谷歌在最大的GDPR Slap中被罚款5700万美元

  • A+
所属分类:未分类

法国数据保护局(DPA)发现,谷歌如何收集和使用个人数据进行广告定位时缺乏透明度。

法国国家数据保护委员会(CNIL)因违反“通用数据保护条例”(GDPR)而被罚款5700万美元(5000万欧元),这是根据欧盟新数据隐私法发布的最大罚款。

在调查来自隐私权倡导组织None Of Your Business和La Quadrature du Net(后者代表10,000名公民)的团体投诉时,CNIL发现Google在提供个性化广告的名义下如何收集和处理用户数据时缺乏透明度。

“尽管Google采取了措施(文档和配置工具),但观察到的侵权行为剥夺了用户对处理操作的基本保证,这些保证可以揭示其私人生活的重要部分,因为它们基于大量数据,种类繁多。服务和几乎无限的可能组合,“CNIL在周一的声明中说。

监管机构还注意到违规行为的影响范围。

“违规行为是对该法规的持续违反,因为迄今为止仍在遵守这些行为。 这不是一次性的,有时间限制的侵权行为,“它补充说,”考虑到Android操作系统在法国市场上的重要地位,成千上万的法国人每天都会创建一个Google帐户使用智能手机时。“

根据GDPR,必须在收集任何数据之前获得同意,更不用说保留或用于后续目的,例如有针对性的广告。 这意味着从网站,帐户注册,社交媒体,广告和营销工作,新闻通讯和列表租赁,数据经纪,公共信息来源等收集的信息。

这极大地改变了一家美国公司(如谷歌的子公司DoubleClick)向欧盟的互联网用户提供广告和定位广告的方式

在这种情况下,法国监管机构确定来自Google的有关如何收集,整理和使用多达20种不同Google服务的数据的信息相对模糊。 根据CNIL的说法,互联网巨头打破了几个文件中的信息,因此谷歌数据处理实践的全部范围只能通过几个链接的兔子洞来揭示。

“仅在几个步骤后才能获得相关信息,这有时可能会导致多达五到六个行动,”CNIL周一在其声明中表示 “例如,当用户希望获得有关为个性化目的或地理跟踪服务收集的数据的完整信息时就是这种情况。”

此外,根据CNIL,即使在访问相关信息之后,文档也没有详细说明用户数据在何处以及如何用于广告目的。

监管机构解释说:“[数据]处理操作特别庞大和侵入性,因为提供的服务数量(约20个),[和]处理和组合数据的数量和性质。” 谷歌的做法“过于笼统和模糊地描述,为这些不同目的处理的数据类别也是如此。”

因此,CNIL确定Google未获得用户有效使用其数据进行广告个性化的同意 - 明确同意是GDPR的关键要求。

“用户的同意并未充分了解...... [因为信息]在几个文件中被稀释,并且不能使用户意识到他们的程度,”当局指出。 因此,“收集的同意既不是'具体的'也不是'明确的'。”

CNIL补充说,即使用户可以修改他们的帐户选项以选择不再看到个性化广告,也可以预先选择查看这些广告的选项,这意味着没有“来自用户的明确肯定行动”(通过勾选未预先勾选的框)例如)“接收广告。

最后,在创建帐户之前,要求用户勾选“我同意Google的服务条款”和“我同意如上所述处理我的信息并在隐私政策中进一步说明”的方框。但是, CNIL表示,这不是具体的,并且与不同的目的相匹配,因此不符合GDPR规则。

自从GDPR于去年5月生效以来,谷歌罚款是迄今为止最大的罚款。 然而,它可能会更大:GDPR违规行为可能会导致全球营业额高达4%的罚款。

虽然GDPR是欧洲法规,但它会影响处理欧盟公民数据的任何组织,无论他们是客户还是合作伙伴 - 包括美国公司。 这意味着,如果美国任何实体与任何欧盟公民开展业务,则会受到执法行动,例如罚款。 换句话说,它是欧盟法律,但具有全球适用性。

执法行动的推出进展缓慢,主要是因为需要时间就如何确定合规性达成共识。 GDPR包含一系列文章,为处理欧盟公民数据的人员提出了一系列复杂的要求。 然而,就现实世界中的合规情况而言, 有几个不确定的领域只能发挥作用并随着时间的推移而变得清晰。

符合GDPR标准

单击以展开。

谷歌是迄今为止在GDPR网络中捕获的最大鱼类,但它肯定不会是最后一次。 在秋季期间,各个国家的数据保护机构(DPA)开始进入执法争端 - 一种不太可能在短期内减弱的事态。

其中一些行动没有被罚款:例如,10月份英国信息专员办公室(ICO)发现,总部位于加拿大的AggregateIQ数据服务公司利用英国个人的个人数据(包括姓名和电子邮件地址)向他们发送政治广告信息。未经他们同意的社交媒体。 ICO 命令AggregateIQ删除保留在其服务器上的英国个人的任何个人数据。

同样,在法国,CNIL 最近发现移动营销和广告技术机构Vectuary非法获得超过6700万人的同意来收集他们的数据。 它还被命令清除受影响个人的所有个人数据。

在金融惩罚方面,奥地利的Osterreichische Datenschutzbehorde在9月份对零售商罚款 4,800欧元因使用监控摄像机未经他人同意而对其进行了记录。 此外,葡萄牙的Comissao Nacional de Proteccao de Dados对一家医院Barreiro Montijo处以400,000欧元的罚款,因为他没有限制员工访问患者数据。

最近,德国国家数据保护和信息自由委员会Baden-Wuerttemberg在数据泄露事件后于11月对一家德国社交媒体公司和调查应用程序“Knuddels”的制造商进行了罚款 据透露,该服务以纯文本形式存储用户密码,而无需按照GDPR的要求对个人数据进行假名化和加密。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: