SCA连载GDPR罚款之:法国诉Google定向广告推送案件分析

时间:2024-04-01 11:41:19

SCA连载GDPR罚款之:法国诉Google定向广告推送案件分析

2018年5月,两家欧洲非营利性隐私和数字权利组织相继向法国国家信息与*委员会投诉称,谷歌在处理个人用户数据方面采用了“强制同意”政策,其收集的数据包含大量用户个人信息,这些信息还在用户不知情的情况下被用于商业广告用途。

法国数据保护监管机构(CNIL)调查发现,谷歌公司的行为违反了欧盟于2018年已生效的《GDPR通用数据保护条例》。

1、谷歌公司未提供用户数据的便捷访问渠道,(例如数据处理目的,数据存储时间或用于广告个性化的个人数据类别,过度分散于多个文件中),这造成用户无法管理其个人信息的使用。

2、谷歌还将用户“同意”选项设定为“全局默认设置”,不符合监管机构所规定的“特定同意”要求。谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如个性化广告或语音识别等)来同意各项条款。

3、此外CNIL还表示,谷歌公司目前用于征求安卓软件用户个人信息的弹出式窗口似乎暗含威胁意味:如果用户不接受这些条款,服务将无法提供。Google 预先勾选了广告个性化的显示框,而根据 GDPR 的规定,只有用户明确的肯定行动(例如勾选未预先勾选的显示框),同意才是明确的。

法国国家信息与*委员会今年1月21日发布公告称,依据《GDPR通用数据保护条例》的相关规定,专门小组认为谷歌在处理个人用户数据时存在缺乏透明度、用户获知信息不便、广告订制缺乏有效的自愿原则等问题,法国将对其处以5000万欧元,约合3亿8千万人民币的罚款。

“今日俄罗斯”网称,尽管5000万欧元的罚款数字看起来有些夸张,但CNIL表示,罚款是由“所观察到的侵权行为的严重程度”以及谷歌在法国市场的地位决定的。

《GDPR执法案例精选白皮书》对Google案例的违法分析称:

1.违反透明性原则, 用户无法轻易访问Google提供的信息。谷歌在用户访问个人数据上缺乏透明度,一方面,用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度;另一方面,即使是谷歌已经提供的信息,对用户来说也是不易获得的,原因是这些信息过度分散于多个文件中,需要用户经过五六个步骤才能访问。

2.违反了为广告个性化处理提供法律依据的义务。

首先,用户的“同意”并未充分了解情况。比如 Google 对广告进行了稀释操作,打散在Google 搜索、You tube、Google 主页、Google 地图、Playstore、Google 图片中,个人信息在多个文件中被过度传播(预计 20 个)。

其次,用户的“同意”既不是具体的也不是明确的。创建帐户后,用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项,在“创建帐户”按钮上方访问。实际上,用户不仅必须点击“更多选项”按钮来访问配置,而且还预先勾选了广告个性化的显示。但是,根据 GDPR 的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。

最后,在创建帐户之前,要求用户勾选“ 我同意 Google 的服务条款 ”框 和“ 我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程。

对应的GDPR法律条文中,Google定向广告投放案例涉及GDPR 规定的数据处理的原则以及处理的合法性问题,从数据主体处获取信息的信息提供问题及非从数据主体处的获取信息的信息提供问题,以及数据主体的“同意”问题。

众所周知,谷歌是一家位于美国的跨国科技企业,业务包括互联网搜索、云计算、广告技术等,同时开发并提供大量基于互联网的产品与服务,其主要利润来自于AdWords等广告服务。面对5000万欧元,约合3亿8千万人民币的罚款,Google案件给中国企业更多的合规启示——自2018年5月GDPR正式实施以来,已经多家跨国企业平台收到不同程度的罚单,为此,中国跨国企业应该积极应对。

最后SCA整理附录Google案件所涉及的所有GDPR条款法律原文仅供大家参考学习。

附:处罚依据Art. 4 nr. 11 GDPR 、Art. 5 GDPR 、Art. 6 GDPR 、Art. 13 GDPR 和Art. 14 GDPR ,相应法律条款原文如下:

Art. 4 nr. 11 GDPR

GDPR第四条 定义第11项

数据主体的“同意”系指数据主体通过声明或明确的积极行为,对其意愿做出的任何*、具体、知情和明确的表示,数据主体以此表示其同意与其相关的个人数据被处理;

Art. 5 GDPR

第五条 与个人数据处理相关的原则

1、个人数据应

(a)以合法、公正和透明的方式进行涉及数据主体的处理(“合法、公正、透明”原则)

(b)为特定明确和正当的目的收集,且不得以不符合上述目的的方式进行进一步处理;为公共利益的存档目的、科学或历史研究目的或统计目的而进一步处理,依据本条例第89条第1款,不应被视为不符合初始目的(“目的限制”原则)

(c)适当相关且以处理目的所必需的为限(“数据最小化”原则

(d)准确且必要及时更新;考虑个人数据处理的目的,必须采取一切合法措施,确保不准确的个人信息立即被删除或更正(“准确性”原则)

(e)可以识别数据主体的形式保存的时间不长于个人数据处理目的所必需的期间;在依据本条例第89条第1款个人数据仅为公共利益的存档目的、科学或历史研究目的而被处理,在实施本条例规定的适当的技术性和组织性措施以保障数据主体的权利和*的情况下,个人数据可被储存更长时间(“储存限制”原则);

(f)以确保个人数据适当安全性的方式进行处理,包括采用适当的技术性和组织性措施以防止未经授权或非法的处理,以及意外遗失、破坏或损坏(“完整性和保密性”原则);

2、数据控制者应对第1款规定负责,并应证明其符合第一款规定(“责任”原则)

Art. 6 GDPR

GDPR第6条 处理的合法性

1、处理应至少符合下列条件之一方属合法:

(a)数据主体已同意为一个或多个特定目的而处理其个人数据;

(b)处理是为了履行数据主体作为一方当事人的合同所必需,或在订立合同前应数据主体的要求采取措施所必需;

(c)处理是数据控制者为遵守一项法定义务所必需;

(d)处理是为了保护数据主体或另一个自然人的重大利益所必需;

(e)处理对为公共利益执行职务或数据控制者受托行使公权力所必需;

(f)处理是为数据控制者或第三方追求正当利益的目的所必需,需要个人数据保护的数据主体的利益或基本权利和*显著优先于该利益的除外,特别是数据主体为儿童时;

※第1小段(f)项不适用于公务机关执行其职务时进行的处理。

3、欧盟成员国可以维持或引入更具体的规定,通过对处理设定更确切的处理要求和其他措施,以适应本条例有关符合本条例第1款(c)项和(e)项的处理的规则的适用,确保在包括第九章规定的其他特定处理情形下处理的合法性和公正性。

4、第1款(c)项和(e)项规定的处理依据应在下列法律中规定:

(a)欧盟法律

(b)约束数据控制者的欧盟成员国法律。

处理的目的应在该法律依据中确定,或在第1款(e)项中规定的处理,应为公共利益执行职务或数据控制者受托行使公权力所必需。该法律依据可包含以适应本条例规则适用的具体条款,包括但不限于:规范数据控制者数据处理的合法性的一般条件;被处理的数据的类型;有关数据主体;个人数据可能被披露的对象和目的;目的的限制;储存的期限;以及处理行为和处理程序,包括确保合法和公正处理的措施,例如针对第九章规定的其他特定处理情形的措施。欧盟或欧盟成员国法律应当符合公共利益目标,并与所追求的正当目标相称。

4、基于收集个人数据目的之外的目的进行的处理未基于数据主体同意的,且未基于欧盟及欧盟成员国法律为本条例第23条第1款规定的目的构成在*社会的必要且合比例的保障措施时,为查明基于另一目的的处理是否符合最初收集个人数据的目的,数据控制者应该考量,包括但不限于:

(a)收集个人数据的目的和试图进一步处理的目的之间的任何联系;

(b)个人数据收集的背景,特别是关于数据主体和数据控制者之间的关系;

(c)个人数据的性质,特别是是否对属于第9条规定的特殊类别的个人数据进行处理,或是否对属于第10条规定的有关刑事定罪和犯罪的个人数据进行处理;

(d)拟进行的进一步处理对数据主体可能造成的结果;

(e)存在适当安保措施,可包括加密和匿名化。

Art. 13 GDPR

GDPR 第十三条 从数据主体处收集个人数据时的信息提供

1、从数据主体处收集有关数据主体的个人数据时,数据控制者应当在获得个人数据时向数据主体提供以下所有信息:

(a)数据控制者的身份和详细联系方式,以及数据控制者代表人的身份和详细联系方式;

(b)数据保护官员的联系方式(如适用);

(c)个人数据的处理目的以及处理的法律依据;

(d)当处理是依据第6条第1款(f)项时,数据控制者或第三方追求的正当利益;

(e)个人数据的接收者或者接收者的类别(如果有的话);

(f)数据控制者打算将个人数据转移到第三国或国际组织的事实,以及欧盟委员会是否就此问题做出过充分决议,或在本条例第46或47 条或第49条第1款第2小段规定的传输情形下,所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可供获取的方式(如适用)。

如果数据控制者计划基于与收集个人数据目的不同的其他目的进一步处理个人信息的,数据控制者应当在进一步处理前向数据主体提供该其他目的信息以及第2款规定的任何相关的进一步信息。

2、除第1款所述信息外,数据控制者应在获得个人数据时,为保证处理的公开和透明,应当向数据主体提供以下进一步信息:

(a)个人数据的储存期限,在无法确定的情形下,应当提供确定该期间的标准;

(b)向数据控制者请求访问、更正、删除个人数据或限制、拒绝其处理与数据主体相关的数据的权利,以及数据可携权;

(c)当处理基于第6条第1款(a)或第9条第2款(a)点时,则有随时撤回同意的权利,但此种权利不影响同意撤回前进行的处理的合法性;

(d)向监管机构提出申诉的权利;

(e)提供个人资料是否为法定或合约规定,或订立合约的必要条件,以及数据主体是否有责任提供个人数据,和无法提供数据时的可能后果;

(f)包括数据画像在内的本条例第22条第1款和第4款所述的自动决策机制,至少在这些情况下提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。

3、如果数据控制者计划基于与收集个人数据目的不同的其他目的进一步处理个人信息的,数据控制者应当在进一步处理前向数据主体提供该其他目的信息以及第2款规定的任何相关的进一步信息。

4、第1款第2款第3款不适用于数据主体已已经获得该类信息的情形。

Art. 14 GDPR

GDPR 第十四条 非从数据主体处收集个人数据时的信息提供

1、个人数据非从数据主体处获得时,数据控制者应当向数据主体提供以下信息:

(a)数据控制者的身份和详细联系方式,以及数据控制者代表人的身份和详细联系方式(如适用);

(b)数据保护官的详细联系方式(如适用);

(c)处理的个人信息的处理目的以及处理的法律依据;

(d)所涉个人数据的类别;

(e)个人数据的接收者或者数据接收者的类别;

(f)数据控制者意图将个人数据向第三国或者国际组织进行传输的事实,以及欧盟委员会是否就此问题做出过充分决议,或在本条例第46条、47条或49条第1款第2小段规定的传输情形下,所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可供获取的方式(如适用)。

2、除去第1款规定的信息外,数据控制者在获取个人数据时,为保证处理的公正和透明,应当向数据主体提供以下信息:

(a)个人数据的储存期间,在无法提供的情形下,应当提供确定该期间的标准;

(b)处理是依据本条例第6条第1款第(f)项时,数据控制者或第三方追求的正当利益;

(c)向数据控制者请求访问、更正、删除个人数据或限制、拒绝其处理和数据主体相关的数据的权利,以及数据可携权;

(d)当处理是依据本条例第6条第1款(a)项或者第9条第2款(a)项时,随时撤回同意的权利,但此种权利不影响同意撤回前进行的处理的合法性;

(e)向监管机关提出申诉的权利;

(f)个人数据的来源,是否来自于可公开获取的资源(如适用);

(g)包括数据画像在内的本条例第22条第1款和第4款提及的自动化决策机制,至少在该类情况下提供对数据主体的处理过程所涉及逻辑的有用信息以及处理的重要性和预计结果。

3、数据控制者应当提供第1款第2款规定的信息:

(a)在获取个人数据之后的合理期限内,视个人数据处理的具体情形而定,但不得超过一个月;

(b)若个人数据用于与数据主体的沟通,最迟不超过与该数据主体的第一次通讯时;

(c)如果计划向其他数据处理者披露,最迟不超过该个人数据的首次披露时;

4、若数据控制者计划基于与收集个人数据的目的不同的其他目的进一步处理个人信息的,数据控制者应当在进一步处理前向数据主体提供该其他目的信息以及第2款规定的任何相关的进一步信息。

5、第1款到底4款以下情形不适用:

(a)数据主体已获得该类信息;

(b)经证明提供这类信息是不可能的或需要不成比例的投入的,特别是符合本条例规定的第89条第1款规定的条件和安保措施的为了公共利益的存档目的、科学或历史研究目的或统计目的所进行的数据处理,或在本条例第1款规定的义务可能使该处理的目的无法实现或受到严重损害的。在上述情形下,数据控制者应当采取措施保护数据主体的权利、*及正当利益,包括向公众公开信息;

(c)获取或披露是依据对数据控制者生效的欧盟或欧盟成员国法律的规定,且上述规定提供了适当的措施以保护数据主体的正当利益;

依据欧盟或欧盟成员国法律规定的职业保密制度(包括法定保密义务)规定,个人数据应当保密的。

PS:文章由SCA结合GDPR官方文档及相关法律报告整理,转载请注明出处。

 

相关文章