聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
法国国家信息和自主权委员会 (CNIL) 按照《通用数据保护条例 (GDPR)》,认为谷歌违反了透明度和信息规定且在未获得用户同意的情况下处理个人信息用于广告目的,因而开出5000万欧元的罚单。
在此之前的2018年5月25日和5月28日,NOYB (None Of Your Business)和 LQDN (La Quadrature du Net) 起诉谷歌公司“未按照有效的法律依据处理用户的个人数据及其服务,特别是为实施个性化广告目的。”
2018年5月25日,GDPR 用户及数据隐私法规在欧盟正式生效。NYOB 迅速借此在同一天起诉谷歌、Facebook、Instagram和 WhatsApp 使用“强制同意”。
谷歌违反两项 GDPR 要求
CNIL 启动网络监督,通过“分析在安卓移动设备配置过程中创建谷歌账户时,用户的浏览模式和用户能够访问的文档”,检查谷歌的处理操作是否合规 GDPR 和《法国数据保护法案》。
调查结果表明,谷歌未提供访问用户服务重要信息的便捷权限,而且在并未合法地获取用户同意的情况下就处理数据,用于个性化广告目的。
CNIL 指出,首先,尽管谷歌发布了 GDPR 所要求的所有信息,但用户很难找到这些信息,而且在很多情况下,这种信息既不清晰也不全面。重要信息,如数据处理目的、数据存储期限或用于个性化广告的个人数据类别过度地分散在多个文档中,要访问补充信息必须点击按钮和链接。只有多个步骤之后才能访问相关信息,有时候需要5到6个操作。例如,当用户想要获取关于为个性化目的或地理位置追踪服务所收集的信息时就是这种情况。
其次,即使谷歌表示在处理用于个性化广告的数据前会请求获取用户同意,但 CNIL 发现,由于在此过程中用户并未得到充分通知,因此实际情况并非如此,而且这种同意请求既不“具体”也不“明确”,也就是并不符合 GDPR 的要求。
确实,用户不仅必须点击“更多选项”的按钮访问配置信息,而且还预先勾选了广告个性化的展示。然而,GDPR 规定,只有用户明确的肯定行为(如勾选未预先勾选的方框),用户同意才可被称为是“明确的”。因此,用户基于此同意(广告个性化、语音识别等)执行所有的处理操作目的,用户是完全同意的。但 GDPR 规定,只有明确地向每个目的给出同意时,这种同意才是“具体的”。
CNIL 发布消息回应谷歌被罚5000万欧元时认为,由于谷歌违反了 GDPR 的重大原则如信息、透明度和同意原则,因此罚款是合理的。
谷歌并非违反 GDPR 的第一家或最后一家公司
在这个案例中,违规的处罚力度也因为谷歌仍然违反 GDPR 的规定而加重。
同时,谷歌旗下的 YouTube 产品也被 NOYB 起诉违反 GDPR 关于“访问权限”的规定,最高可被罚38.7亿欧元。
欧盟颁布 GDPR 后,多家科技公司成为被投诉的对象。2018年11月,谷歌遭多个消费者组织起诉追踪用户位置的欺骗行为。
另外,Acxiom、甲骨文、Criteo、Quantcast、Tapad、Equifax 和 Experian 也遭用户权益组织 Privacy International 起诉,理由是它们收集数百万用户数据且借此创建用户资料。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/google/google-fined-50-million-by-french-watchdog-for-lack-of-transparency/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。