中心研究 | 位置数据合规要点—详细梳理谷歌与四十州和解案
全文共计约9000字,细读时间约20分钟
文 | 姬祥,中国信通院互联网法律研究中心研究员
CIPP/US CIPP/E
2022年11月14日,在经历长达四年的调查和谈判后,由美国俄勒冈州、内布拉斯加州司法部长牵头的40州司法部长联盟宣布,双方就谷歌涉嫌违法处理用户地理位置数据一案达成三亿九千一百五十万美元的和解协议,成为美国互联网隐私保护领域历史上由司法部长牵头的案件中和解金数额最大的案件。调查主要指向谷歌涉嫌的四类违法行为:一是关于位置历史数据处理情况的虚假陈述;二是关于网络和应用程序活动的虚假陈述;三是关于用户通过谷歌账户控制个人隐私能力的虚假陈述;四是关于个性化广告设置的虚假陈述。一方面,本案调查时间较长,涉及数据性质敏感,影响人数众多,涉案金额巨大,可以为涉及相关数据处理活动的我国互联网企业敲响警钟。另一方面,在和解协议中,各州司法部长与谷歌就此后其位置数据处理等行为商定的具体条款可以成为指导我国互联网企业的良好实践。为此,笔者结合和解协议文本和相关诉讼文件,对本案进行简要梳理,以期为理论界和实务届同仁提供参考。如有错漏,还请多多指正!
目录
一、案件背景
二、和解协议定义部分
三、谷歌关于用户位置数据的处理活动
四、调查事实:谷歌的四类虚假陈述行为
(一)谷歌关于位置历史的虚假陈述
(二)谷歌关于网络和应用程序活动的虚假陈述
(三)谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述
(四)谷歌关于个性化广告设置的虚假陈述
五、谷歌在和解协议中作出的合规承诺
(一)保障用户知情权
(二)提高用户控制能力
(三)限制位置信息的使用和留存
(四)进行影响评估
(五)上报合规报告
(六)支付和解金
一、案件背景
二、和解协议定义部分
三、谷歌关于用户位置数据的处理活动
四、调查事实:谷歌的四类虚假陈述行为
(二)谷歌关于网络和应用程序活动的虚假陈述
(三)谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述
(四)谷歌关于个性化广告设置的虚假陈述
五、谷歌在和解协议中作出的合规承诺
(一)保障用户知情权
第一,位置信息处理规则的告知方式。
第二,位置信息处理规则的具体内容。
(二)提高用户控制能力
(三)限制位置信息的使用和留存
(四)进行影响评估
(五)上报合规报告
(六)支付和解金
参考文献
[1]De Montjoye, Yves-Alexandre, César A. Hidalgo, Michel Verleysen, and Vincent D. Blondel. "Unique in the crowd: The privacy bounds of human mobility." Scientific reports, 2013, Vol.3, No.1, pp.1-5,at https://www.nature.com/articles/srep01376.
[2] https://apnews.com/article/north-america-science-technology-business-ap-top-news-828aefab64d4411bac257a07c1af0ecb
[3] https://www.azag.gov/press-release/attorney-general-mark-brnovich-achieves-historic-85-million-settlement-google
[4] 哥伦比亚特区诉谷歌的诉状,请见:https://oag.dc.gov/sites/default/files/2022-01/DCv.Google%281-24-22%29.pdf;印第安纳州诉谷歌的诉状,请见:https://content.govdelivery.com/attachments/INAG/2022/01/24/file_attachments/2055802/Google%20-%20Complaint%20-%20PUBLIC%20Redacted.pdf;德克萨斯州诉谷歌的诉状,请见:https://www.texasattorneygeneral.gov/sites/default/files/images/executive-management/Google%20Geolocation%20Original%20Petition-fm.pdf;华盛顿州诉谷歌的诉状,请见:https://agportal-s3bucket.s3.amazonaws.com/uploadedfiles/Another/News/Press_Releases/2022_01_24FinalRedactedComplaint.pdf;
[5] Printed Publications的定义,请参见:https://www.uspto.gov/web/offices/pac/mpep/s2128.html.
往期精彩回顾
(滑动浏览)中心研究 | 对个人数据价值释放的追求,各利益团体的努力和妥协——简评《美国数据隐私和保护法案》中心解读 | 国家互联网信息办公室依法对滴滴公司进行处罚,切实规范平台经济健康发展
中心解读 |《数据出境安全评估办法》发布,数据处理者应如何开展安全评估?
中心研究 | 中国参与数据跨境流动国际规则的挑战与因应
中心研究 | 域外关于数据所有权法律问题的探讨
中心研究 | 关于数据伦理国内外研究评述与发展动态分析
域外观察 | 为什么2022年只是人工智能规制的开始?
中心研究|元宇宙中的潜在法律问题研究中心研究 | 美国私营部门隐私保护成文法框架概述中心研究 | 欧洲议会表决通过《数字服务法》草案修正案,九大变化强化平台监管治理拜登政府执政一周年观察(一):美国数字经济领域反托拉斯工作要点分析及趋势判断中心研究 | 简评美国伊利诺伊州Cothron诉White Castle指纹识别信息侵权案
中心会议 | 算法治理研讨会暨《算法治理蓝皮书》发布会在北京顺利召开(后附蓝皮书原文与解读)新书推荐 |《个人信息保护立法研究》
年度观察 | 2021年网络法治盘点与回顾(一):平台治理篇
年度观察 | 2021年网络法治盘点与回顾(二):个人信息保护篇
域外观察 | 韩国率先发布全球首部《数据基本法》,大力发展数据产业
域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订
中心解读|《个人信息保护法》与GDPR的个人信息权利对比
中心研究|十问十答看懂我国个人信息去标识化规则中心研究 | 透视“数字守门人”制度:对大型平台的事前监管机制
中心研究|美国打压我国科技公司的政策工具梳理
中心研究|关于APP与关联方共享个人信息问题研究
中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究 | 《个人信息保护法》实施一周年观察之数据保护带来的成本究竟几何