专业IT科技资讯平台,关注科技、手机、电脑、智能硬件、电脑知识!
当前位置:主页 > 游戏 > 评测 >

罚款3.8亿元:Google到底做错了什么?

导读:

  1月22日,法国监管机构对Google开出了首笔GDPR罚款,金额达5000万欧元(约3.85亿元人民币)——这是自

  1月22日,法国监管机构对Google开出了首笔GDPR罚款,金额达5000万欧元(约3.85亿元人民币)——这是自2018年GDPR法规生效以来首次对美国科技巨头实施的重大处罚。

  而处罚的根本原因是:Google未向Android用户正确披露其数据如何被收集,并向用户违法推送个性化广告。

  起底Google如何犯错

  事情起源

  CNIL是法国国家信息与通信委员会(法国数据保护监管机构),其官网给出了一个信息点。2018年5月25日和28日,CNIL收到了无业务组织(NOYB)和维权组织La Quadrature du Net(LQDN)的团体投诉。LQDN被10000人强制要求将“此事”提交给CNIL。

  这两起投诉均指责Google没有有效的法律依据来处理其服务用户的个人数据,特别是出于广告个性化目的。

  CNIL官网的“罚款通知”

  CNIL处理投诉

  CNIL立即开始调查投诉。2018年6月1 日,根据GDPR中规定的欧洲合作条款,CNIL向欧洲同行发送了这两项投诉,以评估其是否有权处理这次事件。这里要注意的是,GDPR建立了一站式服务机制,规定在欧盟设立的企业组织只应有一个对话者,这个对话者就是该组织所在国的数据保护监管机构(DPA)。

  由于Google在欧洲的总部在爱尔兰,因此当法国想要调查这件事,就必然涉及到跨境处理的问题,也意味着要协调其他数据保护机构之间的合作。

  但是实际上,由于Google爱尔兰总部对Android操作系统和Google提供的有关在创建账户期间提供的服务处理操作没有任何决策权,因此该国的数据保护监管机构就没办法处理这件事,也就意味着一站式服务机制在此时不适用——CNIL有权就Google在手机中进行的处理操作做出任何处罚决定。

  2018年9月,CNIL再度启动线上调查,目的是通过分析用户的浏览模式,验证Google实施的处理操作是否符合法国数据保护法和GDPR。

  CNIL观察到的违规行为

  CNIL在检查过程中,发现Google在两个关键领域违反了新的隐私规则。

  第一,违反透明度和信息的义务,用户无法轻易访问Google提供的信息。

  具体是怎样的呢?当用户在登陆Google时,基于个性化的广告会轮番出现在页面上,用户为了进入下一个步骤,必须多次点击按钮和链接(5-6次),才能访问相关信息。

  此外,某些用户数据没有提供有关保留期的信息。这实际上意味着,如果用户不被动接受广告,服务将无法提供(貌似国内很多软件都这样)。

  第二,违反了为广告个性化处理提供法律依据的义务。

  尽管Google表示它获得了用户同意才去处理数据,以进行广告个性化的操作。但是,CNIL认为,由于两个原因,Google方面无法“有效”获得同意。

  首先,用户的“同意”并未充分了解情况。比如Google对广告进行了稀释操作,打散在Google搜索、You tube、Google主页、Google地图、Playstore、Google图片中,个人信息在多个文件中被过度传播(预计20个)。

  其次,用户的“同意”既不是具体的也不是明确的。创建帐户后,用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项,在“创建帐户”按钮上方访问。实际上,用户不仅必须点击“更多选项”按钮来访问配置,而且还预先勾选了广告个性化的显示。

  但是,根据GDPR的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。

  最后,在创建帐户之前,要求用户勾选“ 我同意Google的服务条款 ”框? 和“? 我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程。

  CNIL认为GDPR没有受到尊重,因为GDPR规定,只有在为每个目的明确给出同意时,同意才是“具体的”。

  5000万欧元罚款怎么开出来的?

  这次的罚款之所以引发广泛关注,不仅在于被罚的主体是世界性的互联网巨头Google,更在于其是以严格著称的GOPR自诞生以来的最大罚款。

  此前GDPR发起多次小数额罚款:

  2018年12月,一家葡萄牙医院在其工作人员使用虚假帐户访问患者记录后被罚款40万欧元;

  2018年11月,德国社交媒体因用纯文本存储社交媒体密码而被罚款20000欧元;

  2018年10月,奥地利的一家当地企业因拍摄公共空间的安全摄像头而被罚款4800欧元。

  CNIL的这次尝鲜,让GDPR获得了广泛的效力。CNIL认为,这次决定的罚金以及对罚款的宣传都是合理的,并给出了以下几点理由:

  这不是Google一次性违反GDPR,而是持续性的、长时间的;

  处罚的目的在于要求Google实现用户控制自己信息数据的权利,充分告知用户风险,允许用户进行有效同意;

  考虑到了Android操作系统在法国市场上的重要地位,成千上万的法国人每天都会在使用智能手机时创建一个Google帐户,影响很大;

  Google公司的盈利模式是侧重在广告,因此基于广告个性化的罚款也是理所应当。

  GDPR开启对硅谷巨头的审查?

  据了解,GDPR在2018年5月正式实施,引入了更严格的处理和存储个人数据的规则。其目的是迫使像Google这样的大型科技公司彻底改革其用户隐私政策,基于欧盟的规则要求公司充分披露他们对所收集的数据所做的工作,为其用户提供对其信息的更多控制权,并且必须在72小时内报告数据泄露事件。

  来自法国的这次罚款,可能意味着GDPR对硅谷巨头严厉审查的开启,毕竟在此前,欧盟已经对苹果公司的税务行为进行了处罚,对Facebook进行了多次隐私丑闻的调查,对Google安卓系统涉嫌垄断开出过43.4亿欧元天价罚款。

  现在,Google在欧洲吃了GDPR的“当头棒”,迫使其他硅谷同行们要重新考虑自己的冒险行为了。

  华盛顿邮报认为,来自欧洲的GDPR实际上制定出了全球的隐私规则,而美国则缺乏类似的、总体的联邦消费者隐私法,这意味着欧洲成为了当下事实上的世界隐私警察。

  美国团体:“我们也要这么强的法律”!

  对于这次处罚,当初发起投诉的非营利组织NOYB(无业务组织)的负责人Max Schrems说:“我们非常高兴欧洲数据保护机构首次利用GDPR的可能性来惩罚明显的违法行为。重要的是,仅仅声称合规是不够的。”