近日,法國數據監管機構CNIL對谷歌開出罰單,稱其數據收集政策違反GDPR條款,缺乏透明度,信息不足且缺乏有關個性化廣告方面數據收集的詳細條款,並最終對其處以5000萬歐元的罰款。
事件經過
該案件從去年5月份開始,最初由用戶隱私組織NOYB和La Quadrature du Net(LQDN)提出投訴,第一起投訴在GDPR生效當天提起,該組織聲稱谷歌沒有有效的法律依據來處理新規定下的個性化廣告用戶數據收集事宜。至於最終做出的罰款決定,CNIL表示自2018年9月正式調查以來,谷歌並未對此問題做出修復。
根據BleepingComputer的報道,NOYB還代表了10個用戶向奧地利數據保護局提交了10份投訴,指控八家在線流媒體公司違反GDPR的第15條規定,即賦予所有歐盟公民獲得公司關於用戶的所有原始數據副本的權利等,涉及亞馬遜、蘋果、DAZN、 Spotify、 SoundCloud、 YouTube、 Flimmit、 Netflix。
具體原因
這些公司之所以會被投訴甚至罰款,均因違反了用戶數據收集和訪問權利規定,這些在GDPR中存在清晰表述。
根據GDPR規定,數據收集者不能用隱藏默認的方式獲取用戶許可,必須提前進行明確的提示與詢問,獲得允許後纔可使用用戶數據;收集之後,需要爲用戶提供查看收集數據概覽及用途,還需要具備用戶刪除功能。
在用戶權利方面,用戶對個人數據擁有完全所有權,即便同意收集也具備隨時查看撤回或刪除相關協議的權利。在用戶撤回刪除相關授權後,數據收集者必須立即將相關數據進行匿名化處理。
谷歌本次被罰的主要原因集中在如下幾點:
1、出於個性化廣告目的收集用戶數據,但谷歌方面給出的表述很難讓用戶理解自己的數據到底是如何爲個性化廣告服務的,用戶點擊5、6次都得不到答案,難以追蹤數據使用方式;
2、谷歌賬戶註冊出現捆綁現象。當用戶註冊谷歌賬戶時,這些賬戶很可能同樣可以登錄谷歌地圖、YouTube和谷歌圖片等,這類捆綁是GDPR所禁止的。
3、很多隱私權限默認勾選同意。註冊谷歌服務時,是否同意將信息用於個性化廣告及同意隱私政策等選項默認爲同意,這也是GDPR所禁止的。
蘋果、亞馬遜等在內的公司被投訴,主要原因如下:
根據規定,流媒體公司需要讓用戶享有獲取原始數據副本的權利,以及數據來源、接收者、處理數據目的和數據存儲等方面的詳細信息。
但是,經過NOYB測試,DAZN 和 SoundCloud 完全忽略了數據請求,其餘幾家回覆的數據要麼不完整,要麼無法理解。
雖然這八家暫時沒受到明確處罰,但如果一直不修正此問題,很可能面臨 1000 萬到 2000 萬歐元,或者企業全球年營業額的2%到4%的處罰,具體金額以較大數字爲主。
谷歌迴應
在收到處罰通知後,谷歌方面在聲明中表示遵守GDPR的承諾,並嘗試在之後進行改進,具體聲明如下:
“People expect high standards of transparency and control from us. We’re deeply committed to meeting those expectations and the consent requirements of the GDPR. We’re studying the decision to determine our next steps.”
譯:“人們期望我們有高標準的透明度和控制權,我們正在致力於滿足這些期望並遵守GDPR的要求。我們正在研究下一步的決定。”
GDPR歷史出擊
去年5月25日,GDPR正式上線。據悉,當日一早,歐洲一大堆網頁鏈接無法訪問,衆多APP也出現不在服務區的狀況,而這些網站和APP大部分來自美國。爲了不被罰款,很多公司最終決定屏蔽歐洲用戶。
但是,這並沒有阻止谷歌和Facebook,最終這兩家公司成功收到了歐盟39億歐元和37億歐元罰款的訴訟。沒錯,這次的5千萬歐元罰款並不是谷歌收到的第一張來自GDPR的罰單。
在GDPR的籠罩下,不少應用不得不按章辦事。極具諷刺意味的是,一款5.2MB大小的APP依據GDPR規定去除所有廣告追蹤模塊之後,居然神奇得縮小到只有500KB,可見曾經的水分有多大。
結語
本次GDPR條例自公佈之日起就被評價爲“史上最嚴”條例,但收穫了歐洲本地用戶的不少支持,這或許意味着犧牲隱私換取福利的時代正在慢慢結束。