【律师视点】周杨、江智茹、杨雪娇 | 谷歌又遇巨额索赔：网站和第三方插件的合规警示

2020年6月2日，谷歌及其母公司Alphabet在加州北区法院被提起一项集体诉讼，被指控在用户使用无痕模式的谷歌浏览器的情况下依然通过Google Analytics、Google Ad Manager及其他应用程序和网页插件来收集用户的网页浏览信息，并因此被索赔至少50亿美元的损害赔偿。

在起诉书的事实指控部分^[1]，原告指出当网站经营者使用Google Analytics这一工具时，谷歌会要求网站在其网页代码中嵌入Google Analytics的自定义代码。当用户访问网站时，用户的浏览器会向网站发送一个请求（HTTP GET），网站服务器使用计算机代码脚本响应该请求，以显示网站的内容。当用户的浏览器加载网站内容时，就会同时读取网页代码和Google Analytics的自定义代码。并且，谷歌将Google Analytics代码设计成当它运行时就会导致用户的浏览器就会向谷歌发送用户ID地址、URL地址、正在浏览网站的具体页面，以及其它用户设备和浏览器信息，以响应用户从网站获取信息的请求。而这一切是在用户完全不知情的情况下进行的。谷歌也没有要求网站事先向访问者披露谷歌正在收集他们的信息，谷歌也未告知它的用户哪些网站安装了Google Analytics。对于用户来说，其无法采取一个有效方式来阻止Google Analytics收集他/她的个人信息。

除了Google Analytics，Google Ad Manager也以同样的方式运行和收集网站访问者的个人信息，此外，Google Ad Manager的代码还告诉用户浏览器应该在网站内容中显示何种谷歌广告，而这些广告是代表谷歌的广告客户提供的。

但谷歌却在其隐私政策里，多次保证用户可以“控制”与谷歌共享的信息，并且可以匿名形式上网，与网站之间的通信不会被“窃听”。谷歌在隐私政策^[2]里明确表明“您也可以选择通过使用无痕模式的谷歌浏览器（Chrome）匿名浏览网页。在我们的服务中，您可以通过调整您的隐私设置来控制我们收集和如何使用您的个人信息。”

原告称，尽管谷歌在隐私政策里表示用户可以控制谷歌可以跟踪和收集的信息，但谷歌的各种跟踪工具，包括Google Analytics和Google Ad Manager，实际上是设计用来在用户访问网页时进行跟踪的，无论用户选择什么隐私设置。即使用户使用浏览器无痕模式浏览网页也是如此。

起诉状称，原告和集团诉讼成员在使用无痕模式的浏览器时对隐私有合理的期待，期待谷歌不会窃听、收集、记录、披露和以其它方式违法使用他们的个人通信信息（用户与网站之间的通信信息）。

原告认为谷歌在用户使用无痕模式浏览器浏览网页时跟踪和窃听用户通信信息是故意的，违反《联邦窃听法》。同时原告认为谷歌未经用户授权和同意在用户使用无痕模式浏览器浏览网页时跟踪和窃听用户网络通信的行为侵犯了用户隐私，违反《加州侵犯隐私法案》和加州宪法。

综上可见谷歌被诟病的点在于其未能履行好告知同意义务：（1）谷歌在用户不知情的前提下，通过网站部署Google Analytics等插件收集用户个人信息；（2）谷歌隐私政策错误表述让用户误以为使用浏览器无痕模式即可避免被收集个人信息，而实际上谷歌浏览器的收集行为不受用户对浏览器隐私设置的影响。

但无论上述哪一点，我们理解谷歌作为网络运营者是可以通过合理的告知义务来对数据收集进行合规化整改的。但谷歌应当在设计合规策略时考虑不同司法管辖区对于类同Google Analytics的插件的合规要求。

2.1 德国法院：网站运营者未获用户同意将个人信息共享给谷歌侵犯用户信息自决权

无独有偶，2019年德国德累斯顿地方法院也曾就Google Analytics作出一项判决^[3]。但与美国原告将矛头指向谷歌不同的是，德国这个案例中用户将使用Google Analytics的网站作为被告告上了法庭。

由于IP地址的传输一直受到数据保护者的批判，Google Analytics因此设计在源代码中增加了可以删除IP地址的后8位来实现对IP地址进行匿名化的可能。在该案中，网站在明知该种可能情形下，而未将原告的IP地址进行匿名化而直接共享给 Google Analytics。法院认为原告访问网站的行为不得视为原告的默认同意，在没有获得原告同意以及其它合法基础的情形下，被告网站违法将原告IP地址直接披露给谷歌，侵犯了原告的一般人格权中的信息自决权，要求被告立即停止侵权行为并赔偿原告的诉讼费用。

2.2 德国监管机构：谷歌和网站运营者是共同个人信息控制者

在汉堡数据保护和信息自由公署发布的《2019年数据保护行动报告》^[4]（以下简称为“报告”）中就如何使用Google Analytics和类似工具进行了说明。

首先，报告对德累斯顿法院案例进行了回应，指出即便对IP地址进行了匿名化也不能排除GDPR的适用。GDPR前言第30条指出，自然人可以通过他们的设备、应用程序、工具和互联网协议地址等提供的网络标识符、cookie标识符、以及其它标识符进行关联。这可能会留下痕迹，尤其是当与唯一标识符和其它服务器接收的信息相关联时，可用于创建自然人的个人资料并对其进行识别标识。据此报告指出，由于IP地址只是多个用户数据中的一个，单纯地通过缩短IP地址来实现匿名化并排除GDPR适用范围是不可能的。

其次，报告对网站运营者和谷歌之间属于委托处理关系、独立个人信息控制者还是共同个人信息控制者进行了分析说明。Google Analytics为网站运营者就用户访问行为进行数据分析，并要求网站运营者使用其推荐的标准设置，似乎网站运营者与谷歌之间为委托处理个人数据关系。但谷歌要求网站运营者与其签署的《控制方—控制方数据保护条款》^[5]却约定双方为独立的个人信息控制者，对各自独立的数据处理行为负责。报告对此进行了质疑，认为Google Analytics运行的技术过程即在用户访问页面时，网站在收集个人信息的同时也向谷歌传输个人数据，这个过程涉及的其实是同一个生活事实。

而且谷歌通过要求网站运营者使用推荐标准设置的方式与网站运营者（共同确定了Google Analytic的使用目的和方式）构成了GDPR第26条的“共同数据控制者”，即当两个或更多数据控制者共同确定个人信息处理的目的与方法时，它们为共同数据控制者。同时，GDPR第26条规定，共同数据控制者应通过合约方式确定各自在GDPR下的合规义务，特别是保障数据主体行使权利，以及根据GDPR第13条和第14条向数据提供与数据处理相关信息的义务。合约应充分反映共同数据控制者各自的职责和面对数据主体时共同数据控制者的关系，且共同数据控制者应告知数据主体该合约的实质内容。但不论前述合约安排的条款如何约定，数据主体都可以依据GDPR的有关规定向每一位数据控制者主张行使权利。

据此，汉堡数据保护和信息自由公署认为使用Google Analytics和类似工具服务时应根据GDPR第6条征求用户的同意。首先这要求网站运营者就设置与其提供服务而言非必要的代码或cookie等获得用户同意（网站-用户）。其次，谷歌也应该向网站运营者就通过cookie等工具保存和抓取以及通过用户终端获取用户数据负有采取可行的措施确保向用户提供透明全面的信息，并且用户对此表示同意的义务（谷歌-用户）。

3.1 网站与其部署的第三方插件构成共同个人信息控制者的情形及相关责任义务

现行中国数据保护相关规定并未明确界定共同个人信息控制者的含义，但GB/T 35273—2020《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”）明确，如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如，网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口）， 且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。

《个人信息安全规范》要求，当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；如个人信息控制者（网站）未向个人信息主体明确告知第三方（Google Analytics）身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者（网站）应承担因第三方引起的个人信息安全责任。

3.2 告知同意的内容及方式

同时，《信息安全技术 个人信息告知同意指南（征求意见稿）》附录B “SDK收集使用个人信息场景下的告知同意”，虽然主要列举的是APP直接集成SDK情况下收集使用个人信息的告知同意情形，且尚处于征求意见状态，但对网站运营者在部署第三方插件时应如何获取用户的授权同意也具有重要的参考意义。

《信息安全技术 个人系信息告知同意指南（征求意见稿）》明确，“当SDK提供者与宿主App运营者构成共同个人信息控制者时（即SDK提供者通过SDK直接收集个人信息，宿主App运营者同时也可以控制收集到的个人信息），SDK提供者应首先向宿主App运营者告知所收集的个人信息类型及收集使用的目的、范围等。宿主App运营者同意后方可集成SDK，宿主App运营者和SDK提供者各自或共同说明收集个人信息情况，并应征得个人信息主体同意。”

鉴此，插件运营者（谷歌）和宿主（APP、网站等）产品的运营者可以各自或共同向用户说明收集个人信息的情况，并应征得其同意。当插件运营者（谷歌）并未单独向个人信息主体征得收集个人信息的授权同意时，则可通过宿主（网站）产品的个人信息保护政策共同向个人信息主体说明个人信息收集使用情况，并征得个人信息主体的同意，这也是当前业内履行告知同意义务的通常做法。

无论是基于美国相关法律规定还是GDPR相关规定抑或者国内相关法律法规、标准的规定，谷歌在与部署了Google Analytics等插件的网站运营者的合作过程中，都属于个人信息（/数据）控制者角色，应按照其所适用的相关法律法规、标准及其与用户的约定收集使用个人信息并保障个人信息主体权利的有效实施。而在欧盟GDPR及国内相关数据保护法律规定项下，部署了Google Analytics等插件的网站运营者与谷歌构成共同个人信息控制者，此时，网站运营者及谷歌不仅需要按照各方达成的合同约定各自或共同向个人信息主体告知个人信息收集使用的目的、范围，还应向个人信息主体告知另一方的身份以及各自在个人信息安全方面应分别承担的责任和义务等，并征得个人信息主体的同意，否则在欧美将面临高额民事索赔、罚款，在国内也将面临被点名通报以及被有关部门给予警告、责令改正、处以罚款等行政处罚风险（详见下文案例表）。

周杨：网络用户协议基本释疑

周杨：数据合规律师对Facebook数据泄露事件的经验总结

周杨：GDPR实践笔记 | GDPR辖内，cookie应何去何从？

周杨、王森：跨境电商新政下的消费者权益保护讨论

周杨、张忠：从抖音被罚案审视未成年人个人信息保护——基于合规视角

周杨：信息保护标准解读系列之一 |《个人信息安全工程指南》解读

周杨、江智茹 | 隐私保护设计（PbD)：个人信息保护的学霸方法论

周杨、杨雪娇：“告知同意”原则的新发展及对保险业务数据应用带来的影响

周杨、张燕：电商平台信用评价制度实务问题探究

周杨、杨雪娇：电商平台主动审查义务及其合理边界

史蕾、江智茹：电商平台个性化展示如何做到便利与合规两相宜

江智茹：信息保护标准解读系列之四 |《信息安全技术智能家居安全通用技术要求》解读

杨雪娇：密码法草案——重塑商用密码管理制度