2019年1月21日，法国数据保护监管机构——国家信息与自由委员会（“CNIL”）宣布，针对谷歌公司（“谷歌”）违反《通用数据保护条例》（“GDPR”）的行为，对其处以5000万欧元的罚款。该案作为自2018年5月25日GDPR生效后，法国监管机构作出的首个处罚决定，也是截至目前欧盟国家依据GDPR开出的最大罚单，值得业务涉及欧盟国家居民的企业重点关注。

　　案件背景

　　2018年5月GDPR生效后，CNIL即收到了欧洲两家非营利组织None Of Your Business（“NOYB”）和La Quadrature du Net（“LQDN”）针对谷歌的集体投诉，指责谷歌没有有效的法律依据来处理用户的个人数据，尤其是出于个性化广告服务之目的。

　　2018年9月，CNIL启动线上调查，旨在通过分析用户的浏览模式和访问的文本，验证谷歌实施的处理操作是否符合法国数据保护法和GDPR的相关规定。经调查，CNIL认为谷歌在透明度义务和获取用户同意方面存在违反GDPR的行为。

　　要点解读

　　一、违反GDPR的行为的认定

　　1. 违反透明度和信息义务

　　GDPR第12、13条规定，在收集用户个人数据时，应当以“简洁、透明、易懂、易于获取”的方式，以“清晰、简单”的语言向用户说明与收集、处理其数据相关的情况，包括但不限于处理个人数据的目的、法律基础、数据储存期限等。CNIL认为，谷歌在向用户说明其收集、处理个人数据的情况时，未能满足GDPR第12条所规定的“易于获取、清晰、易懂”的要求，同时缺乏某些第13条下规定应当向用户提供的信息。

　　a) 关于数据处理的说明信息不易于获取

　　在本案中，CNIL认为谷歌对安卓系统收集个人数据的说明，过于分散地存在于多个文件（如隐私政策、使用条款等）中。该等碎片化的信息致使用户需要进行多次操作以访问不同文件，而无法简便地获取到全部的相关信息。

　　具体地，CNIL发现，为获得相对完整的信息，就个性化广告服务的相关条款而言，用户必须至少进行5步操作；对于地理位置数据处理的相关条款，用户必须至少进行6步操作。基于此，CNIL指出，总体而言，谷歌提供的说明信息不具有“易于获取性”。

　　b) 关于数据处理的说明信息不足够清晰、易懂

　　根据GDPR的要求，对于数据处理的说明信息，应当结合数据处理的具体步骤或阶段，通过清晰、易懂、有针对性的方式作出。在本案中，CNIL认为谷歌的数据处理行为是“大量且具有侵扰性（massive and intrusive）”的，而用户并不能通过其说明充分了解谷歌的数据处理行为带来的后果，也无法衡量对其私人生活的入侵程度。

　　具体而言，CNIL认为谷歌的数据处理行为具有如下特点：

数据来源广泛：既收集用户使用手机过程中产生的数据，也收集用户使用谷歌服务（例如Gmail、Youtube等平台）时产生的数据；

　　数据种类繁多：包括用户提供的数据、用户行为中产生的数据等，其中可能含有敏感信息（例如地理位置、浏览记录等）；

　　数据处理复杂：谷歌对于所收集的数据进行多种组合和分析处理，经处理的数据可能更加精确地反映用户的私人生活。

　　基于上述，CNIL指出，谷歌未能够准确、全面地对其数据处理的相关情况向用户进行说明，而仅通过模糊、宽松的方式。例如，仅以“我们收集的信息将用于改进我们的服务”说明某些信息的收集目的，以至于用户并不能够充分了解数据处理行为的具体后果。

　　c) 关于数据处理的说明信息不足够全面、充分

　　GDPR第13条第（1）、（2）款中详细罗列了收集个人数据时应当向个人数据主体提供的信息，其中包括个人数据的存储期限。本案中，CNIL认为，谷歌未能明确数据储存的期限，因而违反了第13条的要求。

　　具体而言，CNIL发现，谷歌对于用户数据存储期限的确定共有四种方式：

　　存储至用户删除信息；

　　存储至用户注销谷歌账户；

　　延时存储；

　　因特定原因长期存储。

　　CNIL指出，对于后两种，谷歌仅泛泛地解释了延长存储时间的目的，并没有说明具体的存储期限或确定存储期限的标准，而这类信息是GDPR第13条第（2）款项下必须向个人数据主体提供的信息，因此认为该等说明信息不够全面。

　　但CNIL进一步指出，GDPR要求的全面与充分，并不意味一次性向用户作出所有的说明，因为这可能会带来过分冗长、复杂、晦涩的隐私政策，对保障用户权利而言适得其反。适当的做法是，在收集用户个人数据的前后，针对不同阶段作出“刚好足够”的说明，使用户充分了解该阶段涉及的数据类型与数据处理的潜在后果即可。

　　2. 为个性化广告目的处理个人数据缺乏有效的法律依据

　　根据GDPR第6条规定，数据处理应当具有合法性，其中，合法性基础包括取得用户自由、具体、知情、明确的同意（“有效同意”）。本案中，CNIL认为，谷歌为个性化广告服务之目的处理个人数据并未取得用户的有效同意，因而不具有合法性基础。

　　a. 用户作出同意前未能充分知晓数据收集、处理情况

　　如前所述，CNIL指出谷歌对于个人数据收集、使用的说明信息过于分散地存在于多个文件中，用户无法简便地获取到全部的相关信息，不具有“易于获取性”；并且，相关说明信息也不够清晰、完整，无法使用户对于数据收集、处理的方式、数量、后果有适当的认知。

　　就向用户说明为个性化广告目的处理个人数据而言，用户需要至少进行5步操作才能获取相对完整的信息，同时，用户无法从谷歌的说明信息中获知其个人数据将被用于提供何种个性化广告服务，即无法了解为个性化广告目的处理数据的范围。据此，CNIL认为，即使用户对于数据处理作出了同意，该等同意也并非是在“充分知情”的情况下作出的，因而该等同意并非“有效同意”，不能作为数据收集、处理的合法性基础。

　　b. 用户同意并非针对具体的数据处理行为

　　CNIL指出，在取得用户同意时，应当就具体的处理目的，分别取得用户的同意。而在本案中，CNIL发现，尽管谷歌的用户个人页面中有“更多选项”的按钮，用户可以点击进入，以更改关于个性化广告的相关设置，但这些选项是默认勾选的，这意味着用户并没有通过主动的勾选行为，对将其个人数据用于个性化广告这一事项作出专门的同意。

　　此外，如果用户不希望将其个人数据用于个性化广告范围，也需要先整体同意谷歌的用户协议（其中包含若干同意收集、处理数据的条款），然后在获得谷歌账号之后另行更改相关设置。这实际上导致用户为使用某种产品或服务，必须先“打包”接受谷歌所有的数据处理行为。对此，CNIL认为，谷歌用户对个性化广告服务作出的同意，实际上多为“无奈之举”，并非用户针对具体数据处理行为自由作出的明确同意，因而不能作为数据处理的合法依据。

　　二、非欧盟企业违反GDPR行为的管辖

　　根据GDPR第六、七章关于监管机构权限及各国监管机构之间合作的相关规定，如果被调查对象的主营业地（main establishment）位于欧盟境内，通常由主营业地所在国的监管机构作为案件调查的“主导监管机构（lead supervisory authority）”，其他国家的监管机构提供协助与配合。

　　在本案中，谷歌在欧洲的总部位于爱尔兰，但是，由于谷歌爱尔兰公司对于安卓系统下如何处理数据并没有最终决定权，决定权掌握在谷歌的美国总部手中，因此谷歌爱尔兰公司并非实施违法行为的“主营业地”。基于此，前述规则并不适用，CNIL有权根据投诉进行调查，并作出处罚决定。

　　三、罚款金额的确定

　　根据GDPR第83条规定，违反GDPR相关规定者将被处以1000万欧元或上一财务年度全球总营业额的2%（两者取其高）的罚款；严重者将被处以2000万欧元或上一财务年度全球总营业额的4%（两者取其高）的罚款。

　　在本案中，CNIL突破了2000万欧元的最高固定罚款额，综合考虑如下因素，作出了5000万欧元的罚款决定：

　　行为的严重性：谷歌所违反的透明度和信息义务是GDPR下取得有效同意的基础，而有效同意是数据处理的合法依据（之一），其重要性不言而喻，因此CNIL认为，谷歌实施的行为是对GDPR的严重违反；

　　行为的持续性：CNIL指出，谷歌违反GDPR规定实施的相关行为是持续性的、长时间的；

　　行为的影响：CNIL指出，安卓操作系统在法国市场上具有重要地位，每天都有成千上万的法国人在使用智能手机时创建一个Google帐户，因此谷歌的相关行为可能造成很大的影响；

　　商业模式：CNIL认为，谷歌的盈利模式主要是基于个性化广告，因此更应当重视在为个性化广告目的处理数据时的相关义务。

　　但遗憾的是，CNIL并没有具体解释5000万欧元的处罚数额是如何计算得出的，也未说明该等数额的计算基数，例如是基于谷歌美国总部的部分业务营收，还是基于其在欧盟的公司的营收。如基于前者，考虑到谷歌及其关联公司2017年高达1097亿美元（960亿欧元）的全球总营业额，本案中5000万欧元的罚款还远没有触及4%的处罚上限。

　　实务观察

　　作为“史上最严”的个人数据保护规定，GDPR下的数据保护义务和责任追究力度均达到了空前的高度，这对于在欧盟运营的跨国公司以及业务涉及欧盟居民数据的企业而言，是一项重大的挑战——这不仅意味着违反相关规定可能被处以巨额的罚款，更重要的是，企业还可能面临被迫转变商业模式，甚至退出欧洲市场的风险。因此，考虑到此次CNIL的处罚决定或预示着未来更加活跃的执法活动，相关企业应当重视评估违反GDPR的风险，积极建立合规制度，迎接GDPR的挑战。