2019年1月21日,法国国家信息技术与人权委员会(CNIL)
对 Google
处以 5000万欧元的
罚款 ,原因是该公司在处理和使用用户的个人数据来展示个性化广告时“缺乏透明度,信息差,缺乏有效同意”。
处以大笔罚款是调查的结果。 一切始于以下事实:2018年5月25日至28日,CNIL收到了人权协会无与伦比(NOYB)和La Quadrature du Net(LQDN)的集体投诉,代表了10,000多人的利益。 在这两个投诉中,这些协会指责Google缺乏适当的法律框架来处理用户的个人数据,包括广告的个性化。
根据GDPR制定的关于欧洲合作的规定,CNIL于2018年6月1日向其欧洲同事发送了两份投诉,以确认其有权审议这些投诉。 事实是,在欧盟,存在“一站式”机制。 首先,您需要确定被告的“主要机构”位于哪个国家/地区。 因此,考虑到此案,来自该国的欧盟法律机构将成为“领导”机构。 在做出决定之前,过程的发起者应与其他国家数据保护机构进行协调。
Google的欧洲总部位于爱尔兰。 但是,在这种情况下,在进行审查时,事实证明爱尔兰办事处无权就在设置手机时在Android操作系统下执行的程序以及Google LLC提供的与创建用户帐户有关的服务做出决定。
由于不适用“单一窗口”系统,因此法国CNIL委员会有权对Google LLC做出决定。 她通过应用新的《欧洲
数据保护条例》(GDPR)做到了这一点。
根据GDPR ,对公司的罚款金额是根据所犯罪行确定的。 在屡次违反同一问题的情况下,欧盟的典型做法是提高罚款。 它会迅速增加,因此大多数公司倾向于迅速解决该问题。 与数据保护机构的每次交互都以相同的方式进行:警告,罚款,罚款增加。 最高罚款为2000万欧元,或该公司上一个财政年度
年营业额的4% ,以较高者为准。 引入最高刑罚是为了保证像Facebook和Google这样的巨头不会忽视法律,只是罚款并继续以前的做法。 例如,由于违反俄罗斯关于个人数据存储的法律,Facebook和Twitter现在
面临高达5,000卢布的罚款 。
为了处理投诉,CNIL于2018年9月进行了在线审核。 目的是通过在设置Android手机时通过创建Google帐户来分析用户可以访问的操作和文档,从而验证是否符合GDPR法律。
审计发现有两行违反GDPR的行为。
首次违规:
不遵守确保透明度和问责制的义务。 对于用户而言,很难访问公司根据GDPR必须提供给他们的基本信息,包括:
用于个性化广告的数据类别分散在多个文档中,这些文档具有单独的按钮和链接,以获取更多信息。 因此,仅在几个步骤之后,相关信息才可用,并且有时需要用户执行多达五或六个操作。 在最大程度上,人们不了解有关用于个性化广告或地理位置的信息收集的信息。 此外,所提供的信息并不总是很清楚。
因此,用户无法理解Google安装的监视范围,尽管这些方法“由于提供的服务数量(约20种),处理后的数据和合并后的数据的数量和性质,尤其庞大且具有侵入性,”该法国机构承认。
Google告知用户是否需要征得他人的明确同意才能收集数据。 Google似乎拥有收集个人数据的全部权利,并且不需要用户的同意。
第二次违规:
未遵守处理广告个性化的法律依据要求 。 委员会认识到,对于针对广告定位的数据的处理过程中,通知情况不理想,并且没有有效的用户同意。
有关过程的信息“不允许用户实现规模”。 例如,“广告个性化”部分并未讨论数据处理中涉及的许多服务,网站,应用程序(Google搜索,Youtube,Google Maps,Play Store,Google Photo等),因此,并未讨论处理后的数据和合并后的数据量。 实验还表明,获得的同意不是“具体的”和“明确的”。
结果,得出了有关不断违反GDPR标准的结论。 CNIL报告说:“这是CNIL首次应用通用数据保护法规规定的最高罚款。”