freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

图文详解Google缘何遭“5000万欧元罚单滑铁卢”
2019-02-01 09:00:59

u=3370265143,3440164205&fm=15&gp=0.jpg

近日,业界都在密切关注Google因违反GDPR遭法国CNIL重罚的新闻,然而,Google遭重罚的深层原因究竟是什么?如何从法律、监管机构、以及市场等多个角度分析CNIL此次行为的原因?大型跨国企业如何避免类似处罚? 业界仍未有一篇文章对上述问题作出详细解答。

作为以“为构建诚信社会添砖加瓦”为己任的普华永道赛博星人,我们必须利用专业知识及丰富的行业经验,为您答疑解惑。 希望本文可以在未来为您的企业避免“5000万欧元”的损失,真正做到“合规创造价值”。

本文关键词

Google 5000 万欧元罚款;

Google 违规行为详细图文分析;

中国企业如何避免类似违规行为?

下一个受罚企业会是谁?

Google GDPR 被罚 5000 万欧元事件之背景

一、2018年5月25日和5月28日,法国数据保护监管机构(National Data Protection Commission,下称“CNIL”)分别收到来自两个有关团体“NOYB ( None Of Your Business)”和“LQDN ( La Quadrature du Net)”针对Google的两起GDPR违规投诉。

二、2018年6月,CNIL立即基于上述两宗投诉对Google开展调查。

三、2019年1月21日,CNIL对Google开出自GDPR ( General Data Protection Regulation,下称GDPR)自2018年5月生效以来的首张巨额罚单,罚款金额高达5000万欧元(约3.8亿元人民币)。

四、此次罚款的根本原因是:Google在为用户提供个性化广告推送服务中违反GDPR的透明性原则,并且没有在处理用户信息前获取有效同意。

image.pngWhy Google

Google被公认为全球最大的 搜索引擎 公司,主要业务包括互联网搜索、 云计算 、 广告技术 等,同时开发并提供大量基于 互联网 的产品与服务,其主要利润来自于广告业务。 style="color: rgb(0, 0, 0);">依靠实力强大的公司律师团队,Google几年前就着手开展个人隐私保护合规工作。那么,为什么作为行业领军企业的Google会在2019开年被CNIL开出巨额罚单?CNIL对处罚的公开说明没有深入分析或者解释Google内部的一些原因, 在对Google的违规行为进行法律解析前,我们先来分析一下Google遭罚款背后真正的原因(内部的一些原因)

1.作为行业龙头企业,Google业务范围广泛,却对多个服务使用单一隐私政策

作为世界级的互联网领军企业,Google推出了20余种互联网服务,如Google搜索、Google广告、Google地图、YouTube、Android、Chrome、Google地球、Gmail等,上述服务无一例外都会收集和处理庞大的个人数据。根据GDPR的规定可推定,企业在进行隐私政策制定的过程中,不光要按照GDPR的要求提出共性化的政策条款,同时也应当有区别地根据不同的业务模块进行隐私政策的个性化定制,从而使用户明确不同的服务如何收集、处理和使用其个人数据。

不知道是因为Google互联网服务的业务体系过于繁杂,难以在短时间内做到个人数据保护体系的系统性合规;还是在互联网市场占绝对主导地位的Google没有对GDPR投入足够重视。Google在其遭到投诉的隐私政策中明确规定,只要用户勾选“同意”对话框,则代表Google互联网的 任何一项服务 均可以收集和处理用户个人数据。这种 一揽子 的隐私政策一方面严重违反了GDPR关于数据处理透明性的原则,也侵犯了用户的自主选择权。

image.png

图2:GMAIL业务的隐私政策显示用户数据将会被用于任何Google服务

image.png

图3:您可以尝试在任何Google产品页面点击 “ 私隐权政策 ” ,都会跳转至同一个页面 (https://policies.google.com/privacy)

2.业务占市场主导地位,用户处于弱势地位,用户给Google的“同意”效力有待商榷

安卓系统作为Google开发的操作系统,在欧洲市场拥有高达85%的占有率,2018年,其在法国市场的占有率也达到80%左右。

image.png

图 4:  2018 年安卓系统在法国所占市场份额

针对数据控制者/处理者同数据主体地位严重不平等的情况,GDPR专门做了有关的规定,根据“鉴于条款”(即第第43条)规定“为确保‘同意’系自愿作出,在数据主体与控制者之间存在明显不平衡的特殊情况下,数据主体 不可能在所有情况下都是自愿作出的同意 ,因此在此情况下‘同意’不应作为处理个人数据的有效法律依据。

根据安卓系统的市场表现,可知一旦用户拒绝使用安卓系统,则可选择其它操作系统的空间十分有限,处于明显的弱势地位。然而,Google的隐私协议中规定,如果用户不作出“同意”,就无法继续使用安卓系统。因此,即使用户做出明确“同意”,基于其弱势地位以及Google隐私协议中的强制性规定,其“同意”的有效性仍然值得商榷。

3.个性化广告投放为主要营收业务,高额罚款有据可循

根据Google 2018年发布的财报显示,截至2018年6月30日,Google Alphabet公司营收326.6亿美元,净利润82.66亿美元,高于市场预期。而支撑起Google营收的主力依然毫无悬念是其广告业务,在2018年第二季度贡献了280亿美元的营收,同比增长24%,并占据了总营收85.7%的份额。

CNIL针对Google此次违规行为做出罚款的重要依据之一,就是其个性化广告推送业务在收集和处理用户个人数据过程中,没有符合GDPR的相关要求。在GDPR中,根据所触犯的条款不同,设置了两个级别的处罚金额,分别为:

最大处罚金额1000万欧元或企业上一年度全球营业额的2%(选其中较高的数字);

第二级别是,最大处罚金额2000万欧元或是企业上一年度全球营业额的4%(选其中较高的数字)。

由此可见,基于Google服务的用户数量、处理个人数据的种类众多且数量庞大,并且在广告投放领域获取高额利润,CNIL此次开出巨额罚单,也是有据可循的。

image.png

图5:Google 2018年财报数据

违规行为详细解析

Google 违规行为一览
1.Google互联网多种服务提供单一化隐私政策,未设置个性化区分
2.Google个性化广告业务的隐私政策不够完整,并且有关信息分散在多个文档中。
3.Google没有向用户尽到提示义务,告知用户个性化广告推送隐私政策的分散情况,致使用户无法获取完整的数据处理信息。
4.Google预先为用户勾选了“同意提供个性化广告服务”的选项。
5.Google在注册时,预先勾选的行为被故意隐藏,不易被用户发现。

1.首先Google互联网多种服务使用单一化隐私政策,未设置个性化区分

Google互联网为用户提供20余种服务,如YouTube,Google Search等,每种服务收集用户信息的类别及处理目的和使用范围都不尽相同。因此,按照GDPR的规定,Google互联网的每种个性化服务,都需要制定有区分度的隐私政策,为使用不同服务的用户清晰展示自己的数据将会被如何收集及应用。 然而,目前Google互联网却处于 所有服务共用同一隐私政策 的违规现象。这种 一揽子 式的隐私政策提供模式,强制用户接受所有服务处理其个人信息的行为,严重损害了用户的自主选择权。

image.png图6:Google互联网服务提供的单一化隐私政策

 2.Google个性化广告业务的隐私政策不够完整,并且有关信息分散在多个文档中

由于广告推送是Google互联网服务的最主要营收来源,所以Google 需要制定完整、清晰、易于获取的与广告推送有关的隐私政策。 然而,目前Google使用的与广告推送业务有关的隐私政策并不完整,如下所示,仅区区几百字,如用户想要获取与广告推送业务背后有关的用户个人信息被处理的目的、存储期限、收集和使用目的等内容,则需要点击界面上的链接,跳转到其他界面才可以进一步获取上述信息。与此同时,当跳转到另外界面后,用户获取的也是不完整的文档信息。

image.png

图7:个性化广告推送隐私政策界面

image.png

图8:其它多个界面 ( 文档 ) 还有与个性化广告推送有关的隐私说明,并没有容易让用户在一处获取最盈利业务的所有说明

3.Google没有向用户尽到提示义务,告知用户个性化广告推送隐私政策的分散情况,致使用户无法获取完整的数据处理信息

如上所述,关于广告个性化处理操作的信息在多个文档中被稀释,用户如果想完整获取该信息需要点击不同的链接,进入到不同的界面。然而,Google并没有对此情况在最初即明确提示,导致用户无法清晰的意识到上述数据的范围及分布情况, 同时, Google也没有主动向用户澄清广告服务的涵盖范围。例如,在隐私政策“广告个性化” 这一节,用户无法真正了解Google的广告个性化业务究竟会在哪些服务里提供( Google地图,Play store,Google图片)等,这些信息都是模糊不清的。

image.png

图9:个性化广告推送隐私政策简略且模糊

4.Google预先为用户勾选了同意提供个性化广告服务的复选框

在使用任何一种Google互联网服务时,用户都可以选择注册后浏览及不注册直接浏览两种方式。 然而,无论客户使用哪种方式,同意提供个性化广告服务的复选框都被Google预置勾选,剥夺了用户自主选择的权利。 image.png图10:在注册Google帐户时, “显示个性化广告”选项被预置勾选 

image.png 图11:如果不注册,以匿名用户使用Google服务也会默认勾选个性化广告选项

5.最大罪状:Google预先勾选的行为被故意隐藏,不易被用户发现

如上所述,Google在用户注册的界面,预先勾选了“同意提供个性化广告服务” 的复选框,这一行为本身就是违规的。 然而, Google故意隐藏该预置勾选的复选框,只有当用户点击 更多选项 时才可发现该复选框被勾选的事实。实际上,根据用户习惯,大多数人在注册时都不会完整的浏览供应商提供的文字说明,如果不将获取用户同意的复选框放置在“易于被发现”的位置,也同样违反了GDPR中关于“获取同意”的规定。

image.png图12:必须点击“更多选项”按键才能看到被Google默认预选的 “同意提供个性化广告服务” 

GDPR 相关法条速览  

1.GDPR第三章数据主体权利第一节信息处理透明性及其形式12

控制者应当采取适当措施向数据主体提供本条例第13条和第14条规定的信息和任何依据本条例第15条至第22条和第34条进行的、与数据处理相关的交流信息,尤其是需要提供给儿童的任何信息。该种信息应当以一种准确、透明、易于理解、易于获取的方式提供,且应使用清楚、平实的语言

2.GDPR第二章原则7同意的条件2

如数据主体通过书面声明的方式作出同意,且书面声明涉及其他事项,则要求数据主体同意的请求应以符合以下要求的形式呈现:与其他事项显著区别;易理解、易获得;使用清楚、平实的文字。如该声明中任何部分违反本条例的规定,则其应不具约束力。

普华永道解读(给中国企业的启示)   

企业应该如何做,才能真正符合GDPR中有关遵循信息处理透明性原则的规定?又该怎么做来有效获取客户同意?

建议 拜托,能不能简单一点说?
企业需要保证客户明确知悉何种业务在收集和处理他们的个人数据及其目的; 请把隐私声明写得简单点,让一个小白读一次,如果GDPR小白都看不懂,那就把咨询顾问或者律师炒了吧,要不就准备好5000万欧元准备接受罚款。
尽量写详细点,用户数据在系统中如何处理、存储,用于哪些业务。 
拜托,不要老是站在您们律师或者咨询顾问的角度帮我写,请站在用户的角度写一个隐私政策出来。
用户被告知企业处理其个人数据的相关信息时,不会发现任何具有欺骗性、误导性的措辞;
企业必须向用户提供满足相关透明度要求所需的信息,并保持这些信息的可访问性和最新性。
建议 拜托,能不能简单一点说?
用于获取客户同意的隐私政策必须置于“易于发现”的位置 有关的信息放在同一个文档里,不要让用户还得点击后去到其它地方查看,甚至要查看好几个文档
与收费有关的业务,尽量,我是说尽量哈,不要预先替用户选上。
用于获取客户同意的隐私政策不得同其他类别的用户协议混合出现
企业不得预先勾选“同意”复选框或者按照用户操作习惯设置复选框陷阱

数据保护监管机构管辖权判定

根据GDPR规定,某跨国企业遭到违反GDPR相关投诉,如该企业在欧盟某国具有“主营业场所”(mainestablishment),该国的数据保护监管机构则作为管辖此次投诉的主要监管机构。(关于数据监管机构的详细分析参见《后GDPR时代——企业如何与欧洲监管机构建立有效沟通渠道》,2018,11,08,微信公众号:赛博星人)。

然而在本案中,虽然Google在欧洲总部的设立地为爱尔兰,并同时在欧洲经济区其他国家也设有分支机构,但经过CNIL在与爱尔兰数据监管机构充分沟通后,认为无法判定Google在欧盟境内的“主营业场所”。因此,CNIL接到投诉后,即刻启动了相关程序并主导调查。

然而,并未确定Google在欧盟境内的主营业场所,就证明其设立分支机构的任何一个欧盟国家的数据保护监管机构,包括法国的CNIL都会该案享有执法管辖权。因此,可以看出,如果无法判定企业的“主营业机构”,很可能导致被诉企业面临多家监管机构多头执法的情形。

继 Google 之后,谁会是下一个被罚者?

1.NOYB是何方神圣?

NOYB成立于2017年6月12日,是由欧洲著名隐私保护律师马克斯施雷姆斯(Max Schrems)成立的一家设立于奥地利维也纳的非盈利数据权利机构,其成员包括欧洲议员、欧盟委员会专家、法学教授、隐私保护律师等。NOYB成立一年来,致力于针对违反GDPR规定的私营企业进行投诉,发起诉讼案件。值得关注的是,马克斯施雷姆斯在隐私保护领域可谓“战功赫赫”,自2011年起,其就针对Facebook相关服务违规处理用户个人信息进行起诉并获胜。马克斯施雷姆斯诉Facebook事件也对欧盟修改同美国之间的数据传输协议(隐私盾)造成了深远影响。

尽管刚成立一年有余,NOYB已经针对八家企业的在线流媒体服务进行了测试,分别是AmazonPrime, Apple Music, Dan, Flimmit, Netflix, SoundCloud, Spotify, YouTube,然而,八家企业均不完全符合GDPR的合规要求。日前,NOYB已向相关数据保护部门提出正式投诉。投诉主要依据为GDPR中的信息处理透明性原则、获取数据主体明确同意要求、以及积极响应数据主体权利(访问权、修正权、删除权、拒绝权等)。马克斯•施雷姆斯(MaxSchrems)表示,所有主要供应商甚至都存在“结构性违反(structuralviolation)”法律的行为。

image.png图13:HOYB投诉的企业清单

2.房地产公司、航空公司、大型跨国酒店等大规模处理用户数据的企业要提高警惕,谨防遭到数据监管机构处罚

由Google被罚案不难看出,欧洲监管机构都是在收到企业违规行为的投诉后,立即开展系统性调查,仅用4个月的时间就开出了巨额罚单。与此同时,处理大量个人数据数据的行业巨头在被投诉中首当其冲。由此推断,市场份额巨大的行业巨头在面临GDPR的出台及生效时,并不一定已经能够充分做到合规。

目前,遭到NOBY投诉的企业集中在互联网的巨头企业,但不排除未来NOBY甚至其他公益组织或个人将目光瞄准到房地产公司、航空公司、大型跨国酒店、通讯及终端设备提供商等大规模处理个人数据,甚至涉及到个人数据跨境传输问题的大型跨国企业。与此同时,上一年度在世界范围内也发生了几起严重的数据泄漏事件,其中最为轰动的就是“国泰航空数据泄露事件”、“万豪国际酒店数据泄露事件”。2018年10月25日,国泰航空公司宣称约940万份乘客数据曾被未获授权浏览,几日内,其股价25日下跌近7%。香港个人资料私隐专员公署(PCPD)称将主动接触国泰展开调查;无独有偶,2018年11月30日,万豪酒店的客房预订数据库被黑客入侵,在该酒店预定的最多约5亿名客人的信息或被泄露,其股价迅速下跌约6%。美国纽约、马里兰等多个州开始着手调查。或面临史上最高罚款。

因此,上述类型的跨国企业在2019年度要密切关注欧洲乃至世界范围内的隐私保护立法、执法动态以及NOBY的投诉动态,积极投入资金资源及人力资源,加紧开展个人数据合规体系搭建以及风险防控机制建设。

其它有关文章阅读:

后GDPR时代关键——企业如何与欧洲监管机构建立有效沟通渠道

应对GDPR,许多中国企业做错了

时下最热门的隐私数据合规议题之一:如何将欧盟个人隐私数据合规离境、以最优成本离境至中国?(一)

*本文作者:普华永道赛博星人,转载请注明来自FreeBuf.COM

# google # GDPR
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者