5000万欧！谷歌又收法国监管机构罚单 因未能遵守通用数据保护条例

法国数据隐私机构CNIL(国家数据保护委员会)以未能遵守欧盟《通用数据保护条例》(GDPR)规定向谷歌开出5000万欧元(5700万美元)罚单。

据该组织发布的一份新闻稿称，CNIL称谷歌因“在广告个性化方面缺乏透明度、信息不充分以及缺乏有效的同意”而对其处以罚款。这一消息首先由法新社报道。

隐私

GDPR于去年5月生效，旨在收紧整个欧盟的数据保护法律范围，并确保在线服务用户拥有管理其数据的控制机制。

这些规定意味着所有公司都不得不重新考虑如何在整个集团中运营，而一些在线财产如报纸选择在欧洲脱机，而不是面临可能的高额罚款。与此同时，谷歌上个月宣布，它正在将欧洲数据的控制从美国转移到爱尔兰，以帮助其遵守GDPR规则，这一转变定于明天生效，使今天的新闻更加引人注目。

最近CNIL对谷歌的调查是由两个隐私压力集团——La Quadrature du Net(LQDN)和None Of Your Business(NOYB)发起的。 NOYB实际上是奥地利著名隐私活动家Max Schrems的心血结晶，他曾因Facebook对用户数据管理不善而将之告上欧洲最高法院。他目前还在追查苹果、亚马逊和其他不遵守GDPR的公司。

针对谷歌投诉的症结在于，它的行为是非法的，迫使用户接受具有侵入性的条款，或失去对该服务的访问权。有人认为，这种“强制同意”违背了GDPR规定的原则，即用户有权选择是否允许公司使用他们的数据。换句话说，不应该允许科技公司采取“要么接受，要么放弃”的方式，迫使用户同意侵犯隐私的条款和条件。

CNIL称其在9月份进行了“在线检查”，以确定谷歌的在线服务是否符合法规要求。

违规

监管机构发现了两项核心隐私侵权行为。首先，它观察到与谷歌如何处理数据、存储数据的时间以及用于个性化广告信息类型相关的信息可见性并不容易访问。它发现这些信息“在多个文档中过度传播，需要点击按钮和链接才能访问补充信息。”

实际上，CNIL表示，用户找到所需信息的障碍太多，需要多达六个单独的操作来获取信息。即使他们找到了这些信息，也“并不总是清晰或全面。”

其次，CNIL表示，它发现谷歌没有“有效”获得用户同意处理其数据以用于广告个性化。它说，问题的一部分是，同意它收集不是通过特定或明确的方式完成的。CNIL表示，谷歌并没有为每个数据处理操作提供足够的细粒度控制。

根据GDPR的规定，只有用户明确的肯定行动(例如勾选未预先勾选的方框)，同意才是“明确的”。

CNIL在这里有效引用的是暗模式设计，它试图通过界面的设计和布局引导用户选择接受术语。这也是Facebook经常做的事情，因为它试图获得用户对新功能或条款和条件的同意。

值得注意的是，谷歌开展业务的方式上，在许多方面都面临着来自欧盟的巨大压力。去年7月，谷歌因安卓反垄断案被处以创纪录的50亿美元罚款，不过该公司目前正在上诉。几个月前，谷歌彻底改革了其在欧洲的Android商业模式，决定向Android设备制造商收取预装其应用程序的许可费。

谷歌尚未确认其下一步将采取什么措施，但它可能会对其他罚款做出上诉。 “人们希望我们能够实现高标准的透明度和控制。”谷歌发言人告诉VentureBeat。 “我们致力于满足这些期望和GDPR的要求。我们正在研究决定下一步的决定。”