网站首页 关于我们 律师介绍 专业领域 最新文章 行业动态 付费咨询 联系我们
行业动态
首 页 -> 行业动态 -> GDPR项下主营业地之争尘埃落定,谷歌终局被裁5000万欧元罚款
GDPR项下主营业地之争尘埃落定,谷歌终局被裁5000万欧元罚款
发布者:admin     浏览次数:42     发布时间:2020/7/19

作者 / 白一方

美国纽约州执业律师
欧盟注册信息隐私专家
Certificated Information Privacy Professional/Europe(CIPP/E)


6月19日,法国最高行政法院Conseil d’État做出裁定,维持法国数据保护机构国家信息与自由委员会CNIL于2019年1月对谷歌违反GDPR做出的5000万欧元(约5600万美元)罚款。该裁定是继6月12日谷歌就该案上诉失败之后做出的最终判决,历时一年半的案件最终尘埃落定。

 

2018年5月,欧盟通用数据保护条例GDPR开始生效。生效当月,法国数据保护机构CNIL就收到两个非盈利组织——La Quadrature du Net和None Of Your Business——提起的一系列针对谷歌违反GDPR的集体诉讼。经过数月的调查,CNIL于2019年1月对谷歌处以5000万欧元的罚款,成为该条例生效后首个被处罚的美国科技巨头,也成为当时针对违反GDPR的最大一笔罚款,具有重大的标志性意义。

截止目前,针对违反GDPR的最大罚款是英国于2019年7月对英国航空大规模数据泄露事件的2.04亿欧元的罚款.

 

根据CNIL的调查报告,处罚主要基于两方面原因:

首先,谷歌违反了GDPR第12条和第13条的透明度原则和信息披露的要求。包括数据处理目的、数据保存期限、用于个性化广告的数据类别等重要信息被分别置于不同的若干文档当中,通过链接或按钮方式经过五六次跳转至其他文档,才能获取相关信息,并不方便用户取得,缺乏透明性。同时,谷歌并没有通过简明易懂的方式向用户提供这些信息,缺乏对某些数据保持期限的说明,表述方式通常会过于模糊或概括,导致用户无法理解个人信息被用于个性化广告是需要取得同意的。

其次,谷歌无法对个性化广告的数据处理提供法律依据(第6条)。谷歌出于提供个性化广告的目的处理数据是依赖于用户同意的。然而其取得的同意是无效的:

一方面,用户的同意并非基于充分知情。谷歌提供的说明信息分散在不同的文本中,致使用户无法判断其同意的对象范围。比如在“个性化广告”段落中,用户无法从文本中充分了解数据处理过程中可能会涉及到其他服务,包括谷歌搜索、YouTube、谷歌家庭、谷歌地图、谷歌照片等,也相应的无法了解数据处理的规模,对个人数据进行大规模、侵入式的收集;另一方面,用户做出的同意是不具体和明确的。例如在创建账户时,“更多选项”菜单是提前勾选好的,而并非按照GDPR的要求以不勾选为前提,以用户主动勾选为“明确同意”。同时谷歌菜单中没有就不同的目的分别取得同意,而是以概括方式取得针对所有目的数据处理的同意。

面对CNIL的罚款,谷歌随后向法国国务委员会提起上诉,辩称其针对个性化广告的同意程序是合理的,且认为如此力度的罚款会对欧洲及世界范围内的出版商、内容创作者和科技公司造成打压和不利影响。虽然对CNIL的指控内容也做出一定反馈,但谷歌的上诉主要集中在管辖权上,认为由于谷歌欧洲总部设在爱尔兰,根据GDPR的一站式监管机制(one-stop-shop mechanism),法国数据保护机构对其没有管辖权。

然而,这一反驳在GDPR的框架下是难以立足的。

 

一站式监管机制是GDPR创立的重要规则之一,在各国监管机构相互合作配合的同时,要求在欧盟境内设立的组织在其“主营业地(main establishment)”所在地接受当地数据保护机构(DPA)的监管,该数据保护机构将作为“主导机构(lead authority)”,负责在对跨境数据处理行为做出任何决定之前,协调不同数据保护机构之间的合作。

谷歌的上诉正是基于这一原因,认为爱尔兰数据保护机构应当是欧盟境内对谷歌进行监管的主导机构,负责发起和推进对谷歌的调查,而非法国的数据保护机构CNIL。

然而,在本案中,CNIL也明确指出,经过与爱尔兰数据保护机构的讨论,认为谷歌在爱尔兰的总部并非对谷歌向安卓用户提供数据处理的业务具有决定权(decision-making power)的“营业地”,其决定权仍然归属于谷歌美国总部。因此谷歌在欧盟境内并不存在“主营业地”,本案也不适用于一站式监管机制,CNIL和其他欧盟境内任一谷歌营业地的数据保护机构一样,均对谷歌拥有独立的监管管辖权。

 

这里的核心问题即在于如何定义“主营业地”。根据GDPR第4条,“主营业地”有明文规定,其主要内涵集中在数据控制者的“决定且有能力贯彻”及数据处理者“从事核心业务”这两点上。

GDPR第4条(16):“主营业地”是指(a)对于营业地在多个成员国的(数据)控制者,除非控制者在欧盟境内的另一个营业机构能够决定并有能力贯彻个人数据处理目的和方式,否则其在欧盟境内的中央管理者所在地是主营业地;(b)对于营业地在多个成员国的(数据)处理者,其在欧盟境内的中央管理者所在地在本法下承担处理者的特定义务;如果处理者在欧盟境内没有中央管理者,则在营业范围内进行主要处理行为的营业地在本法下承担处理者的特定义务。

而对于在欧盟境内不存在“主营业地”的情况,虽然GDPR中并没有明确规定如何判断“主导机构”或在不存在“主导机构”的情况下如何分配管辖权,但欧盟数据保护委员会在其《关于主导监管机构的指南》中对此表示,对于存在争议的情况,多个相关监管机构应当协商同意管辖权归属,或者由委员会最终根据各个相关监管机构提交的证据,确定“主导机构”;而其前身第29条工作组早在GDPR出台之前,就在其《01/2012针对数据保护改革提案的意见》中表示,在不存在欧盟境内的主营业地或无法据此确定主导机构情况下,主导机构应当包括:主要数据处理活动发生地;受影响的个人所在地;收到个人投诉或起诉的成员国监管部门。本案中,CNIL据此认为自身具有主导机构监管的管辖权。而谷歌上诉的失败,也表明法国国务委员会和最高行政院对这一立场的支持。

最终,基于谷歌违规的长期性和极其严重性,法国最高行政院认为CNIL对谷歌的处罚有权且并不过当,予以维持。对此,谷歌也表示接受并会做出改进,将会对业内领先的工具进行投资,以帮助其用户理解和掌控个人数据。

 

梳理本案的内容和背后的法规依据,笔者认为有以下几点值得注意:

首先,最初的集体诉讼是由两个非营利组织代表消费者提起的。其中,None Of Your Business的领导者是一名奥地利隐私法律师,曾在2013年对Facebook的国际数据分享业务提出质疑,并最终导致推翻了安全港协议。而此次对谷歌发难,不仅在法国进行起诉,还在奥地利、比利时、德国等其他拥有活跃的数据保护机构的国家都提起了诉讼。

由此可见,以自下而上的方式对在欧盟的企业进行系统性、规模性、专业性的数据隐私合规监督,已经成为推动监管部门介入审查,以及督促企业自我管理和高度重视的一股不容小觑的重要力量。

其次,本案中对于对谷歌的处罚依据,是欧盟对GDPR的严格执行结果。虽然谷歌是总部在美国的科技巨头企业,但鉴于其针对欧盟市场、对欧盟的居民提供服务、收集和处理欧盟居民的个人数据、在欧盟境内成员国设立营业地,因此毫无疑问的被纳入GDPR的监管范围。而对于监管的具体内容,也随着各种处罚案例的不断出现,越来越具象化和规范化。

例如,本案中不仅要求就提供个性化广告取得收集处理个人数据的用户同意,更关注获取同意的具体方式、披露义务的落实方式、文档的撰写方式等非常细节的要求。对企业在欧盟境内的GDPR合规,不再是粗略的泛泛而谈,而落地于相当多的细节之中。以此为戒,在外国企业入驻欧盟,打开欧洲市场的同时,必须提高合规意识,以避免受到欧洲数据保护机构的处罚。

再次,关于消费者个人隐私保护和科技发展的平衡,是应当深入思考的命题。由于GDPR的严格性,一方面作为消费者或个人用户,从中取得了对个人隐私和信息安全的全面保护;但从推进科技进步的角度,谷歌的担忧也不无道理。虽然现在这一问题尚不明显,但GDPR细节化和全面化的监管内容,在某些情况下或会对企业造成比较大的合规成本和负担,难免落入可能僵化的窠臼。这一点显然不是立法者的本意,但如何掌握各种平衡,在保护个人信息的同时也能给予企业合理的发展空间,需要通过不断的案例和细则进行优化和明确。

最后,本案的管辖权的问题,是GDPR一站式监管机制的空白点。由于尚缺乏对于无法确定“主导机构”等特殊情况的明确规定,可能会令大批在欧盟进行营业,但拥有决定权的总部只设立在国外、不存在欧盟境内符合条件的主营业地的外国企业产生关于监管部门的管辖权的疑问。

而如本案中的单个成员国内的上诉机制,由于在合法范围内通常都会倾向于对本国机构赋予管辖权,因此尚不足以解决这一问题。按照目前的实践及第29条工作组的意见,极有可能产生多个成员国的数据保护机构都有独立管辖权的情形,不仅可能造成监管权的大面积分散,甚至可能导致一站式监管机制的架空。


本文图片来自互联网


参考文献

CNIL调查报告英文版
https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

第29条工作组《01/2012针对数据保护改革提案的意见》
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp191_en.pdf

欧盟数据保护委员会《关于主导监管机构的指南》
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611235

Allison Schiff,France Slaps Google With 50 Million Euro Fine – Largest Yet Under GDPR
https://www.adexchanger.com/privacy/france-slaps-google-with-50-million-euro-fine-largest-yet-under-gdpr/

美联社,Google loses appeal against $56 million fine in France
https://apnews.com/1ba7b3fdb9aed83e828b3904171f098a



  上一篇:【重磅】欧盟法院宣布欧美数据传输“隐私盾”无效:详细始末如何?未来何去何从?
  下一篇:豫金刚石巨亏逾50亿调查:失控的“实控人”


版权所有:证券律师
电话:18600639400      地址:北京市朝阳区金和东路20号院正大中心    新闻中心