圖片來源: 

CNIL

法國資料主管機關CNIL1月21日以Google對消費者資訊透明度不足違反歐盟隱私法GDPR,判罰Google 5,000萬歐元(約17.6億新台幣)。

去年5月兩個資訊隱私倡議團體None of Your Business(Noyb)和La Quadrature du Net(LQDN)分別向CNIL控訴Google處理用戶個資,特別是用作發送個人化廣告的行為欠缺有效的法律基礎。其中LQDN代表1萬人網路使用者。CNIL委員會在去年9月啟動調查後,於1月21日公布調查結果,發現Google有二項違法事實。

首先,CNIL認為Google欠缺透明度及資訊完整性,即其提供的資訊並不容易讓使用者取得及理解。Google關於用戶個資處理的說明資訊,像是資料處用途、資料儲存期間或用於個人化廣告的個資類型散佈於其服務多項文件的各處,需一再點選按鍵及連結才能完全取得,往往需要得要5、6個步驟。

此外,委員會認為用戶根本很難全盤理解Google資料處理的運作。這是因為Google服務高達20項,處理的資訊量多又複雜,使其資料運作有如天羅地網,但Google對資料處理用途、類型說明皆過於簡略、模糊。對某些資料又沒有說明資料保存期間。由於說明不清,使用者也不了解「取得同意」乃是為了Google取得發送個人化廣告的法律依據。

其次,雖然Google聲稱它取得用戶同意才處理個資以便發送個人化廣告,但CNIL認為這所謂的同意並不明確。原因在於,Google說明分散於其服務的多項文件中,包括Google搜尋、Youtube、Google Map、PlayStore及Google相片等服務,使用者其實未能充份感受到蒐集範圍之廣大。而且,雖然用戶在建立Google帳號時,可以透過「更多選項」進入個人化廣告的設定、並勾選同意資料處理的行為,但是這些都是統包式的同意,並不符合GDPR要求用戶給予「明確」及「清楚」的同意。

依據Google違法事項的嚴重性,CNIL委員會對Google判處5千萬歐元的罰款。法國主管總結理由有三。一來,雖然Google提供了文件及用戶組態工具,但因其資料量之大、之複雜及行為面之廣,已剝奪了用戶控管個資的能力。二來,Google的違法行為並非一次性,而是直到今天都還在發生。最後,考量法國市場每天都有數千人以Android手機建立Google帳號,採用個人化廣告的Google本來就有責任遵守GDPR法規。

Techcrunch引述 Google方面回應指出,使用者對該公司的透明度和用戶控管有高標準期待,Google致力於滿足這些期待和GDPR對用戶同意的要求。Google正在研究該判決結果決定接下來的作法。

本次判決是CNIL去年5月底GDPR剛上路時對Google及臉書做出的控告。CNIL對臉書的判決將是另一眾人關注焦點。

Noyb於1月21日也同時控告Amazon、蘋果、Netflix、Youtube等8家串流媒體平台違反了GDPR的使用者資訊存取權,最高可能判處188億歐元罰金。


Advertisement

更多 iThome相關內容