Google的GDPR裁罰案背景事實
於2019年1月29日間,法國個資監管機關CNIL(Commission Nationale de l'Informatique et des Libertés) 依據歐盟個資法GDPR(General Data Protection Regulation)對Google裁處了高達5,000萬歐元的罰鍰,主要針對Google在對用戶進行個人化廣告行為(ads personalization)時,就其所蒐集來的個人資訊,並未有公開處理的透明度、充足資訊以及有效的同意。
該案是由法國兩大民間團體「NOYB(None Of Your Business,其宗旨口號就是:”My Privacy is none of your Business”)」以及「LQDN(La Quadrature du Net)」,於2018年5月25日及28日GDPR甫施行後,立即向CNIL所提出之申訴;其中,LQDN還是受高達10,000名資權利受害者所委任。CNIL於接收該等申訴並確認其具有管轄權力後,旋即於同年9月就本案進行在線檢查(online inspections),以分析Google用戶瀏覽模式,佐以用戶使用Android手機建立Google帳戶時所得接觸之文件,來確認Google在個資蒐集、處理及利用程序上,有無違反法國當地個資法規以及GDPR之相關規定。
最終,CNIL於2019年1月21日作出處分,認定Google在個資處理程序上違反了GDPR相關規定,並對其處以高達5,000萬歐元的罰鍰(依照GDPR規定,就罰鍰之裁處,最高可達2,000萬歐元或是違法公司全球營業額的4%,於本案,CNIL明顯是以後者來計算罰鍰)。
本案可說是GDPR施行後,具有指標性意義的鉅額裁罰,尤其在CNIL針對Google個資處理手法上的違反認定,更值得在歐盟國營運的台灣企業借鏡及關注。
CNIL認定Google於本案違反GDPR規定的部分
首先,CNIL認為Google並未提供充足且透明的個資處理相關資訊予其用戶;一些基本的情報,例如Google蒐集個資以進行處理的目的、個資儲存的期間、哪些蒐集而來的個資將用於個人化廣告行為上等訊息,散見在不同的分頁文件及連結中,使用戶無法輕易且直覺性地獲得相關資訊。
此外,部分個資處理資訊即便有提供,也不一定清晰詳盡,常會有使用戶無法全盤了解其個資處理行為的內容。舉例而言,Google告知用戶其處理、利用個資的目的,常過於籠統且含糊,而在所蒐集的個資種類告知上,亦有相同的問題;更嚴重的是,Google甚至未向用戶告知,部分其蒐集而來的個資,所將留存的期間為何。
另一方面,CNIL認為Google自用戶處所取得的個資蒐集、處理及利用的同意,恐非有效的同意。主要理由有二:其一,CNIL發現Google用戶在同意前,並未接受到完整且充足的告知。例如承前所述,Google就有關個人化廣告行為的個資處理相關資訊,散見在不同的文件中;然而,個人化廣告行為其實是會同時在Google眾多服務、網頁及應用程式中(如搜尋引擎、Google地圖、YouTube等等)進行,其就特定用戶所各自蒐集而來的資訊,並會進行合併分析及處理,如果Google未就此情形向用戶進行充分告知,則用戶作出零散、個別的同意是否有效,即有疑慮。
其二,CNIL並發現Google自用戶處所蒐集而來的同意,並不具體明確。舉例來說,在使用者創建Google帳戶的過程中,其必須點選「我同意Google的使用者條款」以及「我同意Google依其隱私權政策處理我的個資」等方框,才能成功創立Google帳戶,也就是說,使用者為了建立Google帳戶,必須一次性地概略同意所有Google的使用者條款及隱私權政策。
然而,GDPR要所要求的「同意」,必須係個資當事人清楚確認其同意的內容及行為,且不容有模糊的餘地,故上開等同「預設點選」的「強迫同意」方框(pre-ticked boxes),即與GDPR要求個資當事人針對不同個資蒐集處理目的有「具體」同意的精神有違。從而在本案中,由於個資處理的合法基礎之一,是基於個資當事人「有效的」同意,故CNIL認為Google未取得用戶有效同意即使用相關個資進行個人化廣告行為,已有違反GDPR的規定。
臺灣企業如何避免重蹈「強迫同意」的覆轍
GDPR有關「同意」的合法性要件認定係規定在第7條中,要求個資當事人必須就其個人資料處理,在受充分告知下,進行具體肯定、自由明確及非屬模糊的指示,始為合法的同意。此外,如果單一次同意有涵蓋到不同目的的個資處理行為,必須確認個資當事人就該等同意均有上述合法的同意。
實務上於此較容易產生問題的是「視為同意」、「強迫同意」的情形。由於GDPR前言已明載,就單純沉默、預設選項為同意或不為表示的情況,皆不應構成GDPR規定中所稱的同意,所以如在相關個資告知文件中使用「您如使用本公司所提供之服務(例如:創建帳戶),即視為您已同意本公司的使用者條款及個資處理利用之隱私權政策」等用語條款,即有違背GDPR的意旨。雖然在臺灣個資法第7條有「推定同意」的相關規定,也就是若於明確告知個資當事人應告知事項後,該當事人未表示拒絕並提供其個資的話,即「推定」該當事人已為同意;然而,此畢竟與在條款用語中將用戶單純未表示意見即「視為」同意的情形,有所差別,且如以GDPR規定的精神來看,「同意」須具體明確,也就是恐怕排除了「默視同意」的認定可能性。
此外,為取得個資當事人就個資處理利用的同意,不少業者會在網頁上使用彈出式視窗,並加上聲明同意的勾選方框欄位,以作為個資當事人已為同意的證明;然而,從上開Google案例中可知,若是在APP程式、網頁等使用者界面設計上,要求使用者須勾選相關同意選項後,始得進行下一個動作或流程的話,即有落入GDPR所禁止的「強迫同意」情形的風險。
所以,企業如果要在服務或產品的APP程式或網頁上,避免在預設選項設計上違反GDPR相關規定,即不應將此種同意選項設計成產品或服務提供的必要條件,也就是說,縱使使用者未予勾選,仍應保留得令其繼續後續流程的可能性(但可跳出相關視窗,確認使用者是否不欲同意,或僅是漏未勾選)。然而,若是相關產品或服務必須取得使用者同意,始可能進行後續提供的話,即須於使用者未勾選同意或勾選不同意時,彈出說明視窗,詳為說明為何使用者不同意相關個資處理利用,即無法提供後續服務的關聯性。
最後須注意的是,「同意」其實僅係合法處理個資的要件之一,如果有可能以其他法定要件作為合法處理個資的基礎,而又在取得個資當事人同意真摯性上有所疑慮的話,則不妨考慮逕行使用其他合法法定要件的可能性為宜。
結語
GDPR施行未滿一年, Google即因違反GDPR而遭裁罰鉅額罰鍰,除了具指標性意義外,也是歐盟會員國對於嚴格執行GDPR的態度展現。此外,NOYB團體於今年1月21日也在奧地利提交了另一份申訴,這次是針對Amazon、Apple、Spotify、Netflix以及Youtube等影音串流媒體服務業者,就渠等未能提供充足的額外訊息,例如個資當事人的資料將會被傳輸、分享給哪些特定人,或是未能即時回應個資當事人針對該等資訊或是其個人資訊存取的請求(後者即是所謂「當事人權利行使」的違反)。
理論上來說,以Apple公司為例,如未來其遭認定於此有違反GDPR規定的情形,則有可能被裁罰高達近80億歐元的罰鍰。從這些裁罰案例也可得知,適用GDPR的企業在法遵上,應注意的監督者不再僅是政府或主管機關等公權力,商業交易往來對象甚或是市場消費者,亦有可能透過類似NOYB的個資保護團體進行行政申訴或團體訴訟。
企業日後恐無法再存有「我們並非大型企業,應不致遭主管機關盯上裁罰」的心態,因為在GDPR的監督及執行上,係著重在從個資當事人的視角出發,尤其在個人資料保護意識高漲的歐盟各國,更是如此。
(原文撰寫於2029年2月22日)