记者/江月
1月6日,法国监管机构公布称,在2021年的最后一天对谷歌和Meta开出了两张巨额罚单。由于阻碍用户“一键拒绝”网络数据跟踪,谷歌被罚1.5亿欧元、Meta被罚6000万欧元。
滥用用户隐私大赚其钱,这种行为正被各国政府严加管束。天达共和律师事务所合伙人詹凯认为,互联网已经不是新兴行业,不应再放任其“野蛮生长”,而需当作“成熟行业”进行“完善监管”。中国政法大学网络法学研究院副院长王立梅指出,使用个人信息获取经济利益,互联网企业应当付出相应成本,互联网用户应当更容易地对信息滥用说“不”。
值得留意的是,谷歌的1.5亿欧元罚款,相当于该公司2020年收入的不到0.9%,而Meta的6000万欧元罚款则占2020年总收入约0.8%。
要求“一键拒绝”
法国监管机构CNIL称,谷歌和Meta在cookie用户问询方面采取了“两面”做法,触犯了有关隐私保护条例。这反映,当互联网公司“想方设法”引导用户暴露隐私时,法国升级了对这种行为的打击。市场专家向记者分析指出,用户本应更容易向互联网公司说“不”。
Cookie是用户在网站上留下的“碎屑痕迹”,也就是网站服务器对用户信息的记录,通常以小型文本文件存放在用户本地电脑上。有不少统计公司、营销公司采集Cookie,去分析使用者浏览过的网页、停留时间等行为,从而进行用户画像描绘,进一步实施推广广告等牟利行为。更有甚者,还会采集用户身份和密码等信息。
自从意识到网络违规行为无法禁绝,互联网用户的自我保护意识觉醒,监管机构也开始立法打击违法信息采集。本次CNIL接到了大量用户投诉后,于2021年6月开始进行调查,结果发现facebook网站、谷歌法国网站和youtube网站提供给用户的“拒绝追踪”按钮,需要反复按键才能彻底关停“追踪”,而对应的“接受追踪”则可以一键搞定。
CNIL认为,上述设定将会鼓励用户接受cookie追踪,并打击用户拒绝追踪的意愿。除了罚款,CNIL也勒令两家公司在三个月内整改,让用户可以“一键拒绝”cookie追踪。
中国政法大学网络法学研究院副院长王立梅向记者指出,“互联网公司往往让用户选择‘同意’接受信息收集,但用户可以‘拒绝同意’。”这反映,互联网公司常常通过给出单一选择等方法,“诱导”用户作出符合互联网公司心意的选择。
“其实,用户拒绝同意和同意的选项,应该是同等容易的。”王立梅指出了个中要点。
王立梅引用《个人信息保护法》指出,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定,而个人信息处理者一般不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,除非能够证明是服务所必需。
这两起罚款的金额合计高达2.1亿欧元,CNIL称,这对应了受影响的互联网用户数量,以及有关公司从这种行为里获得的广告收入。
天达共和律师事务所合伙人詹凯向记者解释称,根据欧盟的《通用数据保护条例》(GDPR)的规定,如果经营者对用户数据有不当的行为,轻者可被罚1000万欧元或前一年全球营业收入的2%,重者可被罚2000万欧元或前一年全球营业收入的4%,以较高者为准。据此,《法国数据保护法》给出这种程度的经济处罚不足为奇。
记者计算发现,谷歌和Meta的2020年全年总收入分别达1825.27亿美元和859.65亿美元,本次罚单的占比仅分别为约0.9%、约0.8%。
facebook网站母公司Meta的发言人表态,服从CNIL的处罚,称旗下包括facebook和Instagram两大网站将进行新的设置,让用户能更新cookie追踪设定,还表示公司将持续开发和改进这些控制功能。
使用隐私信息需付出成本
当前,全球多国在制定自己的数据监管法规,在上述框架下,欧盟及其成员国近年连连开出“巨额罚单”,名单越来越长、金额越来越高。在成熟的数字经济下,使用用户信息乃至隐私,将需要付出相应的代价。
这已经不是CNIL第一次围绕cookies问题处罚互联网大公司了。资料显示,CNIL曾在2020年12月开出围绕cookies跟踪问题的罚单,对谷歌和亚马逊分别处以1亿欧元和3500万欧元的罚款。具体的违法行为是两大公司未经用户事先同意,就在用户设备上安装广告Cookies,并且没有适当告知用户Cookie的启用和目的,同时用户反对权利机制也失效。
这反映,以法国为代表的一些国家的政府,正对每一步使用“数据隐私”牟利的行为收取“代价”。詹凯向记者指出,互联网曾经历“野蛮生长”的时代,但当前各国政府显然在进行“查漏补缺”。“互联网已经不是新兴行业了,应该按照‘成熟经济’去进行法律完善。”他指出。
打击滥用数据的罚款金额屡创新高。从事数据安全、企业级邮箱信息保护的软件公司Tessian近期列举出过去三年来“最大GDPR罚单”,亚马逊、WhatsApp、Google、H&M、英国航空、万豪酒店名下的罚款金额排名靠前。GDPR(《通用数据保护条例》)是欧盟在2018年5月25日推出的网络数据管理法规,指向打击互联网公司对用户数据的侵犯。
在2021年7月,亚马逊被卢森堡国家数据保护委员会处以7.46亿欧元的罚单,为史上最大的隐私侵权罚单。
当前,各国政府出手禁止互联网公司“滥用”用户信息牟利,“大数据杀熟”、滥发广告弹窗的时代正在远去。“互联网公司经营需要付出合理成本,当前法律监管正从方方面面改善数字经济的运行环境。”王立梅指出。
詹凯还指出,对数据使用的监管,还将涉及“数据处理链条”和“隐私政策透明度”两大问题,以规范管理数据的收集、存储、共享等全链条环节,以及防止有关敏感数据的暗箱操作。