近日,法国国务委员会宣布,就去年谷歌因个性化广告涉嫌违反欧盟《通用数据保护条例》(GDPR)一事作出最终决定:谷歌未向安卓用户提供足够清晰、透明的告知,应支付法国国家信息与自由委员会(CNIL)开出的五千万欧元罚单。
对此,谷歌发言人回应称,这一判决并非针对个性化广告“是否需要同意”,而是与“应该如何获得同意”有关。她表示,谷歌将根据上述判决进行自我审查,决定需要做出哪些改变。
这项针对谷歌的调查源于None Of Your Business和La Quadrature du Net提出的两起集体诉讼。他们指出,谷歌缺乏有效的法律依据来处理用户的个人数据,尤其是被用于个性化广告的时候。
2019年1月,CNIL调查认为,谷歌有两处违反了GDPR:一是未满足透明度和信息披露的相关要求,比如数据用途、存储时限、个性化广告所需的个人数据类型等重要条款分散在不同的文件里,有时甚至需要跳转5、6次才能看全。
二是未尽到为个性化广告提供法律依据的义务,主要表现为用户没有得到充分告知。以“个性化广告”段落为例,用户从文本中无法充分了解数据处理过程中可能涉及到其他产品,如谷歌搜索、Youtube、谷歌地图等。
考虑到违规所造成的严重后果,CNIL首次依据GDPR对谷歌开出五千万欧元的罚单。随后,谷歌向法国最高仲裁机构——国务委员会提起上诉。
19日,国务委员会宣布认可CNIL的评估结果,驳回谷歌的上诉并维持原处罚。
国务委员会认为,首先谷歌对安卓用户的数据处理架构呈树状,不符合GDPR所要求的的清晰度和可访问性。而且谷歌提供的信息有时并不完整,尤其是在告知数据存储时长和数据用途方面。
其次,安卓用户在初次创建谷歌账号时,会被要求接受包括个性化广告在内的默认设置,但用户当时只能看到一些概括性信息,往往还被淹没在其他信息之中。因此,国务委员会认为,谷歌没有以足够清晰和独特的方式呈现个性化广告相关信息。
此外,谷歌还有强制一揽子同意的嫌疑。在谷歌的注册页面,个性化广告的选项是默认勾选的,而用户只有勾选了所有协议之后才能成功注册。这与GDPR要求的“明示同意”相悖。
鉴于谷歌所犯违规行为的严重性、持续性和持续时长,综合考虑GDPR规定的罚款上限以及谷歌的财务状况,国务委员会认为,CNIL对谷歌处以五千万欧元的罚款并无不合理之处。
事实上,根据GDPR,谷歌可能面临的顶格罚款金额将高达40亿美元,五千万欧元对于谷歌来说只是九牛一毛。不过,有观点认为,此次判决具有象征性意义——硅谷巨头们需要好好想想,收割用户数据用于个性化广告的底线究竟在哪。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。