近日,法国数据监管机构CNIL对谷歌开出罚单,称其数据收集政策违反GDPR条款,缺乏透明度,信息不足且缺乏有关个性化广告方面数据收集的详细条款,并最终对其处以5000万欧元的罚款。
事件经过
该案件从去年5月份开始,最初由用户隐私组织NOYB和La Quadrature du Net(LQDN)提出投诉,第一起投诉在GDPR生效当天提起,该组织声称谷歌没有有效的法律依据来处理新规定下的个性化广告用户数据收集事宜。至于最终做出的罚款决定,CNIL表示自2018年9月正式调查以来,谷歌并未对此问题做出修复。
根据BleepingComputer的报道,NOYB还代表了10个用户向奥地利数据保护局提交了10份投诉,指控八家在线流媒体公司违反GDPR的第15条规定,即赋予所有欧盟公民获得公司关于用户的所有原始数据副本的权利等,涉及亚马逊、苹果、DAZN、 Spotify、 SoundCloud、 YouTube、 Flimmit、 Netflix。
具体原因
这些公司之所以会被投诉甚至罚款,均因违反了用户数据收集和访问权利规定,这些在GDPR中存在清晰表述。
根据GDPR规定,数据收集者不能用隐藏默认的方式获取用户许可,必须提前进行明确的提示与询问,获得允许后才可使用用户数据;收集之后,需要为用户提供查看收集数据概览及用途,还需要具备用户删除功能。
在用户权利方面,用户对个人数据拥有完全所有权,即便同意收集也具备随时查看撤回或删除相关协议的权利。在用户撤回删除相关授权后,数据收集者必须立即将相关数据进行匿名化处理。
谷歌本次被罚的主要原因集中在如下几点:
1、出于个性化广告目的收集用户数据,但谷歌方面给出的表述很难让用户理解自己的数据到底是如何为个性化广告服务的,用户点击5、6次都得不到答案,难以追踪数据使用方式;
2、谷歌账户注册出现捆绑现象。当用户注册谷歌账户时,这些账户很可能同样可以登录谷歌地图、YouTube和谷歌图片等,这类捆绑是GDPR所禁止的。
3、很多隐私权限默认勾选同意。注册谷歌服务时,是否同意将信息用于个性化广告及同意隐私政策等选项默认为同意,这也是GDPR所禁止的。
苹果、亚马逊等在内的公司被投诉,主要原因如下:
根据规定,流媒体公司需要让用户享有获取原始数据副本的权利,以及数据来源、接收者、处理数据目的和数据存储等方面的详细信息。
但是,经过NOYB测试,DAZN 和 SoundCloud 完全忽略了数据请求,其余几家回复的数据要么不完整,要么无法理解。
虽然这八家暂时没受到明确处罚,但如果一直不修正此问题,很可能面临 1000 万到 2000 万欧元,或者企业全球年营业额的2%到4%的处罚,具体金额以较大数字为主。
谷歌回应
在收到处罚通知后,谷歌方面在声明中表示遵守GDPR的承诺,并尝试在之后进行改进,具体声明如下:
“People expect high standards of transparency and control from us. We’re deeply committed to meeting those expectations and the consent requirements of the GDPR. We’re studying the decision to determine our next steps.”
译:“人们期望我们有高标准的透明度和控制权,我们正在致力于满足这些期望并遵守GDPR的要求。我们正在研究下一步的决定。”
GDPR历史出击
去年5月25日,GDPR正式上线。据悉,当日一早,欧洲一大堆网页链接无法访问,众多APP也出现不在服务区的状况,而这些网站和APP大部分来自美国。为了不被罚款,很多公司最终决定屏蔽欧洲用户。
但是,这并没有阻止谷歌和Facebook,最终这两家公司成功收到了欧盟39亿欧元和37亿欧元罚款的诉讼。没错,这次的5千万欧元罚款并不是谷歌收到的第一张来自GDPR的罚单。
在GDPR的笼罩下,不少应用不得不按章办事。极具讽刺意味的是,一款5.2MB大小的APP依据GDPR规定去除所有广告追踪模块之后,居然神奇得缩小到只有500KB,可见曾经的水分有多大。
结语
本次GDPR条例自公布之日起就被评价为“史上最严”条例,但收获了欧洲本地用户的不少支持,这或许意味着牺牲隐私换取福利的时代正在慢慢结束。