据法新社、英国卫报多家国外媒体1月21日报道,法国数据监管机构周一宣布对美国搜索巨头谷歌进行5000万欧元(约合5700万美元/4400万英镑)的罚款,这将是首次采用欧盟通用数据保护法规(GDPR)大案例。
据一份声明称,谷歌向CNIL监管机构提交的记录未能支持其有关数据获取过程中为客户提供易于理解的透明政策。CNIL表示谷歌让用户很难理解和管理他们如何使用个人偏好信息的,特别是有针对性的广告(此点常用于广告的精准投放,在国内各大网络巨头亦存在类似情况,甚至更甚!)。
谷歌发言人则在一份声明中如是说:“人们希望我们能够达到高标准的透明度和控制权。我们非常愿意致力于满足这些期望以及GDPR的相关同意要求。我们正在研究下一步的决定。”
根据具有里程碑意义的GDPR指令生效后不久,对谷歌的裁决是在去年5月由两个团体倡导提出的投诉之后做出的。其中一个由法国Quadrature du Net集团代表约10,000个签署者提交,而另一个则是由奥地利私人活动家Max Schrems创建的“None Of Your Business”。Schrems指责谷歌通过其在线或在其应用程序上使用弹出框来通过其Android移动操作软件获得“强制同意”,这意味着除非接受使用条件,否则其服务将无法使用。
CNIL认为:“所提供的信息不够明确,用户无法理解同意后,谷歌有针对性的发布广告的法律依据,谷歌的商业利益是不是合法”。
Schrems在裁决后的一份声明中说:“我们发现像谷歌这样的大公司只是'以不同的法律解释方式'做一些表明调整以适应他们的产品,重要的是,欧洲当局明确表示企业仅仅声称自己合规是不够的。”
自网络出现以来,GDPR被广泛认为是数据隐私法规的最大里程碑,即使是不在欧洲的公司,如果他们希望欧洲用户可以使用他们的网站和服务,也必须严格的遵守新规定。
CNIL发现,尽管谷歌自去年以来实施了一些针对GDPR的变革,仍未能尊重新规则的精神。例如,它注意到人们的数据保存时间和使用内容的具体细节分布在几个不同的网页上,修改用户的数据首选项还需要点击各种页面,例如“更多选项”,并且通常默认情况下会预先选中接受Google条款的选项。
监管机构认为:“这种程序导致全球用户同意......但这种同意并不像GDPR所要求的那样'具体'。”
本次创纪录的5000万欧元罚款,反映了谷歌通过Android在法国占据主导市场地位的严重失败。CNIL表示:“每天都有成千上万的法国用户在他们的智能手机上创建一个Google帐户,公司在尊重用户在这个领域的义务时负有特殊的不可推卸的责任。”
当然,这不是监管机构第一次强迫谷歌接受其政策采行动,2014年,谷歌未能遵守其个人数据隐私准则,被罚款150,000欧元,创当时本类罚款的最高金额。2016年,谷歌因违反欧盟“被遗忘权”(允许人们要求从搜索结果中删除对他们的引用)规则的行为,被处以10万欧元的罚款。
当然谷歌并未对此事坐以待毙完全接受这些指控,而是对这一判决提出了质疑,称其判决仅应适用于其欧洲网站,例如Google.fr,而非全球域名Google.com。据相关媒体报道,本月早些时候,卢森堡欧洲法院的辩护律师在此案中支持谷歌这一主张,最终的裁决尚未公布,最终结果以裁决生效为准。