广告

被罚5000万欧元,起底Google到底犯了哪些错?

2019-01-22 阅读:
被罚5000万欧元,起底Google到底犯了哪些错?
谷歌“犯错”,谁会是下一个?

1月22日,法国监管机构对Google开出了首笔GDPR罚款,金额达5000万欧元(约5700万美元)——这是自2018年GDPR法规生效以来首次对美国科技巨头实施的重大处罚。uefednc

而处罚的根本原因是:Google未向Android用户正确披露其数据如何被收集,并向用户违法推送个性化广告。uefednc

起底Google如何犯错

事情起源

CNIL是法国国家信息与通信委员会(法国数据保护监管机构),其官网给出了一个信息点。2018年5月25日和28日,CNIL收到了无业务组织(NOYB)和维权组织La Quadrature du Net(LQDN)的团体投诉。LQDN被10000人强制要求将“此事”提交给CNIL。uefednc

这两起投诉均指责Google没有有效的法律依据来处理其服务用户的个人数据,特别是出于广告个性化目的。uefednc

025ednc20190117uefednc

CNIL官网的“罚款通知”uefednc

CNIL处理投诉

CNIL立即开始调查投诉。2018 年6 月1 日,根据GDPR中规定的欧洲合作条款,CNIL向欧洲同行发送了这两项投诉,以评估其是否有权处理这次事件。这里要注意的是,GDPR建立了一站式服务机制,规定在欧盟设立的企业组织只应有一个对话者,这个对话者就是该组织所在国的数据保护监管机构(DPA)。uefednc

由于Google在欧洲的总部在爱尔兰,因此当法国想要调查这件事,就必然涉及到跨境处理的问题,也意味着要协调其他数据保护机构之间的合作。uefednc

但是实际上,由于Google爱尔兰总部对Android操作系统和Google提供的有关在创建账户期间提供的服务处理操作没有任何决策权,因此该国的数据保护监管机构就没办法处理这件事,也就意味着一站式服务机制在此时不适用——CNIL有权就Google在手机中进行的处理操作做出任何处罚决定。uefednc

2018年9月,CNIL再度启动线上调查,目的是通过分析用户的浏览模式,验证Google实施的处理操作是否符合法国数据保护法和GDPR。uefednc

CNIL观察到的违规行为

CNIL在检查过程中,发现Google在两个关键领域违反了新的隐私规则。uefednc

第一,违反透明度和信息的义务,用户无法轻易访问Google提供的信息。uefednc

具体是怎样的呢?当用户在登陆Google时,基于个性化的广告会轮番出现在页面上,用户为了进入下一个步骤,必须多次点击按钮和链接(5-6次),才能访问相关信息。此外,某些用户数据没有提供有关保留期的信息。这实际上意味着,如果用户不被动接受广告,服务将无法提供(貌似国内很多软件都这样)。uefednc

026ednc20190117uefednc

第二,违反了为广告个性化处理提供法律依据的义务。uefednc

尽管Google表示它获得了用户同意才去处理数据,以进行广告个性化的操作。但是,CNIL认为,由于两个原因,Google方面无法“有效”获得同意。uefednc

首先,用户的“同意”并未充分了解情况。比如Google对广告进行了稀释操作,打散在Google搜索、You tube、Google主页、Google地图、Playstore、Google图片中,个人信息在多个文件中被过度传播(预计20个)。uefednc

其次,用户的“同意”既不是具体的也不是明确的。创建帐户后,用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项,在“创建帐户”按钮上方访问。实际上,用户不仅必须点击“更多选项”按钮来访问配置,而且还预先勾选了广告个性化的显示。但是,根据GDPR的规定,只有用户明确的肯定行动(例如勾选未预先勾选的方框),同意才是“明确的”。最后,在创建帐户之前,要求用户勾选“ 我同意Google的服务条款 ”框  和“  我同意如上所述处理我的信息,并在隐私政策中进一步说明”才能完成创建帐户的过程。uefednc

CNIL认为GDPR没有受到尊重,因为GDPR规定,只有在为每个目的明确给出同意时,同意才是“具体的”。uefednc

5000万欧元罚款怎么开出来的?

这次的罚款之所以引发广泛关注,不仅在于被罚的主体是世界性的互联网巨头Google,更在于其是以严格著称的GOPR自诞生以来的最大罚款。雷锋网(公众号:雷锋网)了解到,此前GDPR发起多次小数额罚款:uefednc

  • 2018年12月,一家葡萄牙医院在其工作人员使用虚假帐户访问患者记录后被罚款40万欧元;uefednc

  • 2018年11月,德国社交媒体因用纯文本存储社交媒体密码而被罚款20000欧元;uefednc

  • 2018年10月,奥地利的一家当地企业因拍摄公共空间的安全摄像头而被罚款4800欧元。uefednc

CNIL的这次尝鲜,让GDPR获得了广泛的效力。CNIL认为,这次决定的罚金以及对罚款的宣传都是合理的,并给出了以下几点理由:uefednc

  • 这不是Google一次性违反GDPR,而是持续性的、长时间的;uefednc

  • 处罚的目的在于要求Google实现用户控制自己信息数据的权利,充分告知用户风险,允许用户进行有效同意;uefednc

  • 考虑到了Android操作系统在法国市场上的重要地位,成千上万的法国人每天都会在使用智能手机时创建一个Google帐户,影响很大;uefednc

  • Google公司的盈利模式是侧重在广告,因此基于广告个性化的罚款也是理所应当。uefednc

GDPR开启对硅谷巨头的审查?

据了解,GDPR在2018年5月正式实施,引入了更严格的处理和存储个人数据的规则。其目的是迫使像Google这样的大型科技公司彻底改革其用户隐私政策,基于欧盟的规则要求公司充分披露他们对所收集的数据所做的工作,为其用户提供对其信息的更多控制权,并且必须在72小时内报告数据泄露事件。uefednc

来自法国的这次罚款,可能意味着GDPR对硅谷巨头严厉审查的开启,毕竟在此前,欧盟已经对苹果公司的税务行为进行了处罚,对Facebook进行了多次隐私丑闻的调查,对Google安卓系统涉嫌垄断开出过43.4亿欧元天价罚款。uefednc

现在,Google在欧洲吃了GDPR的“当头棒”,迫使其他硅谷同行们要重新考虑自己的冒险行为了。uefednc

华盛顿邮报认为,来自欧洲的GDPR实际上制定出了全球的隐私规则,而美国则缺乏类似的、总体的联邦消费者隐私法,这意味着欧洲成为了当下事实上的世界隐私警察。uefednc

美国团体:“我们也要这么强的法律”!

对于这次处罚,当初发起投诉的非营利组织NOYB(无业务组织)的负责人Max Schrems说:“我们非常高兴欧洲数据保护机构首次利用GDPR的可能性来惩罚明显的违法行为。重要的是,仅仅声称合规是不够的。”uefednc

而发起投诉的另一个团体La Quadrature du Net则认为,这个罚款与Google的年营业额相比“非常之少”。他们希望监管机构尽快回应针对Google的其他投诉,以便做出最高47亿美元的罚款。uefednc

027ednc20190117uefednc

Google在2018年Q3赚了337.4亿美元uefednc

作为回应,Google表示正在“研究决定我们下一步的决定”,并补充道:“人们期望我们能够实现高标准的透明度和控制力。我们坚定地致力于满足这些期望和GDPR的要求。“uefednc

对于这笔罚款,Google没有正面回答接受还是不接受。uefednc

而雷锋网也观察到,FTC作为美国最重要的隐私和安全监管机构,多年来未能对科技公司采取行动。而眼下,美国消费者权益倡导者们正在强烈鼓励美国立法者们跟随欧洲的这一脚步。uefednc

另外还值得一提的是,前脚GDPR罚款一出,日本后脚就跟上,有意考虑修订法律,以便对Google、苹果、Facebook和亚马逊等海外科技巨头实施“通信保密”规定。此前,印度数据本地化运动遭遇了硅谷巨头的强烈抵抗。uefednc

谷歌“犯错”,谁会是下一个?uefednc

(本文授权转载自雷锋网,作者:王刚;观点仅代表作者本人)uefednc

  • 唉,我魅族手机一直都有新闻推送,魅族客服都不知道怎么关掉。
本文为EDN电子技术设计 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 汽车ADC如何帮助设计人员在ADAS中实现功能安全 随着车辆的自动化水平不断提高,一级供应商和原始设备制造商越来越需要提供诊断监控的ADC,用于实现其功能安全目标。
  • 国民技术车规级芯片助力汽车智能安全升级 7月15日~16日,以“应用引领,创新驱动”为主题的中国集成电路设计创新大会暨IC应用博览会(ICDIA 2021)在苏州盛大举行。由中国集成电路设计创新联盟、中国汽车芯片产业创新战略联盟共同举办的“第八届汽车电子创新论坛暨2021汽车芯片供需对接会”同期召开,国民技术股份有限公司(简称:国民技术)应邀参会,与车厂、零部件企业一起,就汽车芯片“卡脖子”问题及国产芯片汽车应用合作进行了深入交流探讨。在“供需对接”闭门会议上,来自国民技术的企业代表围绕“国产芯片助力汽车智能安全升级”话题做了专题发言。
  • 为何道路法规约束不了自动驾驶汽车制造商? 自动驾驶汽车已经遍布美国各个城市的公共街区和道路。实际上,并没有足够的理由让我们可以相信任何一家汽车厂商制造的自动驾驶汽车是安全可靠的,因为负责汽车安全的机构正在给这些汽车制造商发放免检通行证。
  • 如何防止汽车被黑客攻击? 虽然汽车行业现在已开始部署有助于提升网络安全性的硬件和软件,但汽车中的网络安全问题比智能手机和个人电脑要复杂得多,要让每辆汽车中的ECU都免受攻击,还需假以时日。
  • 一文看懂黑客如何轻松破解MCU,附预防措施 MCU就是大家所熟悉的微控制单元,或者单片微型计算机,或者单片机,攻破MCU有很多种方法。随着技术的发展,以及人们对嵌入式领域的信息安全和程序安全越来越重视,MCU的安全等级正在逐步提升,一些公司甚至推出了安全主控。所谓知己知彼,百战百胜,唯有了解了破解技术,才能更有效的做加密防护。这篇文章是俄国人Sergei P.Skorobogatov就读英吉利剑桥大学之博士论文,讲解了各种MCU的攻防技术,堪称一部小百科全书。
  • 从硬件/软件2个角度8个方面提高智能物联设备的安全系 然而越是智能的、互联的世界,安全维护的难度也越大,物联网设备的安全性越来越得到设计人员和使用人员的重视。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了