从CNIL对Google侵犯用户隐私处罚案看知情同意原则的适用｜德恒研究

2019年1月21日，法国数据保护监管机构——国家信息与自由委员会（“CNIL”）宣布，针对谷歌公司（“谷歌”）违反《通用数据保护条例》（“GDPR”）的行为，对其处以5000万欧元的罚款1。该案是2018年5月25日GDPR生效后，法国监管机构作出的首个处罚决定。本案不仅标志着欧盟各国监管机构对GDPR实际应用的加强，而且也为世界各国提供了有关用户个人数据侵权纠纷问题的有效借鉴。

一、案件背景

2018年5月GDPR生效后，CNIL即收到了欧洲两家非营利组织None Of Your Business（“NOYB”）和La Quadrature du Net（“LQDN”）针对谷歌的集体投诉，指责谷歌没有有效的法律依据来处理用户的个人数据，尤其是出于个性化广告服务之目的，这两个组织都曾在2018年5月对Facebook提起诉讼。

2018年9月，CNIL启动线上调查，旨在通过分析用户的浏览模式和访问的文本，验证谷歌实施的处理操作是否符合法国数据保护法和GDPR的相关规定。CNIL经调查发现，用户无法轻易访问谷歌提供的信息，用户获取自身被收集的信息竟需要五到六个步骤，即使完成步骤后，获取的信息通常也不是完整的，不完整的原因是谷歌将这些信息分散至Google搜索、You tube、Google home、Google地图、Playstore、Google photo等应用中。因此，CNIL认为谷歌在透明度义务和获取用户同意方面存在违反GDPR的行为。

二、Google违反透明度和信息义务

GDPR规定数据主体获取数据应当透明2，在收集用户个人数据时，应当以简明、易于获取的方式，并以清晰的语言向用户说明与收集、处理其数据的目的、数据存储期限等相关的情况3。CNIL认为，谷歌在向用户说明其收集、处理个人数据的情况时，未能满足前述“简明、易于获取”的要求，同时缺乏GDPR规定的应当向用户提供的某些信息，因此其构成了对用户数据权利的侵犯。

（一） 关于数据处理的说明信息不易于获取

本案中，CNIL认为谷歌对安卓系统收集个人数据的说明，过于分散地存在于多个文件（如隐私政策、使用条款等）中，如多个有关联的说明却分布在隐私政策、注册条款甚至弹窗中。该等碎片化的信息致使用户需要进行多次操作以访问不同文件（并且个别文件对于一般用户而言很难找到出处），而无法简便地获取到全部的相关信息。

具体地，CNIL发现，为获得相对完整的信息，就个性化广告服务的相关条款而言，用户必须至少进行5步操作；对于地理位置数据处理的相关条款，用户必须至少进行6步操作4。基于此，CNIL指出，总体而言，谷歌提供的说明信息不具有“易于获取性”。

（二）关于数据处理的说明信息不足够清晰、易懂

根据GDPR的要求，对于数据处理的说明信息，应当结合数据处理的具体步骤或阶段，通过清晰易懂的方式作出。本案中，CNIL认为谷歌实行了“大量侵入性（massive and intrusive）”的数据处理行为。而用户并不能通过其说明充分了解谷歌的数据处理行为带来的后果，也无法衡量对其私人生活的入侵程度。

具体而言，CNIL认为谷歌的数据处理行为具有如下特点：

1.收集数据过于宽泛：既收集用户使用手机过程中产生的数据，也收集用户使用谷歌服务时产生的数据；

2.收集各种种类的数据信息：其中既包括用户提供的数据，也包含用户行为中产生的数据等。而这些数据中可能含有敏感信息5（例如地理位置、浏览记录等）；

3.数据处理复杂：谷歌对于所收集的数据进行多种组合和分析处理，经处理的数据可能更加精确地反映用户的私人生活。

基于上述，CNIL指出，谷歌未能够清晰准确地向用户说明其对其数据处理的相关情况，而采用了过模糊且使用户查找感到困难的方式，以至于用户并不能够充分了解数据处理行为的具体后果。而Google又实际上对这些收集的数据进行了处理（比如精准的广告投送），这显然侵犯了用户的数据权利。

（三）关于数据处理的说明信息不足够全面、充分

GDPR中详细罗列了收集个人数据时应当向个人数据主体提供的信息6，其中包括个人数据的存储期限。本案中，CNIL认为，谷歌未能明确数据储存的期限7, 因而违反了第13条的要求。

具体而言，CNIL发现，谷歌对于用户数据存储期限的确定共有四种方式：

1.存储至用户删除信息；

2.存储至用户注销谷歌账户；

3.延时存储；

4.因特定原因长期存储。

CNIL认为，对于后两种方式，Google仅泛泛地解释了“延长存储”或“长期储存”，而未具体说明的存储期限以及确定存储期限的标准，而这类信息是GDPR第13条第（2）款项下必须向个人数据主体提供的信息，因此认为该信息过分扩大了Google收集用户信息的权利。

实际上，已经有越来越多的互联网商家开始更加注重规范自己的透明度，2月25日，Youtube提升了违反规定政策时的惩处透明度8。所有第一次违反政策的频道，都会收到一次性的警告，只要创作者移除违反政策的内容，将不会受到任何惩罚，YouTube表示，有些创作者是不小心违反规定，这样的方式是为了使所有创造者，有机会和时间去了解YouTube的社群守则，除了警告之外，YouTube也在用户协助中心提供违反政策的範例和细节，使创作者能够更加了解社群守则。

在透明度的方面，YouTube会在电子邮件的通知中，提供更详细的资讯，像是创作者的内容违法了哪一项政策，也会在YouTube平台中新增违反规定的通知。

而各式各样的透明信息的披露，不仅可以提高用户操作的效率，而且也可以减少潜在的纠纷。

三、为个性化广告目的处理个人数据缺乏有效的法律依据

根据GDPR的规定，数据处理应当具有合法性，其中，合法性应当包括用户的“有效”同意9。本案中，CNIL认为，谷歌为个性化广告服务之目的处理个人数据并未取得用户的有效同意，因而不具有合法性基础。

（一） 用户作出同意前未能充分知晓数据收集、处理情况

如前所述，CNIL指出谷歌对于个人数据收集、使用的说明信息过于分散地存在于多个文件中，不具有“易于获取性”。并且，相关说明信息也不够清晰、完整，无法使用户对于数据收集、处理的方式、数量、后果有适当的认知。

并且，用户需要至少进行5步操作才能获取相对完整的信息。同时，用户无法从谷歌的说明信息中获知其个人数据将被用于提供何种个性化广告服务，即无法了解为个性化广告目的处理数据的范围。据此，CNIL认为，即使用户对于数据处理作出了同意，该等同意也并非是在“充分知情”的情况下作出的，因而该等同意并非“有效同意”，不能作为数据收集、处理的合法性基础10。

（二）用户同意并非针对具体的数据处理行为

CNIL指出，在取得用户同意时，应当就具体的处理目的，分别取得用户的同意。而在本案中，CNIL发现，尽管谷歌的用户个人页面中有“更多选项”的按钮，用户可以点击进入，以更改关于个性化广告的相关设置，但这些选项是默认勾选的，这意味着用户并没有通过主动的勾选行为，对将其个人数据用于个性化广告这一事项作出专门的同意。此外，如果用户不希望将其个人数据用于个性化广告范围，也需要先整体同意谷歌的用户协议（其中包含若干同意收集、处理数据的条款），然后在获得谷歌账号之后另行更改相关设置。这实际上导致用户为使用某种产品或服务，必须先“打包”接受谷歌所有的数据处理行为11。对此，CNIL认为，谷歌用户对个性化广告服务作出的同意，实际上多为“无奈之举”，并非用户针对具体数据处理行为自由作出的明确同意，因而不能作为数据处理的合法依据。

知情应当是同意的前提，而我国广大互联网用户对于信息被收集应当知情的意识有待提升。各大电商App一般需要用户注册，用户注册时将会出现繁长的用户注册协议和隐私条款。针对用户的个人信息采集问题应当以清晰明确的方式规定于隐私条款之中，然而许多商家对于公民个人信息采集的提示却分布在主页、用户注册协议和隐私协议中，虽然商家对用户的可能存在的风险予以了提示，但用户由于查找难度等问题实际上难以对自己即将被采集的信息了解。此外，即使用户事实上了解自己可能存在的风险，但商家在用户注册时处于极其优势的地位（一旦不同意用户将无法使用该软件），因此用户除了同意以外别无他法，知情与否似乎变得无关紧要，因此必须对这种情况予以规制。

应当把知情同意原则进一步区分为“严格性的知情同意”和“一般性的知情同意”12，严格知情同意应当遵循“选择进入+详细告知+逐项同意”的进路，“一般性的知情同意”可以简化同意标准，适用“选择退出+同意告知+一揽子同意”的标准。对于涉及人格尊严且泄露或不当使用危害较大的信息时，应当适用严格的知情同意；而对于关涉人格尊严但泄露或不当使用危害较小的个人信息以及不涉及人格尊严的个人信息，可以适用一般同意的原则。对于需要严格知情同意的事项应当采用更加有效的方式使用户知悉，如在用户注册时采用弹窗的汇总的形式，让用户逐条阅读同意；而对于一般性的条款可以采用“形式同意、事后救济”的方式。针对事后发生的纠纷，可以适用格式条款的一般规定：当数据采集者过分扩大自己的权限或限制被采集者的权利时，认定格式条款无效；发生纠纷时，有两种以上解释的，应当做出对格式条款订立者采取不利的解释。

四、侵犯个人信息罚款金额的认定标准

（一）Google案罚款金额的考量因素

本案中，值得关注的一点是：Google被罚款5000万欧元，也是GDPR通过后被罚的第一笔天文数字。那么，CNIL对其罚款的依据是什么呢？

根据GDPR第83条规定，违反GDPR相关规定者将被处以1000万欧元或上一财务年度全球总营业额的2%（两者取其高）的罚款；严重者将被处以2000万欧元或上一财务年度全球总营业额的4%（两者取其高）的罚款。

在本案中，CNIL突破了2000万欧元的最高固定罚款额，综合考虑如下因素13，作出了5000万欧元的罚款决定：

1.行为的严重性：谷歌所违反的透明度和信息义务是GDPR下取得有效同意的基础，而有效同意是数据处理的合法依据（之一），其重要性不言而喻，因此CNIL认为，谷歌实施的行为是对GDPR的严重违反；

2.行为的持续性：CNIL指出，谷歌违反GDPR规定实施的相关行为是持续性的、长时间的；

3.行为产生的影响：CNIL指出，安卓操作系统在法国市场上具有重要地位，每天都有成千上万的法国人在使用智能手机时创建一个Google帐户，因此谷歌的相关行为可能造成很大的影响；

4.商业模式：CNIL认为，谷歌的盈利模式主要是基于个性化广告，因此更应当重视在为个性化广告目的处理数据时的相关义务。

（二）《个人信息保护法（草案）》的完善

我国《个人信息保护法（草案）》中第也规定了类似的处罚标准14：违反本法规定处理个人信息，或者处理个人信息未按照固定采取必要的安全保护措施的，由履行个人信息保护职责的部门责令改正，没收违法所得，给予警告；拒不改正的，并处一百万元以下的罚款；对直接负责的主管人员和其他直接责任人员…情节严重的，并处五千万元以下或者上一年度营业额百分之五以下罚款…。这一规定对违规处理个人信息的处罚予以了说明，但问题就在于“违法本法的规定”的表述过于模糊，罚款的数额又很大，容易过分地扩大执法机关和司法机关的自由裁量权，并且，“情节严重”也没有任何具体的标准。此外，并没有指出“或者”的标准。何种情况下并处五千万元以下的罚款，何种情况按照上年度营业额百分之五以下进行处罚应当有明确的界定，否则就可能使企业对罚款的具体情况丧失明确的预期。

因此，建议对《个人信息保护法（草案）》第六十二条进行部分修改。将违法该法处理个人信息分为“个人一般信息”和“个人敏感信息”。规定对信息处理者进行实质处罚的最低标准，此外，应该对情节严重进行进一步的划分，如可参照《刑法》对“侵犯著作权罪”中情节严重的规定15，以侵犯用户信息的数量来对其进行界定。一般而言，侵权数量达一般侵权数量的五倍以上可以认为是情节严重。（例如可以规定，违规处理用户个人一般信息100万条以上的、违规处理用户个人敏感信息20万条以上的，应当…；违规处理用户个人一般信息500万条以上的、违规处理用户个人敏感信息100万条以上的属于本条中规定的情节严重的情形）。

五、外延

社会生产方式的变革使数据的流通变得越发重要，新时代的数据已经成为流动的黄金。在此背景下，用户的数据隐私权更应受到重视。总体来说，我国《个人信息保护法（草案）》对于大型互联网平台提升数字透明度以及保护公民个人信息而言是大有裨益的，但其仍需明确化。例如，对有效同意、“形式知情”以及多层面规制的具体情形予以列举，对尚未表示明晰的概念予以更加清楚的界定。

此外，对于数据流通的保护应当依靠多合力汇集完成。其中数据保护机构的监管是重要的一个方面，因此各国数据保护机构应当尽快建立对于大型互联网公司采集用户数据的主动审查模式。此外，用户应当切实加强对自己数据的保护意识。近期，Facebook集体诉讼案、TikTok集体诉讼案都给我们了新的启发：面对庞大的互联网公司，集体诉讼模式或许是用户更好的选择。最后，互联网企业应当加强自身自律，牢牢地铭记“知情同意”的数据采集理念。

文中备注：

[1]The CNIL‘s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC，https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

[2]参见GDPR第三章第一节第12条之规定。

[3]参见GDPR第三章第一节第12条、第三章第二节第13条之规定。

[4]Deliberation of the Restricted Committee SAN-2019-001 of 21 Jannuary 2019 pronouncing a financial saction against GOOGLE LLC. https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf

[5]根据GDPR，种族或民族、政治观点、工会成员身份以及经处理可识别特定个人的生物识别数据都属于个人敏感信息，而Google收集的数据经过交叉识别可能能够识别公民个人信息。此外，GDPR说明，仅在特别情况下对用户敏感数据的处理才被允许。

[6]参见GDPR第十三条第一款、第十三条第二款之规定。

[7]参见以上脚注4。

[8]参见https://www.baojiabao.com/bjbnews/zh201902201250266708.html

[9]GDPR第六条认为，数据主体同意他或她的个人数据为一个或多个特定目的而处理且处理应当是为履行数据主体参与合同之必要。此处需要着重注意两个方面：一是目的的特定性，而笼统的目的不在此范围内；二是Google处理数据应当是出于服务之必要，否则即失去了合理性。

[10]国内某些电商平台设置的条款中，也有并不合理的或者是难以理解的部分。发生纠纷时，应当按照格式条款的规定，对提供格式条款的一方做不利解释。此时，“强制”的同意应当被认定为不同意。

[11]参照以上脚注8、脚注9之解释。

[12]杨丽珍.“告知后同意”:《民法典》第1219条第1款的解释论展开，《西北大学学报》2020年第 6 期，第 51-57 页；王雪乔：“论欧盟GDPR中个人数据保护与“同意”细分”，《政法论丛》2019年第 4 期， 第 136-146 页。

[13]参照以上脚注4。

[14]参照《个人信息保护法（草案）》第六十二条。

[15]参照《中华人民共和国刑法典》第二百七十一条的规定。

本文作者：

 陈 波

 合伙人

(实习生侯涵斌对本文亦有贡献。）

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。