2019 年 1 月, 谷歌因违反欧盟《通用数据保护条例》(GDPR)的隐私法而被处以 5000 万欧元(5700 万美元)的罚款,这无疑表明,GDPR 规则很快对企业和营销人员产生了重大影响,所有公司都需要密切关注。
案件的关键在于:法国数据保护局 ( CNIL ) 发现这家科技巨头在为个性化广告目的处理用户数据时未获得用户的充分同意,违反了法律。此外,法院还裁定谷歌没有向消费者提供清晰且易于获取的有关其信息收集和保存方式的信息。
这是一项具有里程碑意义的裁决,因为这是谷歌首次根据泛欧洲 GDPR 规定的新规则
受到罚款。这也是 CNIL 首次根据 GDPR 制度处以罚款。
“Chet Data 提供准确的克罗地亚电 克罗地亚 电话号码列表 话号码列表,以提高成功所需的基本呼叫中心代理技能。有了可靠的联系信息,企业可以培训其代理进行有效沟通、积极倾听和解决问题的技巧。此资源支持有针对性的推广,帮助代理更有效地与客户联系。相信 Chet Data 能够提供开发和完善呼叫中心代理技能所需的工具。”
根据《GDPR》,欧盟监管机构有权对公司处以相当于其年营业额 4% 或 2000 万欧元(2300 万美元)的罚款,以较高者为准。
此次罚款是在 2018 年两个欧洲压力团体 None Of Your Business (NOYB) 和 La Quadrature du Net 提出投诉后做出的。他们指责谷歌和包括 Facebook 在内的其他主要互联网公司没有有效的法律依据来处理其服务用户的个人数据,“尤其是出于广告个性化目的”。
让我们更深入地了解一下此案的法律和背景。
背景:GDPR 严厉打击数据隐私
数据保护早已被欧盟法律视为一项独特的基本权利。根据《欧洲人权公约》第 8 条,个人在处理个人数据方面享有的保护权是个人享有的私人和家庭生活、家庭和通信权利的一部分。
根据欧盟法律,数据保护首次受到1995年《数据保护指令》的规范。然而,随着近年来技术的飞速发展(个性化、有针对性的数字广告能力是其中的主要组成部分之一),欧盟决定引入新的立法并调整数据保护规则。
从本质上讲,欧盟委员会认为,该法律需要更新,以适应当前环境,并为欧盟消费者创建一个现代化框架。GDPR 于 2018 年 5 月 25 日起在整个欧盟全面实施,为数字时代的数据保护、隐私和安全制定了更高的标准。
GDPR给个人数据保护领域带来了巨大的变化,许多评论家称其是二十多年来数据保护、隐私和安全标准的最大变革。
这对数字营销团队和品牌产生了重大影响,许多人需要进行大量分析、调整和采取行动才能达到新法律规定的标准。这包括审核客户数据库,了解是否同意接受营销通信、重新选择加入活动(如法律出台时公司发出的大量电子邮件所示),以及创建新的同意加入流程。
尤其是,GDPR对企业的隐私政策进行了严格的规定——
如何编写、必须包含哪些内容以及如何访问。法规规定,隐私政策必须以“简洁、透明、易懂、易于访问,使用清晰、平实的语言”编写。
还需要提供“预期处理的有意义的概述”,准确解释如何使用收集的数据,例如用于广告目的。
考虑到所有这些,让我们更详细地了解一下谷歌的裁决。
案件:谷歌违反规则
2018 年 6 月,在 GDPR 实施后不久,CNIL 收到了两起针对谷歌的投诉,并随即展开了调查。投诉由 NOYB 和 La Quadrature du Net 提出,后者是一个由 10,000 名数据主体授权提出投诉的组织。他们声称,谷歌没有有效的法律依据来处理其用户的个人数据以进行用户行为分析和广告个性化活动。
为了调查这些投诉,CNIL 对谷歌平台进行了一系列在线检查,最终认定谷歌违反了 GDPR 的基本规定。
首先,CNIL 发现谷歌没有让用户轻松获取相关的数据保护通知,这违反了 GDPR 第 12 条。裁定称,该通知“并不总是清晰和全面”,并且用户需要采取几个步骤后才能访问。
其次,他们发现谷歌违反了《GDPR》第 13 条,因为其通知不符合向数据主体提供具体、强制性信息的要求。CNIL 认为 “用户无法完全了解谷歌执行的处理操作的范围” ,因为提供的信息“过于笼统和模糊”。它发现谷歌的处理活动 “特别庞大且具有侵入性”, 因为该公司处理个人数据的目的多种多样。
谷歌认为,用户实际上无法行使选择退出个性化广告数
据处理的权利。谷歌并未特别要 金融和政府如何实现数字化转型 求用户选择加入广告定位,而是要求用户集体同意谷歌的条款和隐私政策。
这被认为不符合 GDPR 规定的“特定”同意门槛,因为用户仅对 Google 的所有处理活动给予一次同意,而不是针对每个处理目的给予单独同意。
更多发展、后果和分析
针对该裁决,谷歌在一份声明中表示:“人们期望我们具有高标准的透明度和控制力。我们坚定地致力于满足这些期望和 GDPR 的同意要求。我们正在研究该裁决,以确定我们的下一步行动。”
CNIL 则认为,谷歌的违规行为是持续不断的,而且仍在发生,这为其高额罚款提供了合理依据。值得一提的是,CNIL 还补充道,谷歌的违规行为因该公司的经济模式部分基于广告个性化而加剧,因此“遵守 GDPR 是其最大责任”。
谷歌首席隐私官 Keith Enright 随后表示,该公司不同意 CNIL 的裁决,并表示将向欧洲法院上诉。“我们完全相信,随着法律的发展,监管机构将不断介入,在某些情况下,问题将被诉诸法庭,甚至可能一直诉至欧洲最高法院,以解决 GDPR 中这些潜在的模糊之处,”他说。
虽然 GDPR 在出台时就迫使品牌和营销人员对其流程和方法做出重大调整,但这项裁决具有重要意义,因为这是根据 GDPR 针对数字公司发出的首起重大罚款案件 – 而且它来得并不晚,距离 GDPR 实施仅八个月。
10 月,葡萄牙一家医院因两项与不当访问患者数据有关的 GDPR 违规行为而被处以 40 万欧元(45.3 万美元)罚款。该裁决还表明,葡萄牙监管机构有意愿执行法律(尽管规
模不如谷歌案),这让事情变得更加严重。
独立隐私研究员兼顾问 Lukasz Olejnik 博士表示,谷歌的裁决是全球最大的数据保护罚款。“这是隐私执法和隐私史上的一个里程碑。整个欧盟都应该欢迎这笔罚款。它大声宣布了 GDPR 十年的到来,”他说。
虽然 5000 万欧元的罚款显然是一笔不小的数目,而且吸引了评论家和观察家的眼球,但这似乎并不是这起案件最重要的方面。对于像谷歌这样规模和盈利能力强的公司来说,罚款本身并不会带来严重损害。
2018年,谷歌总营收为1362.2亿美元,以此计算,如果CNIL将GDPR处罚幅度发挥到最大(年营收的4%),罚款金额可能超过50亿美元,是谷歌实际罚款金额的100倍。
更为严重的财务影响是, 2018 年 7 月,谷歌因 Android 手机操作系统滥用市场支配地位而被欧盟委员会罚款 43 亿欧元(49 亿美元) ,这是欧盟有史以来最大的反垄断罚款。这笔罚款占谷歌年利润的很大一部分。此前,欧盟委员会还因谷歌滥用市场支配地位,在互联网搜索中偏袒其购物服务而对其处以 24 亿欧元(27 亿美元)的罚款。
尽管如此,这项最新的 GDPR 裁决树立了榜样,并发出了一个非常明确的信息,即该法规正在得到执行,并且必须认真对待。数据保护机构非常关注该法规,并保护个人免受非法处理其个人数据。
对于谷歌来说,修改数据保护流程的影响可能远比罚款本身更沉重。此外,还有负面宣传需要考虑,随着公众意识的增强和消费者对其数据被用于定向广告以及这种广告的侵扰性质的怀疑,谷歌并不是唯一一家这么做的公司。近几个月来,Facebook也因数据隐私争议而受到冲击。
尽管如此,谷歌作为全球领先的搜索引擎,仍然享有非常主导的市场地位。我们尚未看到该案在上诉法院如何进行,这家科技巨头将在那里捍卫其做法和程序。这必将对各方产生重大影响——对消费者、企业和数字营销人员来说都是如此。值得关注。
这项裁决给所有在欧盟开展业务的企业敲响了警钟,提醒他们未能达到要求的标准将会带来什么后果。对于任何公司和营销团队来说,这项裁决强调了确保其数据保护声明准确、最新、并适当、恰当地引起数据主体注意的必要性,以完全遵守 GDPR。
