谷歌违反通用数据保护条例，法国监管机构判罚5000万欧元

当地时间1月21日，法国的数据保护监管机构——国家信息与自由委员会（CNIL）向谷歌开出5000万欧元（约合5680万美元）的罚单，原因是谷歌没能遵守欧洲《通用数据保护条例》（GDPR）的要求。

谷歌成为了第一个因违反GDPR被判罚的大型科技公司。这也是欧盟网络数据隐私保护新规GDPR自2018年5月生效以来，欧洲监管机构判处的最大一笔罚款。

据英国金融时报当天报道，CNIL称，谷歌的用户无法完全理解该公司如何使用数据，因为它的信息披露过于“宽泛且模糊”，并且分布在不同的窗口和文档中。

该监管机构还对谷歌为了发送定向广告而征得用户同意的方法，提出了特别的担忧。

“由于谷歌提供的服务数量（约20个）、数据处理和整合的数量和性质，公司数据处理的运营规模尤其庞大，并具有侵入性。”CNIL说：“由于无法了解这些（谷歌搜索、YouTube、家居、地图、应用商店、图片……）数据处理中涉及的多重服务、网页和应用，因此无法了解数据处理和整合的数量规模。”

据科技网站TheVerge当天报道，在GDPR的要求下，公司必须在收集用户信息之前获得用户的“真正同意”，这表示用户的同意必须是一个明确的选择过程，并且撤回同意也要能容易进行。

CNIL认为，由于谷歌在其数据同意政策上没能向用户提供足够信息，也没有给予用户对自己信息如何使用的足够控制权，因此出具了这笔罚款。该监管机构还称，这些违规行为尚未被谷歌纠正。

上述报道评论称，尽管5000万欧元罚款看似很多，但这远未达到GDPR的最大罚款上限。如果违反GDPR情节严重，公司最高可被处以其全球年营业额4%的罚款。谷歌仅上个季度就赚了337.4亿美元，如按4%计算则高达数十亿美元。

据英国金融时报报道，此次判罚将迫使谷歌重新考虑它将如何为欧洲数十亿美元的广告业务收集数据时寻求同意。

谷歌称，其正在“研究这一决定了我们下一步的决定”，并称“我们深切致力于达到这些期望和GDPR对同意的要求”。

分析师认为，CNIL的决定会通过确立GDPR应如何解读，而为一系列罚款铺平道路。GDPR是世界上影响最为深远的法律，要求“明确而知情的同意”，并给予了监管者判处高额罚款的权力。

“现在我们正经历着GDPR的执法时代，接下来将会有更多的罚款是毫无疑问的，只是个时间问题。”独立网络安全和隐私权研究者Lukasz Olejnik说：“第一个决定和罚款将非常重要，因为它能够定义GDPR在实践中的理解和执行方式，系统和软件设计的变化随后会跟上。”