IT業界資訊媒體

【GDPR罰款創新高】Google 被重罰 5 千萬歐羅

法國資料主管機構 CNIL 剛宣判 Google 因消費者資訊透明度不足,違反歐盟隱私法 GDPR,判罰 Google 5 千萬歐羅(約 4.4 億港元)。為隱私倡議團體的首場勝仗。

Max Schrems 發起的資訊隱私倡議團體 noyb 及法國非牟利組織 LQDNLa Quadrature du Net)於 2018 5 25 日(即 GDPR 生效翌日)分別向 CNIL Google 處理用戶個人資料作出起訴,指控 Google 對用戶「強迫同意 Forced Consent)」違反 GDPR,特別是用作發送個人化廣告(Ads Personalisation)的行為欠缺有效的法律基礎,CNIL 1 21 日宣判 Google 違法。

CNIL 指出,Google 欠缺透明度及資訊完整性,同時,Google 提供的資訊並不容易讓使用者取得及理解,CNIL 形容是龐大及侵擾(massive and intrusive),說明資訊繁複雜亂,散佈於多項文件,例如要獲得相關資訊往往需要 5 6 個步驟,已剝奪了用戶控管個資的能力。同時,Google 對資料處理用途、類型說明過於簡略、模糊。亦未能釐清某些資料保存期限。

因此用戶於不理解的情況下被「強迫同意」,而用戶根本未能分清同意的是 Google 依法(GDPR)處理資料還是同意 Google 以此獲得商業行益。發送個人化廣告的選項本身更是預設「同意」的,基於這種「強迫同意」後的發送個人化廣告(Ads Personalisation)行為就變成不恰當。

此外,CNIL 指出 Google 的違法行為並非一次性,而是持續性,至今問題依然存在,而每日有數以千計法國市民在建立 Google 帳號,Google 本應有責任遵守 GDPR 法規。

noyb Max Schrems 發起,「noyb」即 None of Your Business 縮寫,強調「your privacy is none of a company´s business」,宣判後,noyb 主席 Max Schrems 於網站發表聲明:

We are very pleased that for the first time a European data protection authority is using the possibilities of GDPR to punish clear violations of the law. Following the introduction of GDPR, we have found that large corporations such as Google simply ‘interpret the law differently’ and have often only superficially adapted their products. It is important that the authorities make it clear that simply claiming to be compliant is not enough. We are also pleased that our work to protect fundamental rights is bearing fruit. I would also like to thank our supporters who make our work possible.

是次判罰金額為 GDPR 生效至今最高,CNIL 仍在審議的另一焦點,將會是 Facebook。此外,noyb 同時亦控告Amazon、蘋果、NetflixYoutube 8 家串流媒體平台違反 GDPR,將會是另一焦點。

資料來源:http://bit.ly/2T9klDqhttp://bit.ly/2FFdr5Ohttp://bit.ly/2MnAVwE