无法对“个性化广告”投放做出“具体”且“毫不含糊”的“同意”。这点其实非常有实践意义,如果有机会,小编希望可以单独写一篇文章,配上图给各位大佬好好讲讲。
Google 当然做出了很多的辩解,CNIL 也(当然)都给怼了回去,限于篇幅,小编这里也就不展开写了。
3. 怎么就罚了 5000 万欧元那么多?
不出所料的是,Google 认为 CNIL 罚的太狠了。Google 很委屈的表示,我这点儿事情,用罚的这么狠么?(Google 用了“disproportionate”这个词)。其实,你就跟我说我哪儿哪儿不对就行,我肯定能改的,咋上来就罚我这么多钱呢?
CNIL 对于 Google 进行了毫不留情面的驳斥。
首先,Google 违反的信息披露透明度和数据处理合法依据的规定,都是 GDPR 的核心规定,直接关系到用户是否可以控制和处置关乎其自由和个人生活的数据。违反这些规定也将因此受到最严厉的处罚。
其次,Google 的违反行为持续了很久。因此,既不能解读为对于 GDPR 义务的短期误解,也不能解读为偶然违反。在收到调查报告后,Google 也没有纠正这些违反行为。
然后,考虑到处理的目的和性质、范围和影响的人数和社会影响,Google 的违反行为非常严重。因此必须施以重罚使得 Google 意识到问题的严重性,重塑数字经济生态的平衡和良好发展。
最后,Google 的商业模式,其很大一部分收入来自于“个性化广告”的投放。CNIL 认为,Google 既然因此获利颇丰,也要相应的承担更高的责任。
这里小编还想说一句,别看 5000 万欧元多,如果考虑到 Google 全球年盈利多的吓人的这个因素的话,这还真的不是顶格处罚。
题外话:我们几个月前就关注过这件事儿
正事儿唠完了,小编还是忍不住感慨一句,历史的发展可能真的离不开猛人。
此前,小编曾经给各位大佬讲过这样一个故事。在 GDPR 生效的当天,奥地利大律师马克斯 · 施雷姆斯马律师,带领麾下全明星阵容的数据保护组织 NOYB(中文名“不关你的事”)把 Google、Facebook、Amazon 等高科技巨头告了个遍。是的,和你们想的一样。这次这笔五千万欧元的罚款,就是被马律师给闹的。
尾 声
小编注意到,罚单的结尾写到,Google 可以在四个月内上诉这张天价罚单。基于此,小编大胆猜测,这事情可能没有完。如果后期再有什么进展,我们会第一时间跟进并给各位大佬汇报。
(本文谨代表 APUS 研究院观点,并非正式法律意见。如有问题欢迎随时沟通。)
本文由 jqyjr 编辑排版
