法国监管机构CNIL对Google 处罚案裁定书摘要
文/小米公司 朱玲凤 张向拓 刘鑫
序
2019年1月21日,法国数据监管机构CNIL对谷歌处以五千万欧元的高额罚款,因谷歌违反《通用数据保护条例》(GDPR)的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础。
从程序上而言,一站式监管机构的机制是否适用成了争议焦点。谷歌认为其欧洲的总部谷歌爱尔兰公司应当是主营业机构,则应当由爱尔兰数据监管机构作为主监管机构,则法国数据监管机构无管辖权。但是,CNIL认为主营业机构的判断核心在于涉案数据处理行为的目的和手段是由哪个主体决定,而非根据数据控制者自己的宣告来达到选择管辖的目的。基于无主营业机构,进而GDPR规定的一站式监管机构的机制无法适用。
从实体上来说,谷歌违反的行为包括两项:(一)违反透明性原则(GDPR第12条)和提供充分信息的义务(GDPR第13条);谷歌的隐私相关描述文件较多,且对于广告、地理位置等埋于较深的位置,需要用户多次跳转,被认定为不易访问。如下图1所示,谷歌将广告处理的描述放在更多的内容里,需要用户在多个文件中跳转,才能读懂个性化广告使用什么数据等必要信息。
图1
同时,隐私政策内容中用途、数据类型、处理后果等的描述比较模糊,不符合法律规定要求的清晰、可理解。例如,目的描述为在内容和广告方面提供个性化服务、确保产品和服务的安全、提供和开发服务等。
(二)个性化广告的处理行为缺乏处理的合法性基础,即不符合用户同意的要件(GDPR第6条)。
虽然谷歌在Android系统开机引导中提供了个性化广告的选项,但是选项位置位于“更多选项”,需要用户主动点开才能看见,且该选项为默认勾选。具体产品形态请见如下图2。
图 2
因此,CNIL基于如下3点理由认定谷歌提供的个性化广告选项并不符合GDPR规定的同意的要件:
(1)谷歌隐私政策多个文件中对个性化广告的描述是:谷歌可能会根据您在Google服务中的活动向您展示广告(例如在搜索或YouTube、以及谷歌网站和合作伙伴应用中)。因谷歌涉及超过20个服务,用户其实无法通过隐私政策内容描述了解使用了什么数据、也无法了解使用的数据量,甚至连广告展示在哪里都无法准确获知。不满足法律要求同意的前提:知情。
(2)对于个性化广告的选项是在更多选项中,且个性化广告的开关是默认勾选。如果用户不点击更多选项且勾选掉个性化广告的开关,则用户必须选择确认。所以不能认定用户同意个性化广告的数据处理。
(3)谷歌的同意机制是针对公司整体服务的同意,包括个性化广告,而不是给用户每个特定目的的特定同意。CNIL提出如果采取一并同意的机制,应当以单独的方式向用户展示不同的处理目的,且要求用户通过明确的行为而非默认勾选的方式。
基于上述理由,CNIL认为谷歌的行为是违反了透明性、提供必要信息以及合法性基础等对用户来说基础性保障的条款,且谷歌拥有大量的数据,Android的高市场份额以及该行为的持久性等隐私,裁定谷歌5000万欧元的高额罚款。
一、案件基本信息
二、事实与程序
(一)事实
1. Google公司
Google LLC公司(以下简称“Google”或“公司”)依美国法律成立于1998年,是一家总部位于美国加利福尼亚州的有限责任公司。该公司2017年的营业额为1097亿美元(约合960亿欧元)。在法国巴黎,它有一家公司Google France SARL(以下简称“Google France”),拥有约600名员工,2017年营业额约为3.25亿欧元。
自其成立以来,该公司已为企业和个人开发了各种服务(例如Gmail电子邮件服务、Google搜索引擎、YouTube等)。它还为包含Google Play应用商店的Android移动终端设计了操作系统。该公司还开展了网络广告活动。2016年,该操作系统在法国拥有2700万用户。
2. 投诉
2018年5月25至28日,CNIL收到两项分别由None Of Your Business协会(以下简称 “NOYB”)和法国数字版权组织La Quadrature du Net(以下简称“LQDN”)根据2016年4月27日欧洲议会及理事会2016/679条例(EU)(通用数据保护条例,以下简称“GDPR”或“条例”) 第80条提出的集体投诉。在其投诉中,NOYB组织特别指出,Android移动终端的用户必须接受Google服务的隐私政策和一般使用条件,并且未经此类接受,不得使用它们的终端。LQDN组织认为,无论使用何种终端,Google都没有提供有效的法律依据来实施个人数据处理以进行行为分析和个性化广告。
(二)程序
三、裁决理由
(一)裁判结果
Ÿ 对Google LLC公司施加五千万欧元的罚款;
Ÿ 为执行处罚决定,将处罚决定发送给Google France SARL公司;
Ÿ 在CNIL网站和Légifrance网站上公布其审议,该公告将在其发布两年到期后匿名。
(二)争议焦点(issue)
1. CNIL对本案是否享有管辖权
1.1 Google Ireland 是否为主要营业机构
1.1.1.Google 辩称
Google 认为Google Ireland Limited(以下简称“Google Ireland”)应被视为其在欧盟的主要营业机构,因此其所在地的监管机构爱尔兰数据保护机构(“爱尔兰数据保护委员会”,以下简称“DPC”)应作为Google的主监督机构,CNIL无权处理本案,并且应将收到的投诉转交给DPC。
原因如下:
(1) Google Ireland自2003年以来一直是Google欧洲业务的总部,负责与欧盟客户签订的所有广告销售合同,并负责欧洲、中东和非洲区域的总秘书处、税务、会计、内部审计等业务;
(2) Google Ireland拥有超过3,600名员工,及一个负责管理欧盟有关隐私要求的专门小组和负责隐私保护的人员;
(3) Google Ireland正在进行运营和组织的重组,以使其成为有关欧洲国民的某些个人性质数据处理的控制者。
1.1.2.CNIL认定:
根据GDPR whereas 36主要营业机构的资格必须以有效和实际的“管理活动,以确定关于处理的目的和方式的主要决定”[1]为条件,主要营业机构的存在是根据客观标准来具体评估的,且主要营业机构不能自动对应在欧洲的控制者的总部。
根据欧洲数据保护委员会(以下简称“EDPB”)发布的指引(WP244),决定个人数据处理的目的和方式的是主要营业机构。不能简单地根据该组织的声明来实现挑选主要监管机构的目的。
虽然Google Ireland拥有许多财务和人力资源,使Google能够在欧洲实际提供服务,特别是通过广告给付销售方面的服务,但这些要素本身并不表明Google Ireland对于用户在创建其账号和设置其Android手机时对其呈现的隐私政策所涵盖的处理目的和方式有任何决策权。
截至2018年5月25日,Google Ireland未在公司“隐私政策”中提及它将作为用户在创建其账号和设置其Android手机时对其呈现的隐私政策所涵盖的处理目的和方式的主要决策实体。
Google Ireland并未任命DPO以负责可在欧盟实施的个人数据处理。
Android操作系统完全由Google LLC公司开发。
谷歌发送给DPC的文件中声明将于2019年1月31日完成将对欧洲公民个人数据处理的某些行为从Google LLC转移给Google Ireland Limited。
结论:基于上述因素判断,Google Ireland不能被视为基于GDPR第4(16)条的Google LLC公司在欧洲的“主要营业机构”,在缺少主要营业机构以便识别主监督机构的情况下,CNIL有权启动该程序并行使其权力。
1.2 是否应提交EDPB
1.2.1.Google 辩称
CNIL应当将此案提交EDPB。原因如下:
(1) 监督机构作为主监督机构的识别存在不确定性;
(2) 鉴于广告个性化处理涉及欧洲大量的Android用户,具有跨境属性,GDPR规定的合作和一致性机制[2]应当适用,则应该提交EDPB。
1.2.2.CNIL认为
1.2.2.1.争议一:因为监督机构作为主监督机构的识别存在不确定性而提交给EDPB
欧盟内部缺少控制者的主要营业机构,本身并不会对监督机构充当主监督机构的识别产生不确定性。只是由于缺少主营业机构,使得主监督机构的识别不得发生,并且单一窗口机制(one-stop-shop mechanism)并不适用。
CNIL立即通过欧洲信息交换系统将收到的投诉传达给所有监督机构,以便根据GDPR第56条的规定识别可能的主监督机构。然而在这一程序中,任何监督机构或委员会主席均未认为有必要因主监督机构的识别或CNIL的权限存在不确定性而将此案件提交给EDPB。
DPC公开声明DPC不是谷歌的主监管机构,谷歌不能适用单一窗口机制。
结论:CNIL并无责任因为要识别主监督机构而将此案件提交给EDPB。
1.2.2.2.争议二:应当就投诉的调查和后续行动而提交给EDPB
CNIL已立即通过欧洲信息交换系统与欧盟所有监督机构沟通,以识别主监督机构。这种方法和交换的信息并没有确定主要监管机构,故CNIL没有后续合作的义务,特别是根据GDPR第60条的规定。
CNIL已就其进行的调查多次通知并咨询其欧盟监管机构,并最大限度地考虑了EDPB的指南,以期确保GDPR的一致性。
结论:合作和一致性程序并未被忽视。
2. 程序合法性问题
2.1.NOFB和LQDN协会提交的投诉是否可受理
2.1.1. Google辩称
NOFB和LQDN协会提交的投诉的可受理性尚未确定;
2.1.2. CNIL认定:
CNIL的使命是监督GDPR的实施并确保GDPR的遵守,并且为此目的,它具有根据进行调查的权力[3]。即涉案的投诉是否可受理不影响本案程序的合法性。
根据GDPR第80条,个人可委托根据成员国法律有效组建的非盈利协会(其章程目标为公共利益,且在保护个人数据的范围内对保护数据主体表现积极)提起诉讼。NOFB和LQDN协会均符合要求,且获得提交人的代理委托[4]。
2.2. Google辩护权利是否得到支持
2.2.1. Google 辩称
针对其提起的诉讼忽视了它特别是根据《保护人权与基本自由公约》第6条规定的获得公平诉讼的权利。首先,提议制裁的报告和报告员对其的意见的答复仅以法文投寄。其次,拒绝延长其为出示第一次意见的时间,限制了谷歌准备辩护的时间。再次,会议的延期以及最后批准以出示第二次意见的额外时间仍然不够。
2.2.2. CNIL认定:
根据1994年8月4日第94-656号关于法语应用的条款,公众与行政部门之间的交流规定使用法语。
没有法律或超国家规定要求CNIL翻译其产生的文件。
该公司在法国境内设有Google France SARL公司,CNIL认为该公司有足够的材料和人力资源确保用足够的时间用英文翻译文件。
该公司于2018年12月11日提出的延长其提交回复意见的要求已获得批准,该延期有助于它相对于原有规定期限另外获得15天的时间以出示其第二次意见,并准备针对法庭会议的辩护。除其书面文件外,该公司还可以在法庭会议当天呈现其口头意见。
结论:Google LLC公司的辩护权已得到保障。
3. 调查范围问题
3.1.Google辩称:
CNIL选择的监督范围具有局限性,限定于使用Android移动设备注册Google账号的范围,原因如下:
(1)将Android操作系统和Google账号混为一谈
因为它涉及为实施不同处理活动的独立服务。在设置其Android移动设备时,用户可以明确选择是否创建Google账号,且“隐私政策”对他们在有无Google账号情况下如何使用Google服务作出了解释(例如,在不创建账号的情况下观看YouTube视频等)。
(2)由CNIL选择的监督范围,即在使用Android操作系统设置新设备时创建Google账号,仅涉及7%用户,具有局限性。
(3)论证是在较旧版本的Android操作系统上进行的。
3.2. CNIL认定
3.2.1 Android操作系统和Google账号的关系是否混为一谈
在线检查方式为在使用Android操作系统初始配置其移动设备期间他可以访问的文件的路径,此路径包括用户创建Google账号。
如果用户确实选择了创建账号并且有机会使用该公司的一些无需创建账号服务,那么它观察到在Android系统下设置设备时,创建Google账号或连接到已有账号的可能性自然会出现在设置过程之初。
此外,它还会提示创建或登录Google账号,因为当他们点击此设备设置步骤中提供的“了解更多”或“忽略”链接时,他们将会呈现以下信息:“您的设备结合Google账号可以运行更好”,“如果您没有Google账号,您将无法执行以下操作[...]启用设备保护功能。
结论:在线检查方案是合理的。
3.2.2 该案例是否仅涉及7%用户进而具有局限性
CNIL对其可以进行的检查范围拥有广泛的自由鉴定权[5]。本案类似的特定检查方案有助于执行调查结果反映更全面的隐私策略。
该公司在2018年12月7日的意见中表明:“Google账号持有人在使用Android设备时所执行的个人数据处理的程度与Google账号持有人在计算机上或非Android下运行的设备上使用Google服务时产生的处理方式大致相同”。因此,本案在线调查方案并无限制。
结论:调查范围无问题[6]。
3.2 关于用于验证的Android版本为旧版本的问题
从公司提供的材料看来,用户使用路径在较新版本的操作系统中是相似的。
用于验证的版本是最常用的版本之一。
结论:版本无问题[7]。
4. 未遵守透明度和提供信息义务
CNIL结论:违反GDPR第12、13条规定的透明度和提供信息义务。
4.1. Google辩称:
其向用户提供的信息符合GDPR第12条和第13条的要求。原因如下:
(1)符合透明度原则,原因如下:
构成一级信息的标题为《隐私政策与使用条款》的文件是可访问的,该文件提供了“对已实施处理的良好概述”,符合EDPB关于透明度指南(WP260)。
对于有关数据保留期的信息,载于“隐私政策”的“导出并删除您的信息”部分。
公司发布的信息除了标题为《隐私政策与使用条款》、《隐私政策》和《使用条款》的文件外,还通过其它几种方法实现。在每个隐私设置下创建账号时可能会显示补充信息消息。
在创建其账号时会向用户发送电子消息,其中特别指出:“您可以随时更改您的Google账号的隐私和安全设置,创建提醒以让您记得检查隐私设置,或进行您的安全设置验证”。
此电子邮件包含指向各种设置工具的可单击链接。在用户从其账号的管理界面创建账号后,另有其它检查工具可供用户使用,包括允许用户使用标题为“隐私检查”的工具来选择适合他们的隐私设置,包括个性化广告、位置记录、基于网络的活动和应用。且谷歌提供“Dashboard”工具允许用户整体概览他们如何使用Google的服务,如Gmail或Youtube。
(2)当用户点击“创建账号”而不禁用个性化广告设置时,会出现一个账号创建确认弹窗,提醒该账号已设置为包含个性化功能。
4.2. CNIL认定:
4.2.1 Google是否以“易于获取”的方式提供信息
EDPB认为:“这些条款中强调的透明原则的一个关键方面是,数据主体应该能够事先确定处理的范围和后果包括哪些内容,以免在某个时间点对其个人数据的使用方式措手不及。换句话说,应当声明或通知中描述的特定处理对数据主体的隐私保护的影响究竟是什么”。
在本案中,Google必须传达给个人的信息在若干文件中过分分散,增加用户查找到法律规定的信息的难度。在创建账号期间显示的《隐私政策与使用条款》,然后通过第一个文档上出现的可点击链接可随后访问《使用条款》和《隐私政策》。这些不同的文档包括必须激活以了解其它信息的按钮和链接,迫使用户增加访问不同文档所需的点击次数。即用户必须仔细查阅大量信息,然后才能确定相关段落,以及进一步交叉检查和比较收集的信息,以便根据他可能选择的各种设置来理解哪些数据被收集。
例如,用户需要五个动作来访问与个性化广告有关的信息:首先,阅读一般文件《隐私政策与使用条款》,然后点击“更多选项”按钮,然后点击“了解更多”链接来显示“个性化广告”页面,从而能够获得与广告个性化有关的处理的第一个描述,这被证明是不完整的。为补全与在此目的范围中处理的数据有关的信息,用户仍然必须完整地查阅文档《隐私政策》中包含的“提供个性化服务”标题,该标题本身可从一般文件《隐私政策与使用条款》中访问。
例如,用户需要六个动作来访问用于地理定位的信息:阅读《隐私政策与使用条款》,点击“更多选项”,然后点击“了解更多”连接以显示“历史位置”页面,从而了解显示文本。但是,由于该文本仅是对处理的简短描述,因此用户必须返回《隐私政策》文档并查阅“与您的地理位置相关的信息”部分以访问其余信息。由于该部分包含几个与用于对其进行地理定位的不同来源相关的可点击链接,因此该信息仍然不完整。
例如,用户需要四个动作来访问个人数据保存期限的相关信息:首先,查阅主文件中的《隐私政策》,然后进入名为“导出并删除您的信息”的标题,并最后点击关于保存期限的一般段落中包含的超链接“点击此处”。且该公司使用的“导出并删除您的信息”的标题并不容易使用户明白。
结论:由于增加用户的点击访问等行为,以及非明确的标题,该公司在所涉及的处理过程中总体上缺乏对所提供信息的可访问性。
4.2.2 Google是否以“清晰、可理解”的方式提供信息
CNIL认为应当从所讨论的每种处理的性质及对数据主体的具体影响,来衡量谷歌是否遵守GDPR第12条 “清晰”和“可理解”以及GDPR第13条的规定。
Google实施的数据处理特别庞大且具有侵入性。Google收集的数据来自各种各样的来源。这些数据既可以来自手机的使用、公司服务的使用,如Gmail电子邮件服务或Youtube视频平台,也可以从用户活动时使用Google服务转到第三方网站时生成的数据,包括Google Analytics在这些网站上提供的Cookies来收集。《隐私政策》显示公司提供的至少20项服务可能涉及数据处理,这可能与浏览历史、应用程序使用历史、本地存储在设备上的数据(如地址簿)、设备的地理定位等数据有关。单独每项数据收集可能会高度精确地揭示个人生活中许多最密切的方面,数据之间的结合的话将更极大地强化了处理的大规模和侵入性质。
具体而言,基于如下原因不符合GDPR第12条的清晰与可理解和第13条:
(1)Google无法让用户充分了解处理的具体后果
各类文件中关于目的的描述如“在内容和广告方面提供个性化服务、确保产品和服务的安全、提供和开发服务等”,在实施处理范围及其后果方面过于笼统。且数据收集的描述也分散在各文件中,描述也模糊,因此不准确也不完整。
(2)涉及个性化广告的处理欠缺 “清晰”和“可理解”。
谷歌在《隐私政策》中描述了两种个性化广告处理的法律基础:用户同意(“我们请求为特定目的处理您的信息的许可,并且您可以随时重新考虑您的同意。例如,我们请求为您提供个性化服务的许可,例如广告[...]”)以及公司的合法利益(“带来营销行动,以使用户了解我们的服务”,特别是“通过使用广告以免费向用户提供我们的许多服务”)。如果谷歌针对个性化广告相关数据的处理所依据的唯一法律基础是用户同意,则其目前的告知不会为用户带来明确的认知。而且谷歌没有强调基于合法利益处理用户数据的特殊重要性,无法区分基于用户同意的个性化广告和正当个性化广告之间的区别。
(3)关于保存期限有一类为“由于特定原因,信息会长时间保存”,这种表述并没有表明任何明确的期限或用于确定该期限的使用标准,该表述违反了GDPR规定必须提供的信息。
结论:不满足GDPR第12条以“清晰、可理解”的方式提供信息以及GDPR第13条规定[8]。
4.2.3 信息工具的方式无法达到GDPR的透明度要求以及GDPR第12条和第13条的规定
首先,创建账号后的多种信息工具在一定程度上实际上有助于账号生命周期内的透明度和谷歌服务的使用。但是,它们没有充分符合第13条规定,也就是该信息必须在“获得有关数据的那一刻”进行干预,以及如EDPB透明度指南中所述第13条规定了“从处理周期开始之时”应向数据主体提供的信息。
其次,在账号创建时弹窗(内容为:此Google账号针对包含基于您账号中所存储信息的自定义功能如推荐和个性化广告),以及发送电子邮件,内容中包含“隐私检查”工具(本质上允许用户设置收集的信息,如浏览历史或经常出现的地点)和“控制面板”工具(由谷歌提供的各个服务组成,提供账号所有者使用习惯的概述)。这些工具仅在创建账号的步骤之后,虽然它们的存在和重要性引起了用户的注意,但它们必须以用户对此的积极和主动步骤为前提。
结论:此类信息工具无法为达到GDPR第13条要求的提供足够信息。
5. 针对广告个性化处理缺乏合法性基础
结论:Google公司进行广告个性化时,未能有效地获得用户的同意,且未能证明其进行这些信息处理是为了追求其合法利益。
5.1. Google辩称:
其依赖于用户的同意提供广告个性化处理,且同意本身符合GDPR第4(11)条和第7条的规定,具体而言:
(1) 用户的同意是清楚的。
在创建账号时提供了简单明了的信息,使其了解公司如何将数据用于个性化广告的目的,尤其是《隐私政策与使用条款》的摘要、《隐私政策》中个性化广告的章节以及账号创建时设置选项中“个性化广告”的附加信息。
(2) 用户的同意是具体和明确的。
在设置账号时,用户可以就个性化广告的显示作出选择。
为了个性化广告而获得同意的程序符合CNIL 2013年12月5日关于cookie的建议。
如果不是敏感数据,则不需要为了GDPR第9.2.a)条意义上的广告个性化,对数据处理予以明确同意。
5.2. CNIL认定
5.2.1 同意的“清晰明了”的要件
EDPB关于用户同意的解释指南(WP250)规定“控制者必须确保用户同意是基于信息提供,使数据主体能够轻松识别谁是数据控制者,并了解他们同意的内容。[它]必须清楚地描述寻求用户同意的数据处理的目的”,以及应当提供关键性信息。
首先,应根据前述在创建账号时缺乏透明度和提供信息来审查“清晰明了的语言”要素。根据上文阐述,该公司有不足。针对广告个性化处理的信息在单独的文件中过度分散,不易于访问。且由于还违反透明度和提供信息的义务,公司提供的信息不满足清晰易懂,不能使用户对数据处理目的和数据处理范围有全面了解。例如通过《隐私政策与使用条款》文件中“更多选项”按钮访问的“个性化广告”章节中所发布的信息,包含以下语句:“谷歌可能会根据您在Google服务中的活动向您展示广告(例如在搜索或YouTube上,以及Google的网站和合作伙伴应用中)。”
CNIL指出,这很难通过可点击链接了解该公司所指的服务、网站和Google应用程序。因此,用户无法理解他们所受的广告个性化处理以及它们的范围,这些处理涉及多种服务(例如:Google搜索、YouTube、Google主页、Google地图、Playstore、Google照片、Google Play、Google分析、Google翻译、Play书籍等)以及许多个人数据的处理。用户也无法准确了解所收集的数据性质和数量。
结论:用户对广告个性化的处理的同意并不充分。
5.2.2 同意的具体和明确的要件
法律规定如下:
GDPR Recital第32条规定:“同意应通过明确的肯定行动,数据主体以自由、具体、知情和明确的方式表达其对处理与其有关的个人数据的同意[...]。因此,如果是沉默、默认勾选框或无动作,则不应构成同意”。
GDPR Recital第43条表明:“如果不能单独同意不同的个人数据处理操作,则推定该同意不是自由给出的,尽管这在这种情况下是适当的”。
EDPB指南对上述同意规定“为了符合同意的“具体”特性,控制者必须确保:[...](ii)同意请求的详细性质[...]这意味着寻求同意的控制者出于各种具体目的,应针对每个目的分别提供同意,以便用户可以针对具体目的给予具体同意”。
(1)同意不能被视为主动同意。
目前创建账号的机制当用户创建账号时,他可以选择修改与该账号关联的一些参数。要访问这些参数,用户必须单击“更多选项”按钮,该按钮出现在“创建账号”按钮之前。账号的个性化参数(包含有关个性化广告展示的选择)为默认预勾选。创建账号时,如果用户没有点击“更多选项”按钮来设置他的账号,他必须勾选“我接受Google的使用条款”和“我接受我的信息如上所述并如隐私政策中所详述的被使用”的方框。随后,他必须点击“创建账号”按钮。如果用户没有点击“更多选项”,则用户必须选择“确认”按钮以完成账号的创建。
(2)同意不符合“具体”,因为“整体”接受了该公司实施的包括广告个性化在内的所有个人数据处理。
用户为进行账号创建的操作,勾选“我接受Google的使用条款” 和 “我接受我的信息如上所述并如隐私政策中所详述的被使用” 方框,然后选择 “创建账号”,这种方式不符合同意的具体性质。
此外,当点击更多选项来访问个性化参数时,特别时与个性化广告有关的内容为默认勾选,给用户此种修改可能性仅是允许反对处理而非转化为获得同意的积极行为。
如果事先以单独的方式向其展示不同的处理目的,并且能够通过明确的积极动作而不是预勾选的情况,针对每个目的给出特定的同意,这种便利性才被视作符合要求。必须在“接受一切”或“拒绝一切”的可能性之前向用户提供为每个目的给予特定同意的可能性,而毋需执行特定操作来访问它。
结论:通过“默认”授权和掩盖,广告的个性化处理不能被视为已被用户通过具体且和明确的积极行动的同意。
5.2.3 关于2013年12月5日CNIL关于cookies的建议的适用
对于与目标广告相关操作的cookies方面的具体规则应适用信息自由法规第32-11条的单独条款规定,该条款基于ePrivacy指令转化,因此援引此建议无效。
5.2.4 同意的范围
GDPR第4(11)条明确表示并定义了同意的表达方式,表明该同意意味着:“数据主体通过一个声明或通过某项清晰的积极行动而作出的任何自主、具体、清晰明了和明确的同意意愿,表明其同意对其相关个人数据进行的处理”。无论是否根据GDPR第6条获得同意,以实施针对特定目的的处理,或根据GDPR第9条收集,以解除原则上对处理所谓“敏感”个人数据的禁令,这些相同的同意表达方式均适用。本案中并未提出按照敏感数据的明确同意的要求。
四、处罚结果
(一)法律依据
1.《1978年1月6日法》第45-III 7°条规定:“当控制者或其处理者未遵守2016年4月27日上述欧洲议会及理事会2016/679法规(EU)或本法案产生的义务,则国家信息与自由委员会的主席也可以,如有必要,在向其发出本条款I规定的警告后,或在适当情况下,除II规定的正式通知外,于对审程序后转介委员会小法庭,以宣告以下一项或多项措施:[…] :7°除通过国家实施的处理情况外,行政罚款不超过1000万欧元,涉及企业的,则占其上一财政年度全球年营业额的2%,以金额较大者为准。在上文提到的2016年4月27日欧洲议会及理事会2016/679号条例(UE)第83.5和6条提及的假设下,这些上限应分别增加到2000万欧元和营业额的4%。
2. GDPR第83条的规定。
(二)Google辩称
1. 5000万欧元的行政罚款不成比例。
2.受违规影响的用户数量较少。
(三)CNIL认定
1.本案违反的是处理的合法性基础以及透明性和提供信息义务,属于数据主体的基本保障
基于违反处理合法性基础以及透明度和提供信息义务的特殊性质,所以处罚更为严厉。GDPR第6条规定了数据处理的合法性基础,是数据保护的核心条款,符合合法性基础才能处理用户数据。透明度和提供信息义务也是必不可少的,因为它们决定了数据主体行使权利的基础,从而使他们能够保持对其数据的控制。因此第6条、第12条和第13条都是根据GDPR第83.5条进行最严厉惩罚的条款。
2.违法行为具有持续性
这些不足一直持续至今,并且仍在继续违反GDPR。这不是对公司义务的短期误解,也不是控制者自法庭转介后就会自发终止的习惯性违规行为。
3.违法行为的严重性应特别评估处理的目的、数据的范围和数据主体的数量
虽然在线检查涉及的是使用Android系统创建Google账号的用户,只占7%,但是关联以有Google账号与创建Google账号的流程类似,谷歌对此也未有异议。
影响用户面广。鉴于Android操作系统在法国移动操作系统市场的主导地位以及在法国电话用户使用智能手机的用户比例,该公司实施了大量数据处理。因此,在这种情况下,公司处理了数百万用户的数据。
数据处理范围广。在创建账号时向用户呈现的隐私政策所涵盖的处理在所涉及的服务数量方面至少20多个。除了用户自己在创建账号和使用操作系统期间提供的数据外,他的活动中还会生成大量数据,如网页浏览历史记录、应用程序使用历史、设备地理位置、购买记录等。基于大量的各类数据的分析推断,特别是作为个性化广告的一部分,将与用户的身份、隐私有密切关联性。该公司使用多种工艺流程来组合和分析来自不同服务、应用或外部来源的数据,使该公司对其用户的精准认识产生了倍增效应。因此,该公司拥有几乎无限潜力的组合操作,可以对用户的数据进行大规模的侵入式处理。
鉴于数据处理的范围特别是广告个性化的以及数据主体的数量,以及违反行为(数据处理的合法性基础和透明性原则),构成了对其隐私保护的实质性侵犯,并且违背了希望保持对其数据掌握的人们的合法意愿。
4.从公司的经济模式评估违法行为
鉴于该公司从个性化广告处理中获益,公司应当特别关注其在对GDPR实施过程中的责任。
结论:鉴于上述理由对谷歌施加了五千万欧元的罚款。
在确定其公布的期限上,法庭还考虑了公司在操作系统市场占据的主导地位、规则违反的严重性以及呈现本决定对公众信息的重要性。
[1]GDPR whereas: (36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment.
[2]GDPR第60、64和65条
[3]GDPR第57-1.a)和h)条
[4]笔者注:虽然处罚书没有明确结论,但是按照理由可以推断出法这两个协会提交的投诉是可以受理的。
[5]《信息自由法规》第11、1.2条
[6]笔者注:虽然处罚书没有明确结论,但是按照理由可以推断出。
[7]笔者注:虽然处罚书没有明确结论,但是按照理由可以推断出。
[8]笔者注:虽然处罚书没有明确结论,但是按照理由可以推断出。
欢迎扫码参与更多精彩课程
主编:麻策
责任编辑:Zoey
封面图片来源:pixabay.com