法国一家监管机构对Alphabet Inc. (GOOG)旗下的谷歌公司(Google)罚款5,000万欧元(合5,680万美元),指责这家搜索引擎巨头收集数据用于定向投放广告时在征得用户有效同意方面做得不够。
这是欧洲隐私保护新规颁布以来开出的最大一笔罚单,也是监管机构根据去年在全欧盟范围内生效的《通用数据保护条例》(General Data Protection Regulation, 简称GDPR)所采取的最引人关注的监管行动之一。GDPR要求公司遵守严格的数据保护和隐私规定,保护欧盟居民。新规很大部分条款要求公司向用户解释如何收集以及使用他们的数据,并且在许多情况下必须征得用户同意之后才能收集这些数据。
谷歌一名发言人称∶“公众对我们的透明度和控制水平有很高期待。我们致力于满足这些期待和GDPR对于如何征得用户同意的要求。我们正在研究这项裁决,以确定下一步行动。”谷歌可以对这项裁决提起上诉。
这笔罚款对谷歌来说数额不大,但却是采纳GDPR的各国中迄今开出的最大一笔罚单,这些国家的监管机构运用GDPR来解决数据和隐私保护不足的问题。在不少观察人士看来,这次处罚也打响了第一枪,随著监管机构运用GDPR这个新的法律武器??并有可能摸索其使用边界,后续或接连有监管行动到来。
在新的法规下,欧盟监管机构可以对公司处以全球年收入最高4%的罚款,或2,000万欧元,取两者之中数额较大者。
法国监管机构周一的裁决聚焦于一个未来几年可能会出现的重大法律问题上∶从法律上来讲如何界定一家公司是否在使用个人隐私数据时已充分征得用户“同意”?隐私倡议人士称,许多公司的隐私规则过于复杂或不清晰,消费者如果不同意使用个人数据就无法使用这些公司的服务。倡议人士还认为,使用大量用户数据是提供服务的必要条件这种说法也违反了GDPR。
维权人士在GDPR去年5月生效后对多个欧盟国家的大型科技公司提出投诉,周一的决定源于这些投诉中的两起。相关投诉称,用户并未获得GDPR所规定的自由同意权。
大型科技公司则表示,他们已经努力设计系统,精简选项,方便用户给予或撤回同意。事实上谷歌已经遭到一些广告发布商的批评,尤其是在德国,因为谷歌严格要求发布商向用户展示定向广告时需征得用户的明确同意。
法国周一的裁决主要侧重于谷歌提供的消费者知情信息有多容易找到以及有多完整。
法国国家数据保护委员会(National Data Protection Commission, 简称CNIL)表示,谷歌违反了数据收集信息必须透明以及必须充分告知用户的规定。CNIL表示,数据处理目的和数据存储时间段等所有的信息并不是一起出现的,有时最多要点击五六次。CNIL还称,一些表示同意的选框已经是默认勾选状态,而这是违法的。
CNIL称,谷歌在其平台上投放个人化广告时未曾获得适当的用户同意。
接下来,在要求谷歌做出用户许可调整方面,这家法国监管机构将不能单独行动。CNIL将必须与其他欧盟监管部门合作,主要是爱尔兰的数据保护委员会(Data Protection Commissioner)。到了周二,该委员会将成为欧盟范围内处理谷歌数据保护问题的主要监管机构。
爱尔兰数据保护委员会周一称,到目前为止,谷歌尚未达到在爱尔兰设立机构或场所的标准,因为谷歌的欧洲用户数据由其美国实体负责处理,而不是由其爱尔兰子公司负责。此前,这意味著欧盟范围内的任何隐私监管机构(包括CNIL在内)都有资格调查、处罚谷歌。
去年12月份,谷歌表示,将于2019年1月22日之前对相关条款和条件做出调整,以明确爱尔兰数据保护委员会的角色,即该委员会是欧盟范围内处理其大多数事务的主要隐私监管机构。