谷歌违规被罚的“中国启示”

  在生效半年后,欧盟《一般数据保护条例》(GDPR)干将发硎。壹月贰贰日,法国国家信息技术和自由委员会(CNIL)以谷歌违反GDPR为由,对其处以伍零零零万欧元的罚款。这张有史以来因违反个人数据保护义务而开出的最大一张罚单,让谷歌成为第一家被试刀的科技巨头。

  谷歌因何被罚?

  谷歌被罚绝非突发事件,其实它可以追溯至贰零壹捌年伍月贰伍日,也就是GDPR生效的日子。在那一天,奥地利隐私活动家Max Schremssheli所领导的非营利性组织——欧洲隐私权倡导组织Noyb,就谷歌的安卓操作系统向CNIL投诉,主张谷歌个性化广告相关的数据搜集活动是把服务提供和用户同意相互捆绑的“强制同意”,违反了GDPR关于“同意”的规定。无独有偶,基于类似的理由,贰零壹捌年伍月贰捌日,法国数字版权组织La Quadrature du Net再次向CNIL集体投诉了谷歌的Gmail、YouTube和搜索服务。

  面对投诉,谷歌则辩解说它完全遵守了GDPR的规定。谷歌认为在用户创建账户时,其《隐私权政策与服务条款》已经全面列出了个人数据处理的信息。同时,在根据每一项功能创建相关账户时,其收集的额外信息也会进一步显示。其次,在服务过程中,用户不但可以通过“控制面板”(Dashboard)全面了解其使用的谷歌各项服务情况,还能使用隐私管理工具“隐私检查”(Privacy Check-UP),来修改隐私设置,包括个性化广告、历史位置、在线活动和应用方面的内容。

  不过,监管机构对于这一辩解并不买账。CNIL列出了谷歌两大罪名:一是违反了GDPR第壹贰、壹叁条下的“透明度”义务;二是不满足GDPR第陆条下的“同意”要求。首先,谷歌必须采用“简洁透明,易懂且易于获取的形式、清晰明了的语言”告知用户处理其个人数据的相关信息。但谷歌并没有做到。CNIL认定为,谷歌向用户提供的信息是“碎片化”的,过于分散在不同的文件中:在创建账户时会打开《隐私权政策与服务条款》,随后是通过点击文件中的链接打开《隐私权政策》和《服务条款》,而在这两份文件中又有为获得补充信息必须点击激活的按键和链接。这种“挤牙膏”式的信息设置,使得用户必须多次点击后才能获得必要信息。不仅于此,用户还不得不再次整合各项信息并进行比较,以此理解谷歌所处理的数据内容及其特定后果。至于“控制面板”和“隐私检查”只是亡羊补牢,因为它们都是在用户同意数据处理之后的事后措施而已。

  其次,根据GDPR的规定,同意必须是“通过明确的主动式行为而给出的个人意愿的指示,指示应当具体、明确、在知情情况下作出”。第贰玖条数据保护工作组进一步指出:如果数据处理存在多项目的,那么每一个收集行为均应单独取得同意,反过来说,多项同意不得在接受服务之初捆绑在一起。这是因为,面对要么接受所有收集行为,要么全部拒绝的困境,用户往往缺乏真正的选择,从而欠缺了GDPR所必需的“自由意志”。然而,谷歌恰恰违背了这一点。CNIL还指出,此前默认情况下预先勾选了同意框,类似于“选择退出”而不是“选择加入”,这带来了“勾选疲劳”的危险。事实上,CNIL上述观点早已与之。贰零壹捌年壹零月,CNIL在针对法国线上广告商Vectaury作出限期整改决定时,就警告说:企业不能通过将多个用途捆绑在单个“我同意”按钮上,来获得对处理个人数据的同意。

  伍零零零万的罚款超过了GDPR确定的贰零零零万欧元限额(可没有达到谷歌年收入肆%的上限)。但CNIL认为,综合考虑谷歌在法国操作系统市场中的显著地位、使用谷歌服务的用户数量、处理个人数据的数量及种类,以及谷歌用户个人数据所遭受“大规模、入侵式”处理,这笔罚款“就其违规行为的严重程度来看是合理的”。

  假如谷歌事件发生在中国

  贰零壹捌年初的“支付宝年度账单事件”是我国个人信息保护的转折点。此后,不论是普罗大众,还是监管机构,对个人信息保护的关注点均从被动的“避免非法泄露”,向主动的“知情同意权利”迈进。我曾用“人民日益增长的个人信息安全需要与落后保护水平的矛盾”转向“人民日益增长的个人信息权利需求与不平衡不充分保护的矛盾”,来概括这一宏大趋势。在刚刚发布的《关于开展App违法违规收集使用个人信息专项治理的公告》中,中央网信办、工业和信息化部、公安部、市场监管总局重申对App强制授权、过度索权、超范围收集个人信息的治理,要求收集个人信息时应以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权。显然,与法国CNIL相似,个人信息收集的透明度和一揽子捆绑同意亦是我国监管者关注的重点。

  发现问题不难,难的是如何解决问题。最彻底的根治手段,莫过于在用户首次登录之时,巨细靡遗地列出所提供的不同服务、不同产品、不同业务功能及其相关的个人信息类型,并就各服务、产品、业务的信息处理规则(包括但不限于处理目的、方式、频率、存放地域、存储期限、对外共享、转让、披露的情形)一一告知用户,同时,针对每一项服务、产品、业务,向用户提供填写、点击或勾选的途径,以便于用户主动进入或退出。然而,这样的解决方案一方面必然增加企业重新设计软件和用户界面的成本;另一方面,也必然大幅降低用户的使用体验。在以打造生态为目标的互联网上,纷繁复杂的产品、服务、功能往往关联到同一个账户。以百度为例,在“产品大全”的页面上就列出了搜索、导航、社区、游戏、移动、软件开发等八大类、百余种产品,更不用说这些产品中不断迭代的新业务了。面对数以百计的勾选窗口,估计任何一个正常的用户,都会选择直接关闭页面。正是考虑到这一点,谷歌才通过一揽子的方式取得授权,而只有用户点击“更多选项”后,才能单独地选择同意接受数据处理的子项。除了给企业和用户带来不便,这样的全面披露甚至是“反人性的”。芝加哥大学教授欧姆瑞?本?沙哈尔在《过犹不及:强制披露的失败》充分揭示了信息披露的悖论。在监管者看来,用户会感激涕零地利用披露信息进行审慎的决定,事实上,绝大多数人都是“决策厌恶”(decision averse)的:没有人愿意去做陌生而复杂的决策,他们总是希望利用更少的信息、花更少心思去做选择。所以,全面披露往往过犹不及。那么,有没有更好的方案?

  最容易想到的是“简化”全面披露。按照奥巴马政府的说法,这就是经由合理设计的“明智披露”(smart disclosure),“概括披露”即为最重要的典范。简单来说,我们可以将用户首要使用目的和最主要需求的基本业务信息(包括所处理的个人信息类型及其规则),打包提供给用户。同时,这些信息应当是标准化和简明的。而针对上述“基本业务”以外的“扩展业务”,则应通过交互界面或设计向用户逐一告知并由其逐一选择同意与否。显然,基本功能的概括披露和扩展功能的详细披露,减少了信息数量,大幅降低了企业和用户的负担。但这一区分的关键是:由谁以及如何判断基本业务?首先可以肯定的是,基本业务反映着企业和用户双方的合意,是企业和用户共同决定的结果。为了避免企业利用自身优势,随意划定基本业务的范围,重蹈一揽子授权捆绑同意的覆辙,在企业和用户存在争议时,应当由国家执法机关或司法机关,基于企业的市场推广、商务定位、产品名称以及一般用户的理解与期待,加以综合判断。

  与明智披露相比,超越披露的另一个思路是让专业信息中介机构来帮助用户。这里的“信息中介机构”可以是第三方测评机构,也可以是代表用户利益的消费者协会,甚至是职业的索赔者。它们在用户不愿或不能“知情同意”时,甄别隐私政策的优劣,矫正用户与企业之间关系的失衡,协助用户决策,并代替他们发出不平之声。更重要的是,与一般的商品或服务不同,有关个人信息的规则是公共品,信息中介机构的任何努力、企业的任何改进,不仅仅为个别用户服务,而是会惠及我们每一个人。我们深信,个人信息保护水平的提升,并不在于狂风暴雨的立法,而是蕴藏在点滴进步所汇聚的涓涓细流之中。

扫一扫手机访问

发表评论

留言与评论(共有 0 条评论)
   
验证码: