法国要罚谷歌5000万欧元 GDPR向科技巨头开出第一枪

来源:21世纪经济报道

当地时间1月21日,因违反《一般数据保护条例》(GDPR),法国向谷歌开出了5000万欧元(约合5680万美元)的罚单,后者由此成为该条例2018年5月生效以来首个遭受处罚的美国科技巨头。这也是监管机构依据GDPR开出的最高金额罚单。

500

当地时间1月21日,因违反《一般数据保护条例》(GDPR),法国向谷歌开出了5000万欧元(约合5680万美元)的罚单,后者由此成为该条例2018年5月生效以来首个遭受处罚的美国科技巨头。这也是监管机构依据GDPR开出的最高金额罚单。

法国数据保护机构国家信息与自由委员会(CNIL)官网一份声明中表示,谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可,“用户对于自己同意什么并没有充分的认识”。

谷歌在一份声明中表示:公司坚决致力于满足外界对其在透明度与控制标准方面的期望,以及GDPR所规定的用户同意要求。“我们正在研究该项(处罚)决定,以决定下一步的行动。”

GDPR的影响不会止步于此。分析认为,此次处罚意味着“GDPR时代”正式到来,为日后对相关条款的理解与实际执行提供了案例,谷歌所代表的科技巨头面临的数据监管挑战还在加剧。

“GDPR时代”到来

知名独立网络安全专家Lukasz Olejnik通过英国媒体表示,这是目前全球针对数据保护最高金额罚款,是隐私保护执法的里程碑,宣告着“GDPR时代”的到来。Olejnik认为,首个处罚决定至关重要,将决定人们如何理解法令条款及实际执行。“毫无疑问,将来会有更多罚单,它们将影响今后系统与软件的设计。”

“这次处罚开了先河,影响深远。”上海亿达律师事务所律师董毅智对本报记者表示。他说,法国是欧盟最主要的国家之一、此次罚款金额不低、被罚者是科技业最具代表性的巨头,几大因素使得该次处罚的指导作用会非常强。

2018年5月,CNIL收到NOYB和LQDN两家非营利性组织对谷歌的投诉。由于后者欧洲用户的数据处理依然由其美国实体——而非位于爱尔兰的欧洲总部——负责,依照GDPR规定,包括CNIL在内的欧盟各国隐私和数据监管机构将有权对谷歌进行调查并做出处罚,而无需通过爱尔兰数据保护委员会(DPC)。

CNIL认为,谷歌未能履行信息透明义务,使用户在访问过程中不得不被动接受广告。此外,因其披露的信息过于“笼统和含糊”且分散,用户无法完全理解谷歌会如何使用数据;注册方面,个性化广告选项也是默认勾选,用户勾选全部协议后才能完成注册。

CNIL指出,谷歌对GDPR的违反并非一次性,而是长期持续的。考虑到对GDPR透明度、信息披露和明示同意三大要素的违背,以及违规的严重性,CNIL将处罚金额设置在5000万欧元。

“通过投诉开始处理,援引保护条例,最终通过整个委员会决定处罚。被罚者可能会不服而提起相关诉讼,最后执行的到底是多少,可能还需要时间来确定。”董毅智表示,“但在程序上,再出现处罚时流程已可以借鉴。”

科技巨头面临强数据监管

英国《金融时报》指出,CNIL的裁决会加剧其他科技企业、数据供应商、征信机构和广告集团的担忧,因为他们也可能会面临依据GDPR提出的类似诉讼。

NOYB组织主席Max Schrems表示,对欧洲监管机构首次利用GDPR处罚科技巨头违规行为感到“非常高兴”。他指出,NOYB发现谷歌等大型公司往往以对法律“理解不同”的方式令产品表面合规,“声称合规是不够的,监管机构明确这一点非常重要”。

依据GDPR对科技公司发起的投诉仍在继续。1月18日,NOYB公告表示其测试显示亚马逊、苹果、YouTube、Netflix和Spotify等多家流媒体服务商违反了GDPR第15条规定的用户对数据的访问权,该组织已通过奥地利监管机构代表10个用户向8家企业提出10项投诉。依照GDPR,奥地利监管部门需与上述流媒体服务商欧洲所在地监管机构合作,按照2000万欧元或全球营业额4%处罚,理论上10起投诉最高罚款额可达188亿欧元。

分析指出,由于互联网与移动服务领域科技巨头多集中于美国、中国,CNIL对谷歌的处罚也预示着两国科技巨头在欧洲面临的不确定性可能会增大。“长远来说也有被罚风险。”董毅智说,“尤其一些中国公司对各国政策和法律的理解某些时候可能有所偏差,重视程度可能也有待提高。国内的研究者、法律从业者这方面需要加强合作和研究力度。”

全部专栏