谷歌被法国隐私监管机构处以创纪录的 5000 万欧元(5600 万美元)罚款,法国国家信息实验室。
在对谷歌的广告行为进行调查后,CNIL 和其他欧盟隐私监管机构发现该公司违反了欧盟范围内的《通用数据保护条例》(GDPR)——这是世界上对消费者数据最严格的控制措施之一。
那么,Google 做错了什么?这对 Google 用户以及受 GDPR 约束的其他公司意味着什么?
谷歌做错了什么?
据 CNIL 称,谷歌并没有让日常用户轻松查找和消化有关谷歌将如何处理他们向公司提供的数据的信息。
需要明确的是,谷歌确实提供了这些信息。 但是,CNIL 表示细节太隐藏了:
“基本信息,例如数据处理目的、数据存储期限或用于广告个性化的个人数据类别,在多个文档中过度传播,
“只需执行几个步骤即可访问相关信息,这意味着有时需要执行多达 5 或 6 个操作。 例如,当用户希望获得有关其出于个性化目的或地理跟踪服务而收集的数据的完整信息时,就会出现这种情况。”
围绕客户数据的收集和使用的明确性是 GDPR 规则的核心支柱之一,因为外星人金库的贾瓦德·马利克解释说:
“罚款可以归结为缺乏透明度。 公司需要向用户公开透明地说明其正在捕获哪些数据以及用于什么目的。 在这种情况下,CNIL 认为谷歌对用户既不透明也不明确,导致用户做出错误的选择。”
CNIL 还发现,谷歌未能有效地获得用户同意,以个性化向用户提供的广告。 这是对这家搜索巨头提出的更严重的指控,因为公司需要跨越一系列障碍才能合法地为欧盟居民提供个性化广告。
CNIL 表示,谷歌以两种方式违反了个性化广告处理数据的正常合法收集:
“首先……用户的同意没有得到充分的了解。
“那么……收集到的同意既不是‘具体的’,也不是‘明确的’。”
事实上,谷歌没有告诉用户他们提供的数据将用于向他们发送有针对性的广告,从而违反了 GDPR 规则。 CNIL 更详细地解释道:
“创建帐户后,用户确实可以通过单击“创建帐户”按钮上方的“更多选项”按钮来修改与该帐户相关的一些选项。 值得注意的是,可以配置个性化广告的显示。
“这并不意味着 GDPR 受到尊重。 事实上,用户不仅需要点击“更多选项”按钮来访问配置,而且广告个性化的显示也是......预先勾选的......最后,在创建帐户之前,要求用户勾选复选框«我同意 Google 的服务条款》和《我同意按照上述方式处理我的信息并在隐私政策中进一步解释》以创建帐户。 因此,用户完全同意 Google 基于此同意进行的所有处理操作(广告个性化、语音识别等)。 然而,GDPR 规定,只有针对每个目的明确给予同意时,该同意才是“特定的”。”
Anna Russell,数据保护公司副总裁舒适股份公司,解释说,“当涉及到 GDPR 时”,公司需要“用通俗易懂的语言告诉用户”来解释他们对用户数据的处理方式,并“要求用户通过点击按钮等动作主动表示同意”,并且“始终确保[他们的]隐私政策[很]容易找到。”
这对谷歌用户意味着什么?
如果你不住在欧盟,那么这没什么意义。 GDPR 规则不会延伸到欧盟境外,而且考虑到谷歌个性化广告的利润丰厚,该公司不太可能停止收集和处理用户提交的广告信息。
不过,如果您在欧盟境内,则在使用 Google 服务时可能会看到一些新的弹出窗口,告知您隐私政策等信息。 这些应该可以让您更好地了解 Google 将如何使用您提供的信息,以换取免费使用 Gmail、YouTube、Play 商店等的权利。
然而,尽管 CNIL 发表了措辞强硬的声明,并开出了创纪录的罚款,但谷歌似乎并没有受到太大的惩罚,而且可能没有受到任何惩罚。
Tim Erlin,网络安全公司副总裁绊线,厌倦了大公司逃脱惩罚:
“我希望看到这些罚款实际支付时的头条新闻。 在 GDPR 生效之前,有关可能征收巨额罚款的头条新闻层出不穷。 5000 万欧元可能看起来很多,但 GDPR 允许最多占年收入的 4%。 就 Google 而言,这一数字约为 35 亿欧元(39 亿美元)。
“GDPR 的成功执行是确定法规有效性的极其重要的一步。 如果没有牙齿,任何监管都无法产生重大影响。”
因此,虽然很高兴看到监管机构对谷歌采取行动,但要让每个人充分了解并了解其数据的使用方式,还有很长的路要走。 而且,随着世界各国政府都在努力制定某种数据隐私法规,仅监管欧盟内部的做法是不够的。
在 Tech.co 上阅读有关数据保护的更多信息
图片来源:本·纳托尔
