歐洲新版個資法GDPR自2018年5月上路以來,起訴了第一起大型違法案件,被起訴的公司則是掌控大宗手機操作系統Android的公司:Google。
法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés,CNIL)」,做出歐盟新版個資法GDPR實施後的第一起判決:Google的Android系統在資料處理方式不夠透明,得繳交罰緩5千萬歐元。
「一些必要的資訊,像是資料處理目的、資料儲存期限,以及被用在廣告個人化上的用戶資料類別,都被Google過度分散在好幾份文件裡,若用戶想要看到附加資訊,得按下好幾個按鈕跟連結才行。」法國官員這樣說道。
舉例來說,當用戶想要知道自己的資料怎麼被用來顯示個人化廣告時,他們得至少按個5到6次步驟,才能夠得到答案。法國國家資訊自由委員會更認為,Google的相關文字描述故意特別地空泛與抽象,不讓用戶理解自己資料被使用的方式。
Android裝置註冊綁定Google服務不合理
另外,Google的資料使用同意程序並不符合GDPR的規定。當用戶要開始設定Android手機使用步驟時,會出現登入或註冊Google帳戶的選項,並寫道如果沒有Google帳戶,用戶使用經驗就會變差。然而,依照法律,Google應該要把註冊帳戶與設定裝置這兩個步驟獨立分開。
而用戶為了Android裝置要註冊Google帳戶時,Google也沒有解釋幾個按鈕的意義。比方說,當Google詢問要不要有個人化顯示廣告時,Google並沒有解釋這個「同意」包含了用戶跨裝置上的YouTube與Google Maps服務,並不只是這台Android裝置上的廣告內容。
或者,如這一句「我同意以上述描述的方式,以及在隱私政策條例解釋的規則,來使用我的用戶資料。」這樣廣泛接受同意的句子,也違反GDPR法規。
法國的兩個非營利機構於2018年5月,對Google的隱私政策提出控訴,直到9月調查時,Google上述的資料政策仍然維持一樣的違法狀態,因此做出判決。
即使Google的歐盟總部設在都柏林,但是法國的國家資訊自由委員會認為,決定Android隱私設定的權力還是掌握在美國總部上,因此對Google的判決權保留在法國。
Google對此表示,他們會詳細研究這次判決後,再做出下一步回覆。
這兩個控告Google的法國非營利機構,同時也對Facebook提出告訴,或許下一個因為違反GDPR被罰款的企業,就會是社群龍頭Facebook。
- 資料來源:TechCrunch、CNET、BBC
- 本文授權轉載自數位時代
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!