谷歌因隐私问题遭欧盟巨额罚款,迄今数额最大的惩罚

1月24日,谷歌(Google)针对日前法国隐私监管机构(CNIL)根据《通用数据保护条例》(GDPR)开出的5000万欧元(约合计5700万美元)罚单提出了上诉。这是GDPR自从2018年5月生效以来,迄今数额最大的惩罚。

根据GDPR的要求,公司必须在收集用户信息之前获得用户的“真正同意”,这表明用户做出的同意决定必须是在一个明确选择过程基础上,同时撤回“真正同意”也要容易进行。CNIL表示,谷歌在处理数据之前没有得到用户的同意。相反,人们基本上不知道自己已经同意分享数据,也不知道谷歌计划如何使用这些信息。这些违规的行为还没有被谷歌纠正。

针对这一判罚,谷歌发言人表示:“基于监管指导和用户体验测试,我们一直在努力为个性化广告设计符合GDPR的流程,尽可能地确保透明和直接,我们担心,这一裁决对于欧洲和其他地区的发行商、原创内容创作者以及科技公司产生的影响,基于这些原因,我们目前决定上诉。”

5700万美元或只是个开端

这凸显了,科技公司身处互联网之中,连接是有代价的——使用者的隐私数据。正如拉里·佩奇(Larry Page)和谢尔盖·布林(Sergey Brin)在1998年推出谷歌(Google)时的敏锐理解:人们使用互联网所做的每件事都会留下一串数据。

数据,成就了如今监视全世界的谷歌,也使得它站在了全世界的对立面。

2018年10月,谷歌旗下社交网络Google+被曝出存在安全漏洞,这一漏洞自2015年以来已经泄露了多达50万名用户的私人数据,而谷歌于2018年3月发现这一漏洞,但为了避免损失向用户隐瞒此事。这些数据包括Google+用户的姓名、电子邮件、年龄、性别和职业,约有438个应用访问了这些数据。

12月份,Google+又再次曝出另一个漏洞,导致5250万Google+用户的姓名、职业和年龄等一系列数据泄露。这次谷歌等了将近一个月才通知用户。

谷歌对用户数据的“过度渴求”引起市场震荡,谷歌的母公司Alphabet股价一度暴跌。公众不满情绪和法律制裁直指谷歌,谷歌决定在2019年8月关闭消费者版Google+。

然而不置可否的是,普通用户要“审判”如谷歌、Facebook等科技巨头是很难的,正如范德比尔特大学(Vanderbilt University)发布的报告所表示的一样:“除非用户把手机扔进河里、断开互联网或是重新学习阅读纸质地图,否则根本无法阻止谷歌收集用户数据。”

幸运的是,面对像空气一般无处不在的数据采集,现代公众对于隐私问题越来越重视,立法者也在针对这些问题建立法规。苹果首席执行官蒂姆·库克(Tim Cook)认为,数据隐私是一项人权。“我们必须承认,当自由市场不起作用时,不可避免地会有某种程度的监管。”

随着GDPR的建立,欧洲已成为世界上最严格的科技监管机构,全世界的眼睛都在盯着那些违反GDPR的科技巨头们。对于普通消费者而言,这亦是对科技公司日益强大的力量的制衡。

而法国CNIL开出的这张罚单可能只是个开始,谷歌并不会“孤军奋战”太久。

全球管控趋严 严惩仍在继续

欧洲的经验正受到全球各国决策者的密切关注与借鉴,全球数据保护的政策风暴正蓄势待发:

2018年6月,美国加州《消费者隐私保护法案》(CCPA)正式颁布;

7月,印度政府提出《2018年个人数据保护法案》草案;

9月,第十三届全国人大常委会上,民法典各分编草案中《人格权编》系统规定了隐私权与个人信息保护,这使得与同步列入十三五规划中的《个人信息保护法》、《数据安全法》的彼此定位与相互关系问题变得更加紧迫;

11月,澳大利亚和中国台湾加入亚太跨境隐私规则机制(CBPRs);

12月,澳大利亚政府通过备受争议的《加密法案》,强制要求科技公司在访问加密信息时提供三种层级的“协助”。

2019年1月21日,日本通信部发布一份草案,根据该草案,谷歌、苹果、脸书和亚马逊等跨国科技公司须在日本派驻代理商,并被禁止在未经用户同意的情况下查看或泄露其电子邮件等通信内容。

此外,近三个月以来,荷兰、波兰、捷克共和国、希腊、挪威、斯洛文尼亚以及瑞典这7个国家的消费者机构向各自的国家数据保护当局针对数据隐私问题提出了申诉。而包括英国、法国、德国在内的多个国家也都宣布通过对跨国科技公司征收“数字税”的方式来加强管控。

以上内容串起了过去一年里数据隐私问题在法律制定方面斑驳陆离的一年,不仅折射了过去几年里以数据为中心的社会生活,也看到了未来数据保护的新趋势。正如作为欧盟数据保护的监护人,Giovanni Buttarelli说:“惩罚是普遍的,我们希望未来没有违法者。”