9月14日,韩国个人信息保护委员会召开会议,对谷歌和Meta未经用户同意收集个人信息、用于个性化推荐广告的违法行为进行审议,并对谷歌处以692亿韩元(约合人民币3.46亿元)、对Meta 308亿韩元(约合人民币1.54亿元)的罚款。委员会要求,平台若要收集、利用第三方行为信息,必须提前通知用户并取得同意,让用户容易、明确地了解情况,并自由行使其决定权。
据悉,这是韩国首次就个性化推荐广告平台收集个人信息行为进行罚款,也是对企业违反韩国《个人信息保护法》开出的最大罚单。
根据韩国《个人信息保护法》第39条第15款,对此类违法行为,可以处以违法行为所得销售额百分之一以下金额的罚款。韩国个人信息保护委员会用谷歌和Meta提交的年度销售额乘以韩国用户比例,取2019-2021年3年的平均值为基础,考虑违法行为的严重性、持续时间等,最终共处以1000亿4千7百万韩元(约合人民币5亿元)的罚款。
据韩国中央日报,谷歌在一份声明中对此“深表遗憾”,并称将继续与韩国个人资料保护委员会沟通协商。Meta 则表示“无法就韩国个人信息保护委员的决定达成一致”,并称有可能提起上诉。对此,韩国个人信息保护委员会回应称“两家公司的违法行为十分确凿”,并表示已做好应对诉讼的准备。
根据韩国个人信息保护委员会发布的公告,自2021年2月起,委员会开始调查韩国国内外主要线上定向广告平台的行为信息收集和利用情况。调查持续了1年多的时间,重点为平台在收集第三方行为信息时是否得到了用户同意。
调查发现,谷歌在至少6年的时间内,在注册服务时没有明确告知用户第三方行为信息收集和使用事实细则,使用了“更多选项”隐藏部分设置,以及将隐私相关选项默认为“同意”。
具体来说,韩国和欧洲用户在注册谷歌账号时看到的界面不一样。对于个人信息权限的设置,谷歌在注册时提供了“快速定制”和“手动定制”的选择,在“手动定制”情况下,共分5个阶段显示浏览行为收集,保留时间、定向广告、个人信息保护等内容,用户可以分别选择同意或者不同意。委员会发现,欧洲用户界面上的显示更详细,而对韩国用户,“Web和APP活动”、“YouTube记录”、“广告个人优化”等被屏蔽在“更多选项”下,默认值设置为同意。
注册谷歌账户时同一阶段的界面,左图是韩国用户,右图是欧洲用户。图自韩国个人信息保护委员会公告文件
Meta则在约4年的时间内,将注册时需要告知用户的内容以不容易看懂的形式放在数据政策全文中。例如在创建Facebook账户时,共694行的协议显示在一次只能看到5行的滚动屏幕上。
创建Facebook账户时的协议显示界面。图自韩国个人信息保护委员会公告文件
今年5月,Meta试图将对韩国用户的隐私政策改为用户不同意收集信息便无法使用部分服务,但遭到用户强烈反对后于7月取消该计划。对此,韩国个人信息保护委员会正在调查Meta收集的第三方行为信息等是否为提供服务所必需的信息。
为什么平台在收集第三方行为信息时,要明确告知用户具体内容并得到同意?委员会公告指出,第三方行为信息是在用户访问其他网站或应用程序时自动收集的,因此用户很难预测自己在“哪些网站中的哪些行为信息”会被收集。特别地,在用户账号登录的所有设备上,平台都能监控在线活动,日积月累,可能收集或生成包括用户的“思想、信仰、政治见解、健康状况、生理数据、行为特征等”敏感信息。
韩国个人信息保护委员会的调查显示,大多数韩国用户的设置为允许平台收集第三方行为信息。其中,设置为允许的有82%以上的谷歌用户、98%以上的Meta用户,信息主体权利受到侵害的可能性和风险很大。
对此,韩国个人信息委员会委员长尹钟仁表示:“希望通过此次处分,纠正平台以提供免费服务为名,在用户不知情的情况下擅自收集、利用用户信息的行为。让这次处分成为一个契机,保障用户自主决定个人信息收集与利用的情况。……希望今后大型在线广告平台在收集和利用个人信息的过程中,能够显著提高透明度,尽到社会责任。”
韩国以外,其他国家也有类似案例,对谷歌和Meta第三方行为信息收集和定制广告的违法行为进行处罚。2019年1月,法国个人信息监管机构(CNIL)裁定谷歌在个性化广告方面“缺乏透明度,信息提供不充分,且未获得用户的有效同意”,对谷歌处以高达5000万欧元的罚款,是当时监管机构依据欧盟《一般数据保护条例》(GDPR)开出的最高金额罚单。2019年2月,德国反垄断监管机构(FCO)认为,Facebook在未经用户同意的情况下收集和利用了第三方行为信息,命其停止在德国境内的数据收集行为。
文|程雨祺 黄慧诗
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。