西班牙数据保护局最大罚单:谷歌妨碍用户删个人数据被罚千万

语言: CN / TW / HK

近日,西班牙数据保护机构(Agenciaespaoladeprotección deDatos,下称“AEPD”)发表声明,称由于谷歌在未经授权的情况下将用户数据提供给第三方并阻碍用户行使删除其个人数据的合法权利,决定对谷歌处以1000万欧元的罚款。随后,谷歌回应称对此已展开审查,其将重新评估和设计与第三方开展的数据共享实践。目前,相关第三方已删除自谷歌处获取的用户数据。

AEPD的公告显示,此次向谷歌处以高额罚款是由于两项严重的侵权行为。AEPD发现,谷歌作为用户数据的控制者,在未经授权的情况下向第三方数据处理者Lumen Project提供用户数据,包括身份信息、邮箱地址、用户网址等,并认定此举违反了《通用数据保护条例》(GDPR)的相关规定。

欧盟GDPR第6条规定,收集、处理个人数据必须符合六种条件之一才属合法,这些条件包括需经用户同意、为履行用户与企业之间的合同所必须、为完成企业所负担的法律义务、为保护用户或其他自然人的重大利益、为了公共利益以及该处理行为系企业或第三方追求合法利益所必须。

另一项侵权行为则与第三方Lumen Project机构的职能有关。Lumen Project是哈佛大学伯克曼·克莱恩(BerkmanKlein)互联网与社会中心设立的一个学术项目,旨在通过收集和研究用户发送给网络出版商、平台和服务提供商等不同类型的投诉和删除请求,开展“网络删除”生态分析,了解公众的网络参与文化。

据悉,AEPD认为,谷歌将提出数据删除请求的用户的个人数据提供给Lumen Project,使用户删除请求中包含的所有个人数据都通过网站被发送到另一个可公开访问的数据库中,这种做法阻碍了用户合法行使删除权。此外,谷歌的隐私政策也未提及与Lumen Project之间的数据传输。

不仅如此,AEPD还指出,谷歌向Lumen Project提供数据是其对使用“表单”功能的用户提出的强制要求,用户不能拒绝,而“表单”功能是为用户提出数据删除请求而设计。这意味着谷歌为用户行使删除权设置了额外条件,行使删除权需受谷歌删除系统的限制,此举同样违反了GDPR的相关规定。

GDPR第17条规定,信息主体有权要求控制者删除个人相关信息,不得无故拖延。信息主体可根据不同的理由获得删除权,包括与收集数据的目的相比,这些数据不再必要;个人资料被非法处理;根据法律必须删除数据;数据是16岁以下的未成年人提供的以及数据收集没有得到主体的同意等。

谷歌发言人对此回应称,其长期致力于提高用户删除请求系统管理的透明度,与Lumen Project合作是为了帮助研究人员和公众更好地理解删除权。目前,谷歌已对此开展审查,将与AEPD等隐私监管机构积极沟通并重新评估和设计其与第三方开展的数据共享实践,试图在保护隐私与管理网络内容之间找到平衡。

除了罚款,AEPD还要求谷歌停止数据传输并督促删除其在没有有效法律依据的情况下向Lumen Project等机构提供的所有用户数据,调整用户在其产品、服务内容等方面行使擦除权的程序。目前,Lumen Project已按照谷歌的要求删除了用户数据。

据了解,这是AEPD迄今为止开出过的最高“罚单”,谷歌也并非首次因违反GDPR遭到罚款。据南都此前报道,2020年6月,法国国务委员会宣布驳回谷歌上诉,认定其因未满足信息披露透明度的相关要求以及未充分告知用户个性化广告的相关事项而被认定为违反了欧盟GDPR,应支付CNIL开出的五千万欧元罚单。

编译/综合:南都记者 樊文扬