法国数据监管部门1月21日开出首张GDPR罚单,对美国搜索巨头谷歌处以5000万欧元罚款,约合人民币3.66亿元。
法国国家信息自由委员会(CNIL)在声明中称,开出罚单的理由是谷歌未能在其数据同意政策中提供透明易懂的信息。
CNIL表示,谷歌的数据同意政策让用户很难理解和管理个人信息的使用偏好,尤其是在定向广告投放方面。
谷歌发言人表示:用户期待他们提供高标准的透明性和控制。谷歌全心全意地致力于满足用户的期待和GDPR的同意要求。
我们正在研究这项处罚决策以确定后续动作。
处罚的起因是去年5月GDPR生效后有2个隐私倡导团体对谷歌提出了投诉。
其中一个团体是法国非营利性组织 Quadrature du Net,代表约1万名用户提起控诉;另一个团体是奥地利隐私活动家 Max Schrems 创建的“不关你事( None Of Your Business )”社团。
Schrems控诉称,谷歌通过其安卓移动操作软件施行“强迫同意”政策,用弹出框暗示如果不同意条款就无法使用其服务。
而且,谷歌提供的信息不足以让用户明白其定向广告投放的法律基础是用户同意,而不是谷歌的合法商业利益。
Schrems在处罚裁定后发表声明称:他们发现,谷歌之类大公司会曲解法律,而且往往只是表面上根据立法改善他们的产品。
官方需澄清一点:简单宣称合规是不够的。
公众普遍认为GDPR是互联网诞生以来数据隐私监管方面的最大震动。
即便公司总部不在欧洲,只要其网站或服务有欧洲公民使用,就必须遵守该项史上最严条例。
CNIL发现,尽管谷歌去年也做出过一些调整,却依然没表现出对该项新规足够的尊重。
比如,谷歌对用户个人数据保存期限及用途的说明就分散在多个不同网页上。
修改用户数据偏好也需要连续点过一系列页面,而且同意谷歌条款的选项框往往被默认预选上了。
这种流程基本上就是在引导用户交出整体同意,而不是GDPR要求的“特定”或“具体”的同意。
该创纪录的5000万欧元罚款不仅反映出GDPR违规的严重性,也折射出谷歌安卓在法国市场上的统治地位。
CNIL表示:每天都有成千上万的法国用户在他们的智能手机上创建谷歌账户。
因此,谷歌在尊重其隐私保护义务上负有特殊的责任。
谷歌被监管机构叫停其隐私策略也不是第一遭了。
2014年谷歌被处以当时最高额的15万欧元罚款,原因就是没遵从监管机构颁布的个人数据隐私指南。
2016年,谷歌又因不符合欧盟的“遗忘权”规定而被罚10万欧元。遗忘权是指用户有权要求将对自己的引用从搜索结果中去除。
谷歌曾质疑该决定,称只适用于其欧洲站点,比如Google.fr,而不是全球性的Google.com。
本月早些时候,虽然最终判决尚未宣布,卢森堡欧盟法院法律总顾问表示站在谷歌一边。
本文来源:安全牛