1月22日消息,据TechCrunch报道,法国数据保护监管机构CNIL日前按照欧洲《通用数据保护条例》(GDPR)规定,对谷歌开出5700万美元(约合5000万欧元)罚单。这家监管机构称,在安卓(Android)新用户设置新手机并按照安卓系统的引导流程操作时,谷歌没有遵守GDPR。这也是GDPR实施以来,针对一家公司的最大罚单。
早在2018年5月,名为“None Of Your Business”(NOYB)和La Quadrature du Net的两个非营利组织就已经对谷歌和Facebook提出投诉。按照GDPR规定,投诉会转给本地的数据保护监管机构。虽然谷歌的欧洲总部位于都柏林,但CNIL首先得出的结论是,在为新安卓用户处理数据方面,都柏林的团队没有最终决定权,决定权很可能在山景城总部。
CNIL随后得出结论,在透明度和获取用户同意方面,谷歌没有遵守GDPR规则。
对于缺乏透明度问题,监管机构在报告中写道:“有些重要信息,如数据处理目的、数据存储周期或用于个性化广告的个人数据类别,过度散布在多个文档中,用户需要点击按钮和链接才能获取补充信息。”举例来说,如果用户想知道他们的数据如何被处理以便用于个性化广告,需要点击5或6次。CNIL还表示,用户通常很难理解自己的数据是如何被使用的,谷歌的措辞故意宽泛而晦涩。
其次,CNIL认为,谷歌使用数据前获取用户同意的流程不符合GDPR规定。在默认情况下,谷歌会促使用户注册谷歌账户。该公司告诉用户,如果没有谷歌账户,他们的体验会非常糟糕。CNIL宣称,谷歌应将创建账户的行为与设置设备的行为分开,这种捆绑行为是违法的。
如果用户选择注册谷歌帐户,当该公司要求用户勾选或取消某些设置时,谷歌不会解释其含义。例如,当谷歌问你是否需要个性化广告时,该公司并没有告诉你它实际上在谈论许多不同的服务,从YouTube到谷歌地图再到Google Photos等,这不仅仅是关于你的安卓手机。
除此之外,谷歌在你创建账户时不会获取你的明确同意,因为选择退出个性化广告的选项隐藏在“更多选项”链接的后面。在默认情况下,该选项是预先勾选的(尽管本不应该勾选)。
最后,在默认情况下,当用户创建帐户时,谷歌在“我同意按照上面描述的方式处理我的信息,并在隐私政策中进一步解释”的框中打上标记。这种广泛的同意在GDPR中也是被禁止的。CNIL还提醒谷歌,自2018年9月展开调查以来,该公司行为没有发生改变。
NOYB主席马克斯·施雷姆斯(Max Schrems)发布声明称:“令我们感到兴奋的是,欧洲数据保护监管机构首次利用GDPR来惩罚明显违反法律的行为。随着GDPR的引入,我们发现像谷歌这样的大公司只是简单地‘以不同的方式解释法律’,往往只是对其产品进行表面上的调整。更重要的是,监管机构必须明确表示,仅仅提出投诉是不够的。令我们感到欣慰的是,我们保护人们基本权利的工作正在取得成果。”
谷歌发言人在声明中称:“人们对我们提高透明度和控制力抱有很高的期望。我们致力于满足这些期望和GDPR的同意要求。我们正在研究CNIL的决定,以决定下一步的行动。”(小小)