當地時間1月21日,因違反《一般數據保護條例》(GDPR),法國向谷歌開出了5000萬歐元(約合5680萬美元)的罰單,後者由此成為該條例2018年5月生效以來首個遭受處罰的美國科技巨頭。這也是監管機構依據GDPR開出的最高金額罰單。
法國數據保護機構國家信息與自由委員會(CNIL)官網一份聲明中表示,谷歌在向用戶定向發送廣告時缺乏透明度、信息不足,且未獲得用戶有效許可,「用戶對於自己同意什麼並沒有充分的認識」。
谷歌在一份聲明中表示:公司堅決致力於滿足外界對其在透明度與控制標準方面的期望,以及GDPR所規定的用戶同意要求。「我們正在研究該項(處罰)決定,以決定下一步的行動。」
GDPR的影響不會止步於此。分析認為,此次處罰意味着「GDPR時代」正式到來,為日後對相關條款的理解與實際執行提供了案例,谷歌所代表的科技巨頭面臨的數據監管挑戰還在加劇。
「GDPR時代」到來
知名獨立網絡安全專家Lukasz Olejnik通過英國媒體表示,這是目前全球針對數據保護最高金額罰款,是隱私保護執法的里程碑,宣告着「GDPR時代」的到來。Olejnik認為,首個處罰決定至關重要,將決定人們如何理解法令條款及實際執行。「毫無疑問,將來會有更多罰單,它們將影響今後系統與軟件的設計。」
「這次處罰開了先河,影響深遠。」上海億達律師事務所律師董毅智對本報記者表示。他說,法國是歐盟最主要的國家之一、此次罰款金額不低、被罰者是科技業最具代表性的巨頭,幾大因素使得該次處罰的指導作用會非常強。
2018年5月,CNIL收到NOYB和LQDN兩家非營利性組織對谷歌的投訴。由於後者歐洲用戶的數據處理依然由其美國實體——而非位於愛爾蘭的歐洲總部——負責,依照GDPR規定,包括CNIL在內的歐盟各國隱私和數據監管機構將有權對谷歌進行調查並做出處罰,而無需通過愛爾蘭數據保護委員會(DPC)。
CNIL認為,谷歌未能履行信息透明義務,使用戶在訪問過程中不得不被動接受廣告。此外,因其披露的信息過於「籠統和含糊」且分散,用戶無法完全理解谷歌會如何使用數據;註冊方面,個性化廣告選項也是默認勾選,用戶勾選全部協議後才能完成註冊。
CNIL指出,谷歌對GDPR的違反並非一次性,而是長期持續的。考慮到對GDPR透明度、信息披露和明示同意三大要素的違背,以及違規的嚴重性,CNIL將處罰金額設置在5000萬歐元。
「通過投訴開始處理,援引保護條例,最終通過整個委員會決定處罰。被罰者可能會不服而提起相關訴訟,最後執行的到底是多少,可能還需要時間來確定。」董毅智表示,「但在程序上,再出現處罰時流程已可以借鑒。」
科技巨頭面臨強數據監管
英國《金融時報》指出,CNIL的裁決會加劇其他科技企業、數據供應商、徵信機構和廣告集團的擔憂,因為他們也可能會面臨依據GDPR提出的類似訴訟。
NOYB組織主席Max Schrems表示,對歐洲監管機構首次利用GDPR處罰科技巨頭違規行為感到「非常高興」。他指出,NOYB發現谷歌等大型公司往往以對法律「理解不同」的方式令產品表面合規,「聲稱合規是不夠的,監管機構明確這一點非常重要」。
依據GDPR對科技公司發起的投訴仍在繼續。1月18日,NOYB公告表示其測試顯示亞馬遜(1644.995, 12.83, 0.79%)、蘋果(154.54, 1.24,0.81%)、YouTube、Netflix(327.6479, 2.49, 0.77%)和Spotify等多家流媒體服務商違反了GDPR第15條規定的用戶對數據的訪問權,該組織已通過奧地利監管機構代表10個用戶向8家企業提出10項投訴。依照GDPR,奧地利監管部門需與上述流媒體服務商歐洲所在地監管機構合作,按照2000萬歐元或全球營業額4%處罰,理論上10起投訴最高罰款額可達188億歐元。
分析指出,由於互聯網與移動服務領域科技巨頭多集中於美國、中國,CNIL對谷歌的處罰也預示着兩國科技巨頭在歐洲面臨的不確定性可能會增大。「長遠來說也有被罰風險。」董毅智說,「尤其一些中國公司對各國政策和法律的理解某些時候可能有所偏差,重視程度可能也有待提高。國內的研究者、法律從業者這方面需要加強合作和研究力度。」
來源:新浪財經
