摘要：CNIL处罚谷歌案侵权事实：2018年5月GDPR生效后，CNIL即收到了欧洲两家非营利组织NoneOfYourBusiness（“NOYB”）和LaQ...

CNIL处罚谷歌案

侵权事实：

2018年5月GDPR生效后，CNIL即收到了欧洲两家非营利组织None Of Your Business（“NOYB”）和La Quadrature du Net（“LQDN”）针对谷歌的集体投诉，指责谷歌没有有效的法律依据来处理用户的个人数据，尤其是出于个性化广告服务之目的，这两个组织都曾在2018年5月对Facebook提起诉讼。

2018年9月，CNIL启动线上调查，旨在通过分析用户的浏览模式和访问的文本，验证谷歌实施的处理操作是否符合法国数据保护法和GDPR的相关规定。CNIL经调查发现，用户无法轻易访问谷歌提供的信息，用户获取自身被收集的信息竟需要五到六个步骤，即使完成步骤后，获取的信息通常也不是完整的，不完整的原因是谷歌将这些信息分散至Google搜索、You tube、Google home、Google地图、Playstore、Google photo等应用中。因此，CNIL认为谷歌在透明度义务和获取用户同意方面存在违反GDPR的行为。

GDPR规定数据主体获取数据应当透明，在收集用户个人数据时，应当以简明、易于获取的方式，并以清晰的语言向用户说明与收集、处理其数据的目的、数据存储期限等相关的情况。CNIL认为，谷歌在向用户说明其收集、处理个人数据的情况时，未能满足前述“简明、易于获取”的要求，同时缺乏GDPR规定的应当向用户提供的某些信息，因此其构成了对用户数据权利的侵犯。

本案中，CNIL认为谷歌对安卓系统收集个人数据的说明，过于分散地存在于多个文件（如隐私政策、使用条款等）中，如多个有关联的说明却分布在隐私政策、注册条款甚至弹窗中。该等碎片化的信息致使用户需要进行多次操作以访问不同文件（并且个别文件对于一般用户而言很难找到出处），而无法简便地获取到全部的相关信息。

具体地，CNIL发现，为获得相对完整的信息，就个性化广告服务的相关条款而言，用户必须至少进行5步操作；对于地理位置数据处理的相关条款，用户必须至少进行6步操作。基于此，CNIL指出，总体而言，谷歌提供的说明信息不具有“易于获取性”。

具体而言，CNIL认为谷歌的数据处理行为具有如下特点：

1.收集数据过于宽泛：既收集用户使用手机过程中产生的数据，也收集用户使用谷歌服务时产生的数据；

2.收集各种种类的数据信息：其中既包括用户提供的数据，也包含用户行为中产生的数据等。而这些数据中可能含有敏感信息（例如地理位置、浏览记录等）；

3.数据处理复杂：谷歌对于所收集的数据进行多种组合和分析处理，经处理的数据可能更加精确地反映用户的私人生活。

基于上述，CNIL指出，谷歌未能够清晰准确地向用户说明其对其数据处理的相关情况，而采用了过模糊且使用户查找感到困难的方式，以至于用户并不能够充分了解数据处理行为的具体后果。而Google又实际上对这些收集的数据进行了处理（比如精准的广告投送），这显然侵犯了用户的数据权利。

处罚机构：

法国数据保护监管机构——国家信息与自由委员会（CNIL）

处罚依据：

GDPR第三章第一节第12条之规定。

GDPR第三章第一节第12条、第三章第二节第13条之规定。

3.根据GDPR，种族或民族、政治观点、工会成员身份以及经处理可识别特定个人的生物识别数据都属于个人敏感信息，而Google收集的数据经过交叉识别可能能够识别公民个人信息。此外，GDPR说明，仅在特别情况下对用户敏感数据的处理才被允许。

4.参见GDPR第十三条第一款、第十三条第二款之规定。

5.GDPR第六条认为，数据主体同意他或她的个人数据为一个或多个特定目的而处理且处理应当是为履行数据主体参与合同之必要。此处需要着重注意两个方面：一是目的的特定性，而笼统的目的不在此范围内；二是Google处理数据应当是出于服务之必要，否则即失去了合理性。

处罚结果：

根据GDPR第83条规定，违反GDPR相关规定者将被处以1000万欧元或上一财务年度全球总营业额的2%（两者取其高）的罚款；严重者将被处以2000万欧元或上一财务年度全球总营业额的4%（两者取其高）的罚款。

在本案中，CNIL突破了2000万欧元的最高固定罚款额，综合考虑如下因素，作出了5000万欧元的罚款决定：

1.行为的严重性：谷歌所违反的透明度和信息义务是GDPR下取得有效同意的基础，而有效同意是数据处理的合法依据（之一），其重要性不言而喻，因此CNIL认为，谷歌实施的行为是对GDPR的严重违反；

2.行为的持续性：CNIL指出，谷歌违反GDPR规定实施的相关行为是持续性的、长时间的；

3.行为产生的影响：CNIL指出，安卓操作系统在法国市场上具有重要地位，每天都有成千上万的法国人在使用智能手机时创建一个Google帐户，因此谷歌的相关行为可能造成很大的影响；

4.商业模式：CNIL认为，谷歌的盈利模式主要是基于个性化广告，因此更应当重视在为个性化广告目的处理数据时的相关义务。

ICO处罚优步案

侵权事实：

在 2016 年 10 月和 2016 年 11 月的事件中，英国近 82,000 名司机的记录——包括行程的细节和他们支付的费用——也被记录下来。

ICO 调查发现，“凭证填充”是一种将受损的用户名和密码对注入网站直到与现有帐户匹配的过程，用于访问优步的数据存储。

然而，一年多来，受影响的客户和司机都没有被告知这起事件。相反，优步向攻击者支付了 100,000 美元以销毁他们下载的数据。直到 2017 年 11 月，优步 CEO Dara Khosrowshahi 才透露，黑客已经下载了全球 5700 万优步用户的姓名、电子邮件地址和手机号码。该数字包括该公司的 600,000 名司机，他们的姓名和驾照号码也处于危险之中。

处罚机构：

英国信息专员办公室（ICO）

荷兰的数据保护机构：Autoriteit Persoonsgegevens

处罚依据：

英国：《数据保护法》第七条

荷兰：根据其自己的GDPR前立法

处罚结果：

英国信息专员办公室 (ICO) 于 2016 年 10 月和 11 月宣布对这家拼车公司处以 385,000 英镑（491,284 美元）的罚款，理由是“未能在网络攻击期间保护客户的个人信息”。

荷兰数据保护局对其处以为同一事件承担 600,000 欧元（679,257 美元）的罚款。

美国SEC处罚前YAHOO案

侵权事实：

2017年10月，雅虎宣布公司在2013年黑客入侵事件中共有30亿名用户的账号信息被窃取，这一数字在2016年12月的初步报告中还只是10亿。在此次事件中，遭到泄露的雅虎用户账号信息包括用户姓名、电子邮件地址、电话号码、出生日期、密码，以及一些安全问题和答案等。

处罚机构：

美国证券交易委员会（SEC）

处罚依据：

1933 年证券法第 17(a)(2) 和 17(a)(3) 条和第 13( a) 1934 年证券交易法和规则 12b-20、13a-1、13a-11、13a-13 和 13a-15。

处罚结果：

2018年4月，美国证券交易委员会（SEC）因未能披露违规行为而对该公司罚款3500万美元——这是美国证券交易委员会首次因为一家公司未披露网络安全漏洞相关信息而对其加以处罚。2018年9月，雅虎的新老板Altaba承认已经解决因泄露数据而引发的集体诉讼——30亿账户的总帐单为8500万美元，平均每条记录赔偿约30美元。