资讯

观点

案例

律途

荐读

据法国《通用数据保护条例》（“GDPR”）执法机关法国国家信息与自由委员会（“CNIL”）2019年1月21日的通告，谷歌因违反GDPR而被其处以5000万欧元罚款。本文将通过谷歌的违法行为及近期其他GDPR处罚案例，浅析GDPR中的信息披露要求和有效的用户同意要求，并与我国有关个人数据保护的规定进行比较，以期更加清晰地认识全球化背景下数据隐私保护的立法和监管环境及发展趋势。

本次CNIL对谷歌作出处罚的主要原因有两方面，一是谷歌违反了控制者的信息披露义务；二是违反了处理个人数据需要有合法基础的义务，具体而言，谷歌未有效取得用户同意。

一、控制者的信息披露义务

控制者的信息披露义务，即处理个人数据的有关信息的提供义务，包括就收集和处理个人数据，控制者应当向数据主体提供哪些信息以及以何种方式提供这些信息。

首先，GDPR第13条至第22条及第34条规定了控制者应当向数据主体提供的信息内容。例如，GDPR第13条要求控制者向数据主体提供数据处理者的身份、数据保护官的联系方式、数据处理的目的和合法性基础、特定情况下控制者追求的合法利益、数据接收方的身份或种类（如有）、跨境传输的情况、数据留存的时间等确保数据主体合法权利的信息。但其中部分信息谷歌未能提供。

其次，就上述信息提供的方式，根据GDPR第12.1条的要求，数据控制者应以“简洁、透明、易懂且容易获取的形式，使用清楚且直白的语言”提供有关数据处理的信息。借助欧盟数据保护“第二十九条工作组”（Article 29 Data Protection Working Party）《关于2016/679号条例下“透明”的指导方针》（Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)）的解读，“简洁、透明、易懂”的核心含义是，“数据主体应当能够（通过控制者披露的信息）事先确认对其个人数据的处理的范围和后果且不应在此后对其个人数据的使用方式感到意外”；“容易获取”则是指“数据主体不应当去搜寻信息，在哪里以及如何获取信息对其而言应当是显而易见的”。[1]

反观谷歌的做法，对于数据处理的目的和收集的个人数据类型，谷歌使用了“为了在内容上提供个性化的服务”、“为确保产品和服务的安全”、“为了提供和开发服务”等表述，CNIL认为这种说法过于笼统。此外，有些内容的描述也过于模糊，如：“我们收集信息是用于改善向所有用户提供的服务……我们收集的信息以及我们如何使用这些信息取决于您如何使用我们的服务，以及您如何管理您的隐私政策。”[2] 用户无法根据谷歌提供的信息充分理解其所执行的处理操作。而且，谷歌提供的关于数据处理的关键信息过于分散，记载于几个文档之中，以至于用户需要经过五六个步骤才能全面访问。[3]这些都与GDPR第12.1条的要求相违背。

在我国，《网络安全法》仅笼统地规定网络运营者应公开收集、使用规则，明示收集、使用信息的目的、方式和范围。[4]《信息安全技术 个人信息安全规范》（“《规范》”）在此方面做出更加详细的规定。与GDPR相比，在个人信息控制者应当向个人信息主体告知的信息内容方面，《规范》第5.3条和第5.6条的规定与GDPR大致相同。就提供此类信息的方式，《规范》第5.6条(b)、(c)和(d)项同样要求“隐私政策所告知的信息应真实、准确、完整”，“隐私政策的内容应清晰易懂，符合通用的语言习惯，使用标准化的数字、图示等，避免使用有歧义的语言，并在起始部分提供摘要，简述告知内容的重点”，“隐私政策应公开发布且易于访问，例如，在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接”。在《规范》附录D隐私政策模板中，编写要求一栏明确表示，隐私政策应“1、详细列举收集和使用个人信息的目的，不得使用概括性语言。2、根据目的对应的不同业务功能，详细列出收集的个人信息类型。”由此可以看出，在信息披露义务方面，《规范》的要求和GDPR基本一致。

二、对数据主体同意的有效获取

根据GDPR的规定，取得数据主体的同意是处理个人数据的合法基础之一。在GDPR的定义部分（第4.11条），“同意”被明确定义为“数据主体通过声明或明确的肯定性行为作出的自愿、具体、知情且明确的意思表示，表明其同意处理与其有关的个人数据。”这一定义说明有效获取数据主体的同意必须同时满足“自愿”、“具体”、“知情”及“明确”等条件。而谷歌未能满足相关条件，其违法行为体现在以下几个方面：

首先，用户给出的同意不是“具体的”。在创建帐户前，用户被要求勾选“我同意谷歌的服务条款”以及“我同意按照上述方式和隐私政策中进一步解释的方式处理我的信息”。因此，用户必须给予完全的、对基于所有目的由谷歌完成的数据处理的同意（包括个性化广告、语音识别等等）。[5]但GDPR的要求是只有在针对每一特定目的特定地给出的同意才是“具体的”同意。根据欧盟数据保护“第二十九条工作组”在2018年4月10日发布的《关于2016/679号条例下“同意”的指导方针》（Guidelines on Consent under Regulation 2016/679 (wp259rev.01)）对“具体的”同意的解读，数据控制者应针对每项处理目的提供单独“选择加入”选项，以确保用户能够就特定的目的给出具体的同意。[6]

其次，用户的同意并非充分知情后给出的。谷歌为了提供个性化广告而进行的个人数据处理操作相关的告知信息散落在几份文档中，用户在“个性化广告”的设置部分不可能意识到该告知涉及谷歌提供的多重服务、网站和应用（包括谷歌搜索、Youtube、谷歌家居、谷歌地图、谷歌应用商店、谷歌图片等等），也不清楚被处理的个人数据的数量。[7]因此，消费者给出的同意不可能是“知情的”。CNIL在判罚文书中提到，《关于2016/679号条例下“同意”的指导方针》对“知情”同意所需的最基本信息水平做出了指引，亦即，未提供此类信息时，用户给出的同意便不是“知情”同意。此类信息包括：

（1） 控制者的身份；

（2） 每个寻求同意的数据处理操作的目的；

（3） 什么（何种）数据将被收集或使用；

（4） 存在撤回同意的权利；

（5） 在相关的情况下，根据GDPR第22.2(c)条告知将数据用于自动化决策；以及

（6） 由于缺乏GDPR第46条描述的充分性决议和适当保障措施而可能导致的数据传输的风险。

此外，根据具体情况的差异，可能还需要提供更多信息，让数据主体真正理解即将发生的数据处理情况。[8]

而对于上述信息提供的方式，根据GDPR第7.2条，如果数据主体的同意是以书面声明的形式给出且涉及其他事项，则要求数据主体同意的请求必须明确与其他事项区分，采用易懂且容易获取的方式，并应使用清晰直白的语言。谷歌的做法显然未能满足这一要求。

第三，谷歌收集的用户“同意”的表示也不是“明确的”。在创建帐户时，用户虽然能够通过点选“更多选项”调整某些设置且显著地能看到个性化广告展示的设置，但CNIL依然认为这种做法违反了GDPR，原因是展示个性化广告的选项是预先勾选的。[9]而根据GDPR前言部分第32项的解释，“同意应以明确的肯定性行为表示，确立数据主体自愿、具体、知情且明确的意思表示，……包括在浏览网页时勾选选项，选择信息社会服务的技术设置，或清楚地表明数据主体接受对其个人数据进行拟议处理的其他声明或行为。默认、预先勾选或无行动均不能构成同意。”值得注意的是，即便是用户在手机上创建帐户时，如果没有停用个性化内容，谷歌会通过弹出通知的方式提示用户其个人设置中包含个性化内容，但是使用这种方式依然未被认为获得了明确的用户同意。

类似地，2018年CNIL对另外两家互联网公司FINDUP和TEEMO违反GDPR和法国国内数据保护法的行为也提出了警告。这两家公司都在其APP中使用了第三方提供的开发者工具（SDK），且SDK内嵌在程序中，用户无法拒绝使用。这两家公司被认定为没有取得用户同意的数据处理的合法基础，原因在于：1）未在收集信息前告知用户的地理位置信息和手机识别码数据的处理情况；2）未告知用户该信息收集的目的是提供定向广告；3）未告知用户数据将传输至开发SDK的第三方公司。[10]

那么，GDPR要求的用户有效的“同意”需要达到何种水平呢？与本文所谈案例相关的有以下几点：

（1） 同意必须是根据不同数据处理目的而具体给出的；

（2） 数据主体的同意必须和其他事项相独立；

（3） 同意声明必须以易懂、容易获取且简明的语言提供；

（4） 数据主体的同意必须是自愿给出的（考察标准之一是合同的履行和服务的提供是否以提供合同履行所不必需的个人数据为前提）；

（5） 同意应有用户明显的积极动作表示，例如勾选，而不能以默认方式表达；

（6） 同意应在用户知悉数据控制者的身份、处理目的和处理类型等信息后给出；以及

（7） 同意应在数据处理前给出。[11]

在我国，就“具体的”同意而言，《规范》第5.3条(a)项要求“应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型”，亦即仅要求分别告知，但未要求分别征求同意。第5.5条和附录C要求在收集个人敏感信息时，应区分“核心功能”和“附加功能”，并要求就核心功能和每项附加功能分别获取用户的同意。在这一点上，关于“具体的”同意的要求，《规范》的适用范围相对于GDPR而言较窄。

就“知情”这一要求，《规范》第5.3条规定个人数据控制者应在收集个人信息前，向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则（例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等），并获得个人信息主体的授权同意。从表述方式来看，《规范》似乎把提供上述信息作为获得个人信息主体授权同意的前置条件。如果这样理解，在这一点上，《规范》和GDPR关于信息内容的要求大体一致，但《规范》没有对提供上述信息的方式作出具体规定。

此外，《规范》规定就部分类型的个人数据（个人敏感数据[12]、间接获得的个人数据[13]、超范围使用个人数据[14]）需要取得用户的明示同意，并通过附录C举例说明在收集个人信息主体的敏感信息时，“同意”需要用户的肯定性动作（主动勾选、点击同意）。在这一点上，从其适用的范围来看，《规范》的严格性低于GDPR。

三、个人数据保护的全球发展趋势

纵观全球，欧盟本次执法行动体现了对个人数据保护中信息披露和用户同意取得方面的较高要求，在全球树立了数据隐私保护的标杆。美国亦已经在2018年并很有可能在今年继续推进数据隐私方面的立法。尽管各国在平衡信息技术产业发展需求和公民个人权利时会有不同侧重，从而在个人信息保护措施和监管方式上有所区别，但是GDPR执法部门展开执法行动、美国于2017年、2018年集中出台几部法律或法案[15]、Facebook在2018年面对数据泄露调查、印度和巴西于2018年先后颁布《2018年个人数据保护法案（草案）》和《通用数据保护法》等一系列事件都预示着在全球范围内各国都会根据自身商业实践特点加强对公民数据隐私的保护，而且为达到这一目的，包括GDPR在内的有关个人数据保护的法律还具有域外管辖权。

我国的数据保护法规虽然参考了GDPR、OECD隐私框架、APEC隐私框架等国际标准，但主要关注点还在互联网服务涉及的国家安全和犯罪预防方面，目前也尚未出台面向全行业的强制性数据隐私保护法律规定，而且在数据和个人隐私保护的具体措施方面，现有法规和非强制性国家标准的严格程度与欧美立法也存在差异。尽管如此，对于中国企业，我们仍建议在一开始即按照国际上较高的标准和要求制定并实施数据安全和隐私保护机制，以期在数字经济时代，特别在加强个人数据保护的全球趋势下，达到整体合规成本最小化的目的。

注释

[1] Paragraph 10-11, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01)

[2] Paragraph 112, Délibération de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

[3] The CNIL's Restricted Committee Imposes a Financial Penalty of 50 Million Euros against Google LLC., https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

[4] 《网络安全法》第四十一条

[5] Paragraph 157, Délibération de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

[6] Paragraph 3.2, Guidelines on Consent under Regulation 2016/679 (wp259rev.01)

[7] Paragraph 146, Délibération de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

[8] Paragraph 3.3.1, Guidelines on Consent under Regulation 2016/679 (wp259rev.01)

[9] Paragraph 160, Délibération de la formation restreinte n° SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

[10] “Applications mobiles : mises en demeure pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire”, https://www.cnil.fr/fr/applications-mobiles-mises-en-demeure-absence-de-consentement-geolocalisation-ciblage-publicitaire

[11] Recital (32), Recital (40), Recital (42), Article 4(11), Article 6(1)(a), Article 7(2), Article 7(3), Article 7(4), Article 9(2), GDPR

[12] 《个人信息安全规范》第5.3条(a)项

[13] 《个人信息安全规范》第5.3条(b)(2)项

[14] 《个人信息安全规范》第7.3条(c)项

[15] 包括2017年美国纽约州金融服务部通过的针对金融机构的网络安全法规23NYCRR 500、2017年通过的《电邮隐私法》、2018年通过的《加州消费者隐私法》、2018年由15名美国民主党参议员组成的小组共同提出的《数据保护法案》和2018年美国参议员Wyden起草的《用户数据保护法案》等。

申晓雨

天达共和合伙人

北京办公室 金融与融资部

xiaoyu_shen@east-concord.com

+8610 6510 7416

申晓雨律师自2005年执业以来，组织或参与多家世界五百强企业、大型跨国公司和国内企业的投资和并购项目，代表项目包括某世界五百强企业全球金融业务重组项目中国部分、某消费金融公司设立项目、某世界五百强企业中国资产重组项目、中外合资医疗项目等。申律师被多家跨国公司和大型企业聘为常年法律顾问，为其在中国的投资经营和合规提供全方位法律支持。近年来，申律师已协助多家跨国公司处理数据合规和个人隐私保护法律事务，并带领团队为某国际大型体育赛事涉及的数据保护项目提供法律支持。

长按二维码

查看申晓雨律师简历

吴雅涵

天达共和法务人员

北京办公室 创新发展部

吴雅涵，爱丁堡大学法学硕士，本科毕业于北京外国语大学，取得文学、经济学双学位。吴雅涵曾供职于小米集团法务部，支持国内外市场部合规工作。加入天达共和律师事务所以来，吴雅涵为某国际大型体育赛事涉及的数据保护项目提供法律支持，并参与了跨国企业的合规项目。