首页  > 文学副刊

谷歌遭罚1.5亿欧元后或开启新一轮司法鏖战

2022-01-20 10:30:00 来源:法治日报·法治周末

智道

栏目主持人:於兴中

视觉中国

法国国家信息与自由委员会认为,如果处罚机构必须在其决定中指明计算罚款金额的方法,那么罚款造成的威慑作用就会大打折扣。企业一旦摸清处罚机构的“脾性”,就会把可能得到的罚款数额与其从违法行为中获得的利益进行比较,然后两害相权取其轻


□  罗浏虎 吴俣彤

对于隐私保护倡议者而言,202216日不啻于一个节日。这天,法国国家信息与自由委员会(CNIL)以侵犯用户同意原则为由,分别对谷歌、脸书处以1.5亿欧元以及9千万欧元巨额罚款。

除此之外,委员会命令涉事企业在3个月内向法国互联网用户提供拒绝Cookies(某些网站为了辨别用户身份、进行追踪而储存在用户本地终端上的数据)的方法。如若整改不到位,每延误一天需另外支付10万欧元罚款。

谷歌并非第一次因天价罚款而被推上风口浪尖。

2019年,谷歌就曾因违反欧盟《通用数据保护条例》(GDPR)的“透明性原则”与“告知义务”而被CNIL罚款5千万欧元。之后,谷歌提起行政诉讼,却败诉。

202012月,谷歌又因未征得法国用户同意就在谷歌搜索引擎中放置广告Cookies,而被CNIL罚款1亿欧元。谷歌再次选择起诉,目前法院尚未作出判决。

听闻谷歌与脸书被开出天价罚单,法国民众的反应也各有不同。有人拍手叫好,说自己已经受够了总是找不着“拒绝”选项的现状;有人觉得多点几下才能拒绝Cookies不是什么大事,对谷歌与脸书课以重罚似有吹毛求疵之嫌;有人吐槽称,法国税务官网上的Cookies设置也不符合CNIL的要求……

那么,CNIL为何要对此课以天价罚款呢?

惹祸的Cookies机制:接受容易,拒绝难

20213月起,CNIL连续接到好几桩投诉,其内容都是控诉法国谷歌(google.fr)和油管(youtube.com)关于Cookies的设置问题。CNIL进行调查后发现,上述企业存在变相强迫用户接受Cookies的行为,这有违个人信息保护的同意与自愿原则。

从操作上看,如果用户想允许Cookies在其终端上读取或写入信息,用户只需点击一下弹窗上的“我接受”选项,该窗口就会消失并允许其继续浏览。但如果用户想拒绝Cookies,则至少要进行5个步骤的操作:首先点击第一个弹窗上的“个性化”选项,然后在转入另一个界面后分别点击“禁用个性化搜索”“禁用Youtube浏览历史”和“禁用个性化广告”选项,最后点击“确定”才能最终拒绝Cookies的存放。

CNIL有理由大发雷霆。早在2020917日,CNIL便颁布《有关Cookies与其他跟踪器的建议》(以下简称《建议》)。其中明确要求,数据控制者必须以同样简单的方式,为用户同时提供接受和拒绝读写操作的可能性。根据GDPR立法说明第42条,“如果数据主体不享有真正的选择自由,或不能在不遭受损害的情况下拒绝或撤回同意,则不应认为同意是自由给予的”。

谷歌公司辩称,google.fryoutube.com网站的“征求同意”机制符合法律规定,其在第一层信息中没有提供“全部拒绝”的选项并不违反同意与自由原则,因为用户可以通过点击个性化选项来拒绝Cookies

CNIL制裁委员会认为互联网浏览的特性是快速流畅,大多用户希望可以快速访问网站。如果表达拒绝必须点击个性化选项,且必须浏览和了解“拒绝Cookies”页面的构成,这可能会使一部分用户望而却步。故而从实际效果上讲,虽然谷歌的确提供了接受或拒绝Cookies的两种选择,但这种方式实际上强迫用户选择同意,从而影响了选择的自由。这就违反了《法国数据保护法》第82条的规定。

CNIL初衷:让用户自由表达同意

近两年来,CNIL下决心整治Cookies乱象。2020917日,CNIL出台了《有关Cookies与其他跟踪器的准则》(以下简称《准则》)以及前述配套的《建议》。

《准则》在“同意”原则上着墨颇多。根据《法国数据保护法》第82条和GDPR4条的规定,只有在用户以自由、具体、清楚、无歧义的方式通过声明或积极行为表达了同意之后,跟踪器才可以进行相关读写操作。同意必须是用户的积极行动,这也意味着沉默即拒绝。用户表达拒绝必须能与表达同意一样容易。同理,撤回同意必须和给予同意一样容易,已经同意使用跟踪器的用户也必须能在任何时候轻易地撤回同意。

每个表示同意或拒绝的选项在文字措辞上应易于理解,不需要用户特别集中注意力就可以一目了然,最好做到哪怕是“随便扫一眼”,也绝不会误选成与预想效果相反的选项。如果用户可以通过关闭同意页面或是在一定时间内不进行交互来表示拒绝,必须在页面上明确指出这种可能性(比如设置“不接受,继续浏览”选项)。为避免误导用户,CNIL建议所有选项和字体大小一致,并以相同的方式突出显示。

CNIL而言,关于表达同意的“自由”殊值珍视。如果数据主体并不真正拥有选择自由,或是不能毫无损失地拒绝或撤回同意,则此时的同意就并非真实意愿。有时,数据主体其实并未享有“真正的自由”。

例如,有些网站会设置一道Cookies墙”,把“接受Cookies”作为提供服务或访问网站的前提,不接受就无法进行任何浏览;有些网站会通过视觉设计来强调“同意”按钮或是暗示同意是强制性质的。CNIL也注意到,在大多数情况下,“同意跟踪”按钮往往只需要点击一下,而“拒绝跟踪”按钮则需要好几个步骤才能触及。

CNIL在《建议》中指出,应当保留用户在浏览网站时对跟踪器的选择(无论是同意还是拒绝),以便在一定时间内不再征求他们的意见。否则,用户每访问一个新的页面都会弹出新的窗口来征得其同意,这实际上也损害了选择自由。

当然,用户可能会在一段时间以后忘记自己曾经作出同意的行为。因此,数据控制者应每隔一段时间更新征得同意的情况。CNIL认为,将用户的选择保留6个月是比较合适的做法。

为确保用户对其作出的同意是“真正知情”的,在征得用户同意之前还需要告知:谁是读写操作的控制者或共同控制者;数据读写操作的目的;接受或拒绝追踪的方式以及后果;用户撤回同意的权利。

有人认为,控制者的名单变化速度太快,关于控制者的告知要求会形同虚设。“对控制者名单进行实时更新的要求既费人力,又费物力。对规模较小的法律实体来说,这一告知义务将造成沉重的财政负担。”关于此点质疑,CNIL坚称,“真正的知情意味着用户必须能够知道所有控制者的身份”,但并未给出可行的解决方案。

天价罚款计算之争:谷歌再次折戟

对于高达1.5亿欧元的罚款,谷歌对CNIL没有提供任何罚款衡量标准表示了质疑。谷歌公司认为这一罚款数额出乎意料、过于庞大且并无依据可言。谷歌进一步辩称,因CNIL的报告人拒绝与其进行讨论,其无法积极配合CNIL执法,从而无法依据GDPR83条的规定来减轻处罚。

针对这一问题,CNIL制裁委员会表示报告人并没有义务具体说明其建议的罚款数额是怎样计算得出的,法律只要求处罚机构应“以明确和详细的方式列出其所遵循的逻辑推理,从而能使起诉方确定通过计算罚款数额来衡量侵权行为的严重性时所考虑的因素”。

CNIL认为自己是深谋远虑的。一方面,处罚机构在确定罚款数额时必须要能够享有一定的自由裁量权,以引导企业遵守法律法规;另一方面,处罚机构必须避免其罚款方式被经营者摸透。如果处罚机构必须在其决定中指明计算罚款金额的方法,那么罚款造成的威慑作用就会大打折扣。企业一旦摸清处罚机构的“脾性”,就会把可能得到的罚款数额与其从违法行为中获得的利益进行比较,然后两害相权取其轻。

对于CNIL的说法,谷歌肯定不会感到陌生。早在2019年,谷歌爱尔兰公司在向法国最高行政法院提起的诉讼中,就抱怨CNIL对谷歌课以5千万欧元罚款的决定毫无依据。然而,法国最高行政法院却支持CNIL的立场,并认为没有任何法律条款规定CNIL的处罚委员会应当对其宣布的罚款总额进行解释。显然,与德国、英国、荷兰同行颁布个人信息保护执法指南不同,法国的个人信息保护机构并不认为有必要过分透露自己的执法尺度。

但从大面上说,CNIL认为罚款时考虑了违法行为的严重性,具体包括数据处理的性质、规模及其涉及的数据主体数量。首先,案件涉及的数据主体数量庞大。尽管谷歌拒绝提供过去12个月中google.fryoutube.com网站上来自法国的访问人数(这也是谷歌不配合CNIL执法的表现),但从其他相关数据来看,每月有超过5100万的法国用户访问谷歌,逾4600万法国用户访问YouTube。从法国人口总数来看,谷歌的法国用户群极为庞大。

其次,就在线搜索广告这一领域而言,谷歌在法国市场上拥有支配地位,其搜索引擎占全部搜索的90%以上,其有关网络广告的市场份额可能超过90%。根据制裁委员会的估计,光是在Cookies这一项上,法国市场为GOOGLE集团母公司ALPHABET的年净收入贡献大约在6.8亿至7.55亿美元。根据《法国数据保护法》第20条第3款的规定,谷歌公司与谷歌爱尔兰公司应受到最高金额为其营业额2%的处罚。因此,制裁委员会认为对谷歌公司罚款9千万欧元和对爱尔兰谷歌罚款6千万欧元是合理的。

最后,CNIL认为谷歌是累犯,应受重罚。谷歌的上一笔罚款也是因Cookies配置不当而起,CNIL此前已提醒谷歌要特别注意有关Cookies的操作,且在向其提供的答复中还明确提到了“拒绝Cookies的方法”,而且CNIL在其官网上多次公开表明有关Cookies的要求并为数十万企业预留了调整适应期。即便如此,谷歌还是没有“在拒绝Cookies上”采取合规措施。

谷歌曾要求CNIL在上笔1亿元罚款的起诉有结果之前暂停本次法律程序,但被制裁委员会拒绝。除此之外,谷歌还辩称此次处罚所涉及的法律事实与上一笔处罚相同(都是关于Cookies的),根据一事不二罚原则,制裁委员会不能就同一事实作出两次处罚。但后者指出上次的处罚关乎同意与拒绝的“告知”,而这次处罚涉及拒绝的“具体方法”,所涉及的法律事实并不相同,因此驳回了谷歌的请求。

虽然谷歌不见得甘心受罚,并可能开始新一轮的司法鏖战,但此案例势必深刻影响隐私执法与守法实践。

责编:王硕

——法治周末
联系我们 诚聘英才 广告征订 本站公告 法律声明 报纸订阅
本社运营代理:北京慧海联文化传媒有限公司
版权所有 Copyrights © 2014-2022 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

京ICP备10019071号-1