前言

相信，各位大佬一定听说了，Google被法国数据专门保护机关（以下简称“CNIL”）罚了5000万欧元。

小编今天要给各位大佬汇报的是，Google挨罚的这件事情里面，各位大佬可以关注点儿啥。老规矩，小编希望各位大佬在看完本文后能了解以下内容。

• 为啥是CNIL来管；

  
  

• 因为什么罚Google；

  
  

• 怎么就罚了5000万欧元这么多；

进入主题之前，小编给各位大佬说明一下，本文中很多细节都是从CNIL那篇法文的二十多页的罚单中扒出来的。如果有法语好的大佬认为哪个细节小编理解的有问题，欢迎指正哈！

# 1 为啥是CNIL来管  

一开始的时候，CNIL说这事儿归我管了，Google是不服气的。

Google认为其欧洲总部在爱尔兰，其GDPR下的“主要营业场所”也因此在爱尔兰。

根据GDPR的规定，爱尔兰的专门数据保护机构应该作为“主要保护机关”发起、协调和主导针对Google的调查。

也就是大家常说的，“一站式执法”。

Google的这套说辞被CNIL怼了回去。

基于以下理由，CNIL认为Google的欧洲总部不是Google的“主要营业场所”。

# 虽然Google欧洲总部得以在欧洲范围内调配大量的财务和人力资源，但是涉嫌违反GDPR的数据处理行为的目的和方式均不是Google欧洲总部来决定的，而是由位于美国的Google总部决定。

# Google2018年5月25日版本的“隐私和使用条款”中并没有提到Google欧洲总部将对披露的数据处理行为负责。

# 2018年12月3日Google自己的邮件中提到，将于2019年1月31日完全将数据处理行为产生的责任从美国Google总部转移到Google欧洲总部。并提到，将在2019年1月22日前相应的更新“隐私和适用条款”。

没有“主要营业场所”的情况下，无法确定Google在欧洲的“主要保护机关”。因此，根据GDPR的规定，CNIL乃至于其他有关的数据专门保护机关有权在“主要保护机关”无法确定的情况下开展执法。

至少从字面上看，红字有点儿吓人哦。

谁来管（也就是管辖权“jurisdiction”）这件事儿，Google不服气的地方还有很多，比如质疑CNIL没有履行完GDPR规定的“协同一致”机制等等。限于篇幅，小编这里就不展开了。

#2  因为什么罚Google？

# Google违反了GDPR披露信息透明度要求 

GDPR规定：个人数据的控制者必须以“简洁、透明、易懂以及容易获取的方式，以清晰和平实的语言”向相关数据主体提供与处理其个人数据有关的信息。

首先，Google个人数据处理有关的信息披露远非“容易获取”的。CNIL进行了统计，如果完整阅读所有例如与“个性化广告”有关的Google的披露文档，用户需要执行五步操作。 

其次，CNIL认为，“隐私和使用条款”等披露文档本身，也没有满足“平实和清晰易懂的”要求。很多时候都是一些套话，比如“为了改进我们提供的服务，我们收集个人信息”，以及奇怪的话，比如“我们会根据您如何使用我们的服务和您的隐私设置来决定我们如何收集和使用您的信息”。

最后，CNIL认为Google提供的账户设立时的“个人数据收集弹窗提示”、设立账户后可以使用的“隐私设置”功能以及“个人数据面板”功能均无法有效改善以上问题。

弹窗中提示的信息简单空泛。“隐私设置”和“个人数据面板”功能都只能在设立账号后才能使用，并且隐含有调整上面的设置，就会影响使用的意味。

# Google就“个性化广告投放”征得用户“同意”的机制不符合GDPR要求 

GDPR规定：用户关于处理行为做出的“同意”，必须是“自愿的、具体的、完全知情且毫不含糊的”。“同意”应当通过明确的“主动肯定”行为做出。

首先，CNIL指出，因为Google的信息披露存在问题，用户“同意”“个性化广告”投放时，并非“完全知情”的。这里上面已经讲过了，就不赘述了。

其次，CNIL指出，Google征得“同意”的机制，使得用户无法对“个性化广告”投放做出“具体”且“毫不含糊”的“同意”。这点其实非常有实践意义，如果有机会，小编希望可以单独写一篇文章，配上图给各位大佬好好讲讲。

Google当然做出了很多的辩解，CNIL也（当然）都给怼了回去，限于篇幅，小编这里也就不展开写了。

# 3 怎么就罚了5000万欧元那么多？ 

不出所料的是，Google认为CNIL罚的太狠了。Google很委屈的表示，我这点儿事情，用罚的这么狠么？（Google用了“disproportionate”这个词）。其实你就跟我说我哪儿哪儿不对就行，我肯定能改的，咋上来就罚我这么多钱呢？

CNIL对于Google进行了毫不留情面的驳斥。 

首先，Google违反的信息披露透明度和数据处理合法依据的规定，都是GDPR的核心规定，直接关系到用户是否可以控制和处置关乎其自由和个人生活的数据。违反这些规定也将因此受到最严厉的处罚。

其次，Google的违反行为持续了很久。因此，既不能解读为对于GDPR义务的短期误解，也不能解读为偶然违反。在收到调查报告后，Google也没有纠正这些违反行为。 

然后，考虑到处理的目的和性质、范围和影响的人数和社会影响，Google的违反行为非常严重。因此必须施以重罚使得Google意识到问题的严重性，重塑数字经济生态的平衡和良好发展。

最后，Google的商业模式，其很大一部分收入来自于“个性化广告”的投放。CNIL认为，Google既然因此获利颇丰，也要相应的承担更高的责任。

这里小编还想说一句，别看5000万欧元多，如果考虑到Google全球年盈利多的吓人的这个因素的话，这还真的不是顶格处罚。

#题外话：我们几个月前就关注过这件事儿  

正事儿唠完了，小编还是忍不住感慨一句，历史的发展可能真的离不开猛人。

记得几个月前的实战指南（八）中，小编曾经给各位大佬讲过这样的一个故事。在GDPR生效的当天，奥地利大律师马克斯 · 施雷姆斯马律师，带领麾下全明星阵容的数据保护组织NOYB（中文名“不关你的事”）把Google、Facebook、Amazon等高科技巨头告了个遍。

是的，和你们想的一样。这次这笔五千万欧元的罚款，就是被马律师给闹的。

（放上马律师的图给大家拜拜）

给大家欣赏一下马律师在得知CNIL罚了Google后发在NOYB官网上的喜气洋洋的声明。（出处链接https://noyb.eu/news-update/）。

我们非常开心（“very pleased”），可算有家（“for the first time”）欧洲的数据保护机构对这种一看就违法的行为开罚单了。GDPR生效以来，我们发现Google这样的大公司经常不按套路的解读GDPR的法定要求（”simply interpret the law differently”），产品GDPR合规工作也就是糊弄了事（"superficially adapted their products”）。重要的是，当局一定要明确，“合规全靠一张嘴”是远远不够的（" simply claiming to be compliant is not enough”）。我们还挺开心的是，我们在保护基本权利方面的工作终于有了成果。在此感谢我们的支持者，没有你们我们啥也干不成。

关于马律师其人，NOYB组织以及当时NOYB写的投诉状，欢迎大家移步我们的GDPR实验室栏目，阅读“GDPR实战指南（八）：Google，Facebook被投诉了？”这篇文章。

# 尾 声  

小编注意到，罚单的结尾可是写到，Google可以在四个月内上诉这张天价罚单。基于此，小编大胆猜测，这事情可能没有完。

几个月前的实战指南（八）中，小编立下flag，如果有进展会第一时间给各位大佬发来战报。也因此，有了今天这篇指南。

那么，还是老规矩，小编承诺，再有什么进展，小编一定第一时间给各位大佬汇报，欢迎各位大佬持续关注我们的公众号文章。

最后还是那句老话，GDPR合规无小事，各位大佬我们下期再见！