1月22日,法国国家数据保护委员会(“CNIL”)第一次就违反GDPR的行为作出了处罚决定——对谷歌作出了高达五千七百万美元的罚款。这是自2018年GDPR生效以来,开出的最大的罚单。
违法调查
在收到来自两个组织——None of Your Business及La Quadrature du Net关于谷歌处理个人数据,特别是谷歌处理广告的投诉后,CNIL于2018年对谷歌展开调查。2018年9月在进行线上检查后,CNIL发现谷歌存在两种违反GDPR的行为。
谷歌违反了GDPR项下的透明和清晰阐明义务
GDPR规定了数据控制者(根据GDPR的规定,数据控制者指,可以单独或联合决定个人数据处理目的和方式的自然人和法人、公共机构、行政机关或其他组织)必须使用清楚且通俗易懂的语言,以简洁、透明、易读且便于获取的形式,提供关于其如何处理个人数据的信息。谷歌未能做到前述任一要求。
CNIL发现,谷歌根据GDPR要求应当提供的部分相关信息并不便于获取。具体来说,CNIL称用户需要通过分别访问不合理数量的多个文件,才能获得根据GDPR规定谷歌应当提供的基本信息,例如数据处理目的、数据储存期限及有关储存的个人数据类别的信息。基本上,用户需要执行多达5或6个步骤来获取这些信息。
CNIL还指出,谷歌提供的关于数据处理的信息含糊不清且过于宽泛,这同样也违反了GDPR的规定。
同时,CNIL认为谷歌从其用户处取得的同意并不符合GDPR标准。GDPR规定,用户同意必须是依据数据主体的意愿,自由作出的、特定具体的、清晰明确的、知情的指示。
CNIL认为,与谷歌针对个性化广告所作的数据处理有关的信息散见于不同文件中,未能充分告知客户,这导致了用户给出的同意是不充分的。另外,这些同意也不“特定具体”,即用户并非为各个数据处理目的单独作出同意,而是要么同意谷歌的所有数据处理目的(广告个性化、语音识别等),或不同意全部数据处理目的。
此外,在用户创建谷歌账户时,其是否同意个性化广告推送的选项是预勾选的。CNIL指出,根据GDPR的规定,同意只有在用户通过一个明确且肯定性的行为作出时——例如勾选选框,才符合“特定具体”的要求。要求用户默认一个预勾选的选项并不足以视为作出同意。
处罚
CNIL并未透露罚款金额为何高达五千七百万美元。但是CNIL认为,考虑到谷歌违法行为的严重性,罚款的金额及随后公开罚款是正当合理的。如上所述,谷歌违反了GDPR项下关于透明、清晰阐明和有效用户同意的基本义务。CNIL认为,一方面谷歌的违法行为持续至今且影响广泛(安卓操作系统在法国广泛流行);另一方面,谷歌的收入一部分是来源于个性化广告,所以谷歌应特别重视遵守其在GDPR项下的义务,因此谷歌的违法行为尤其严重。
