中心研究 | 位置数据合规要点—详细梳理谷歌与四十州和解案

Original 信通院互联网法律研究中心 CAICT互联网法律研究中心 2024-01-09

全文共计约9000字，细读时间约20分钟

文 | 姬祥，中国信通院互联网法律研究中心研究员

CIPP/US CIPP/E

【编者按】

2022年11月14日，在经历长达四年的调查和谈判后，由美国俄勒冈州、内布拉斯加州司法部长牵头的40州司法部长联盟宣布，双方就谷歌涉嫌违法处理用户地理位置数据一案达成三亿九千一百五十万美元的和解协议，成为美国互联网隐私保护领域历史上由司法部长牵头的案件中和解金数额最大的案件。调查主要指向谷歌涉嫌的四类违法行为：一是关于位置历史数据处理情况的虚假陈述；二是关于网络和应用程序活动的虚假陈述；三是关于用户通过谷歌账户控制个人隐私能力的虚假陈述；四是关于个性化广告设置的虚假陈述。一方面，本案调查时间较长，涉及数据性质敏感，影响人数众多，涉案金额巨大，可以为涉及相关数据处理活动的我国互联网企业敲响警钟。另一方面，在和解协议中，各州司法部长与谷歌就此后其位置数据处理等行为商定的具体条款可以成为指导我国互联网企业的良好实践。为此，笔者结合和解协议文本和相关诉讼文件，对本案进行简要梳理，以期为理论界和实务届同仁提供参考。如有错漏，还请多多指正！

一、案件背景

二、和解协议定义部分

三、谷歌关于用户位置数据的处理活动

四、调查事实：谷歌的四类虚假陈述行为

（一）谷歌关于位置历史的虚假陈述

（二）谷歌关于网络和应用程序活动的虚假陈述

（三）谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述

（四）谷歌关于个性化广告设置的虚假陈述

五、谷歌在和解协议中作出的合规承诺

（一）保障用户知情权

（二）提高用户控制能力

（三）限制位置信息的使用和留存

（四）进行影响评估

（五）上报合规报告

（六）支付和解金

一、案件背景

2013年，Yves-Alexandre等研究人员在Nature子刊Scientific Reports上发布了名为Unique in the Crowd: The privacy bounds of human mobility的文章。[1]这项针对150万人进行为期15个月的研究表明，即使简单匿名数据集（simply anonymized dataset）中不包括姓名、家庭住址、电话号码或其他明显的标识符，但只要个人的行为模式（patterns）足够独特，就可以将外部信息与数据集当中的信息结合起来联系到特定个人。研究进一步提出了相关的数学模型，指出在每小时记录位置（位置精度等同于运营商天线记录的位置精度）的数据集当中，四个时空点的集合就足以唯一地识别95%的个人，并且移动轨迹（mobility traces）的唯一性大约随着位置精度的1/10次方进行衰减，也即位置精度更低的粗略数据集也难以满足匿名化的要求。研究证明，人类移动轨迹的独特性很强，这种独特性意味着即使在稀疏、大规模和粗略的移动数据集中，也只需要很少的外部信息来重识别目标个体的移动轨迹，从而强调了人类移动轨迹对于个人隐私的重要性。

2018年8月13日，美联社发表名为Google tracks your movements, like it or not的报道，[2]在普林斯顿大学计算机科学研究人员的支持下，证明谷歌通过不同的方式误导用户对关于其位置历史数据的处理情况的认知，这一行为使得用户不具备“合理的隐私期待”。这篇报道引起了多州司法部长的关注，认为谷歌涉嫌实施各州消费者保护法中所谴责的“欺骗性和不公平性的做法”。随后，由俄勒冈州、内布拉斯加州司法部长牵头，多州司法部长加入，逐步发展成40州司法部长的联合调查，指向谷歌在2014年至2020年中有关用户地理位置数据的处理行为。经过四年的调查和谈判，双方最终于2022年11月14日达成了三亿九千一百五十万美元的和解协议，成为美国互联网隐私保护领域历史上由司法部长牵头的案件中和解金数额最大的案件。除此之外，2020年，亚利桑那州司法部长针对谷歌的类似行为以及以“暗模式”（Dark Patterns）操纵用户的行为提起了诉讼，双方于2022年10月达成了8500万美元的和解协议。[3]2022年1月，哥伦比亚特区、印第安纳州、德克萨斯州和华盛顿州司法部长合作，亦针对谷歌的类似行为在各州提起了单独的诉讼。[4]

接下来，本文将结合和解协议文本及相关诉讼文件，对本案进行简要梳理。

二、和解协议定义部分

1、“清楚和明确”（Clear and Conspicuous）：指的是容易被用户注意（easily noticeable）以及容易被用户理解（easily understandable）的信息披露（disclosure）。下列情况下，该等信息披露被认为是清楚和明确的：

（1）在文本通信中（例如，在计算机或移动设备上显示的印刷出版物Printed Publications或字词words，笔者理解，此处的Printed Publications参考了知识产权法中的相关表述），[5]该等信息披露应当在字体类型、字体大小、展示位置等方面足以让用户注意到并能够阅读和理解，并与所在背景形成高度的对比；

（2）在通过口头或声音方式传播的通信中（例如，无线电或者流媒体音频），该等信息披露应当在音量、节奏等方面足以让用户听到和理解；

（3）在通过视频方式传播的通信中（例如，电视或流媒体视频），该等信息披露应当以符合前述文本通信要求的形式进行，并应当与通信中使用的主要语言相同的语言展示在屏幕上，持续时间应当足以让用户阅读和理解；

（4）在所有情况下，该等信息披露都必须：（a）以可理解的语言和句法提供；以及（b）不包括与谷歌提供的任何其他声明或披露相反的、不一致的或者存在义务减免的内容；

（5）该等信息披露必须能够被残障用户合理地访问。对于在线的信息披露而言，谷歌必须考虑例如万维网联盟2018年6月2.1版的《网络内容可访问性指南》等行业标准，但本合规承诺中的任何内容均不排除谷歌如何确定以产品为基础的信息的合理访问。

2、“明确的肯定性同意”（Express Affirmative Consent）：指的是用户在收到有关重要事实的“清楚和明确”的信息披露后，作出的肯定性的行为或声明。

3、“位置历史”（Location History）：指的是一种账户设置，一旦启用，将会自动保存用户在谷歌服务器上的存在位置（Location of Presence），并可以在地图上以可视格式显示用户的存在位置。

4、“存在位置”（Location of Presence）：指的是用户或者设备在某一时间节点的物理位置。

5、“位置信息”（Location Information）指的是用于识别用户或设备的存在位置的任何信息或数据，包括但不限于GPS坐标、IP地址、基站数据、无线互联网接入点（Wi-Fi数据）、蓝牙数据等。

6、“与位置相关的账户设置”（Location-related Account Setting）：是指位置历史、网络和应用程序活动，或谷歌在本和解协议生效后部署的在位置信息的收集、留存和使用方面与位置历史、网络和应用程序活动具有相同或基本相同功能的任何其他账户设置。

7、“精确位置信息”（Precise Location Information）：指的是用户或者设备的纬度和经度。

8、“弹出式通知”（Pop-up Notification）：指的是用户在与谷歌产品或服务交互期间可查看的通知，或者是谷歌通过安装在用户设备上的应用程序推送给用户的通知。

9、“网络和应用程序活动”（Web & App Activity）：指的是将用户在某些谷歌站点和应用程序上的活动（包括某些类型的位置信息）保存到用户账户的账户设置。网络和应用程序活动记录了登录用户的“交易位置”（Transactional Location），即用户与某些谷歌产品交互时的设备位置。

三、谷歌关于用户位置数据的处理活动

在登录了谷歌账户的设备上，谷歌通过谷歌账户设置收集包括用户位置历史（Location History）和网络与应用程序活动（Web & App Activity）在内的用户数据。其中，位置历史记录了登录用户的存在位置（Location of Presence），此类位置历史包含不同的位置传感器记录的数据项，包括GPS数据、基站数据、Wi-Fi数据和蓝牙数据。谷歌应用内部工具来分析位置历史中的位置信息（Location Information），并将这些信息记录在用户的谷歌账户中。

通过将位置历史数据与其他用户数据联系起来，谷歌可以得出用户的数据画像，以向该用户展示个性化广告。通过向广告商提供“商店转换率”（Store Conversion Rates，即观看广告后访问广告商店的用户数量），谷歌可以将位置历史数据货币化，在用户点击数字广告后跟踪用户物理位置的能力是其广告业务的一个独特卖点。

网络与应用程序活动是一个独立的谷歌账户设置，也用于收集和存储用户的位置信息。不同的是，位置历史被动地收集用户移动的位置信息，网络与应用程序活动主动地记录用户在谷歌搜索或者谷歌地图等特定谷歌产品互动时的位置信息。同样地，谷歌将网络与应用程序活动数据货币化，以推断用户的习惯和兴趣以用于广告目的。值得注意的是，位置历史和网络与应用程序活动在谷歌账户设置中是相互独立的，禁用其中一个设置不会影响另一个启用的设置收集和存储用户的位置信息。并且，谷歌无限期地保留了与这些设置相关的存储数据，除非用户进行手动删除。

谷歌还为用户提供了与个性化广告相关的账户设置——个性化广告选项（Ads Personalization）。谷歌表示，启用此设置将意味着“谷歌可以根据您在谷歌服务（例如：搜索、YouTube）以及与谷歌合作的网站和应用程序上的活动向您显示广告。”但调查表明，即使用户禁用了个性化广告选项，谷歌也会继续根据用户的位置信息向用户投放定向广告。谷歌账户设置适用于消费者用来访问谷歌产品和服务的多个设备，当用户在不同设备之间切换时，此类设置会跟随用户。

调查显示，从2014年到2019年，谷歌歪曲和遗漏了有关位置历史和网站和应用程序活动设置的重要信息。这些虚假陈述和遗漏使用户对谷歌如何在用户不知情的情况下捕获、存储和使用位置信息感到困惑，谷歌在没有保障用户知情权或取得用户同意的情况下使用了此类数据。

四、调查事实：谷歌的四类虚假陈述行为

（一）谷歌关于位置历史的虚假陈述

谷歌向用户提供位置历史有关的设置作为用户控制谷歌收集和存储其位置信息的手段。调查显示，至少在2018年中之前，对于Android设备用户而言，谷歌在关于位置历史的公共帮助页面上声明“您可以随时关闭位置历史，关闭位置历史后，您所去过的地方将不再被存储。”对苹果设备用户而言，谷歌声明，用户可以选择“停止存储位置”将位置历史关闭以“停止存储新的位置信息。”但即使用户禁用了位置历史，谷歌也可以根据用户设置，以以下方式跟踪和存储用户的位置：

（1）其他谷歌账户设置，例如网络和应用程序活动；

（2）谷歌位置服务，例如Google Location Accuracy，一种设备级功能，可以“向应用程序提供设备位置”；

（3）用户移动设备上的其他谷歌应用程序；

（4）用户的IP地址；

（5）由谷歌的营销活动合作伙伴以及其他第三方应用程序收集或者共享的数据。

调查发现，谷歌鼓励用户打开默认设置为“关闭”的位置历史开关的声明存在欺骗性的暗示，即暗示用户仅有该设置能够控制谷歌是否存储用户的位置信息。例如，在不同的时间，谷歌告诉用户，启用位置历史将：“允许谷歌保存你的位置”；允许谷歌存储和使用“你去过的地方”；授权谷歌“定期存储你的位置”；允许谷歌“存储你的位置历史”；或允许谷歌“在你的账户中保存和管理你的位置信息”。

（二）谷歌关于网络和应用程序活动的虚假陈述

网络和应用程序活动会在用户与某些谷歌产品交互时收集某些类型的位置信息。例如，用户使用Google Assistant搜索时，网络和应用程序活动会保存用户发出查询指令时的位置和时间。除此之外，谷歌还收集和存储可以间接地揭露（implicitly reveal）用户位置的信息，例如用户在谷歌地图中输入的地点。

所有谷歌账户都默认开启网络和应用程序活动，并且用户通过该设置被自动选择加入位置跟踪，除非用户主动禁用。直到2018年，谷歌甚至没有在账户设置时提及网络和应用程序活动，更不用说向用户披露这样的设置控制了谷歌对某些类型位置信息的存储和使用。只有当用户碰巧导航到名为“My Activity”的单独网页时，才能够知晓网络和应用程序活动正在存储位置信息。谷歌的隐私政策也未提及网络和应用程序活动，例如，2017年12月18日版本的谷歌隐私政策列出了谷歌“可能收集和处理”的“您的实际位置”信息的例子，包括特别提到“位置历史允许谷歌存储你的位置数据的历史”，但并未提及网络和应用程序活动。此外，谷歌通常仅将网络和应用程序活动描述为允许谷歌存储和使用谷歌搜索历史、Chrome浏览器活动和谷歌应用程序上的活动的设置，而不提及位置信息。

2018年，谷歌修改了其谷歌账户设置流程，加入了禁用网络和应用程序活动的选项。然而，谷歌继续向新用户隐瞒网络和应用程序活动捕捉到的位置信息。至少在2018年年中之前，用户仅能通过“更多选项”中的“了解更多”才能知晓关于网络和应用程序活动设置的有关信息。

（三）谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述

调查显示，谷歌在账户设置和独立网页中均声明，用户对于个人信息的处理具备控制能力。此类声明使得用户将谷歌账户设置理解为允许用户控制谷歌收集和使用其个人信息的工具。但事实上，谷歌的声明仅适用于当前账户设置中的特定情况，而非全局适用。除此之外，谷歌还刻意隐瞒了一些事实，例如，以前被称为“My Activities”的网页只公示了当用户与部分谷歌产品（例如，搜索、助手和地图）交互时存储的某些类型位置信息。但是，无论用户是否禁用了网络和应用程序活动或位置历史，当用户与某些产品和服务（例如电影和电视、音乐、YouTube和商店）交互时，谷歌还会在没有告知用户的情况下收集、存储和使用用户位置信息。除此之外，对于登录到谷歌账户的用户，即使用户尚未启用网络和应用程序活动或位置历史，谷歌在一些情况下也会将这些信息与用户的账户相关联。当未登录用户使用谷歌产品时，谷歌也会在同样的设置下收集位置信息，并且与假名标识符相关联。直到2018年5月，谷歌才在其隐私政策中披露了未登录用户的个人信息处理情况，但并未为此类用户提供控制手段。

调查显示，与其行为相比，谷歌的声明误导了用户的认知。由于谷歌的误导性陈述以及设置的非全局影响性，用户禁用或启用某项谷歌账户设置并不能够控制谷歌是否收集、存储或使用用户的位置信息。由于谷歌对某些处理活动的刻意隐瞒，即使用户禁用所有相关的谷歌账户设置或注销谷歌账户也不能有效地阻止谷歌存储和使用用户的位置信息。因此用户不具备谷歌声明中用户对其个人隐私的控制能力。

（四）谷歌关于个性化广告设置的虚假陈述

调查显示，谷歌在关于个性化广告设置的声明中也存在欺骗性和不公平性的做法。根据谷歌的声明，启用个性化广告将“使得谷歌可以根据用户的谷歌账户活动，在谷歌的服务以及与谷歌合作的网站和应用程序上向用户展示更相关的广告”。在解释这一设置时，谷歌向用户表示，用户应该“让谷歌知道他们的位置”，这样“他们就不会收到其他地区商店的广告”。与前述行为一样，谷歌的声明误导了用户，使得用户误以为禁用个性化广告选项就可以组织谷歌利用其位置信息，但事实上，无论用户是否禁用该选项，谷歌仍根据用户的位置信息进行广告投放。

综上所述，各州司法部长认为，谷歌的行为构成了欺骗性和不公平性的行为和做法，违反了各州消费者保护法。

五、谷歌在和解协议中作出的合规承诺

在和解协议中，谷歌就此后的行为作出了一般性的合规保证，承诺不会在位置历史和网络应用程序活动中就个人用户的位置信息向用户进行虚假陈述，并且采取以下措施合规使用用户的地理位置数据：一是保障用户知情权。谷歌必须在调用相关权限、用户创建账户等情况下向用户披露地理位置信息的使用情况，并告知用户如何进行关闭、删除等限制措施。除此之外，谷歌还应当设置单独的网页披露位置信息的处理情况。二是提高用户控制能力。谷歌必须为用户提供禁用有关位置信息功能的能力，以及便捷地删除位置信息的选项。三是限制位置信息的使用和留存。谷歌必须在取得用户明确的肯定性同意后才能将位置信息与第三方共享，并且在收集位置信息的30日内将其删除。四是影响评估。谷歌必须在实质性的改变位置信息处理方式之前进行内部的隐私保护影响评估并记录评估结果。五是进行合规报告。谷歌必须在和解协议生效后的18日内进行初次合规报告，并在接下来的四年内进行年度合规报告。六是支付和解金。谷歌必须在限期内向各州支付总计三亿九千一百五十万美元的和解金。具体说来：

（一）保障用户知情权

第一，位置信息处理规则的告知方式。

（1）谷歌必须采用“弹出式通知”（Pop-up Notification）的方式，向用户披露相关的账户设置是否收集位置信息，并且指导用户如何禁用相关选项、删除相关数据以及设置数据留存限制；

（2）在和解协议生效后的30日内，谷歌必须向已启用相关账户设置的用户发送电子邮件，披露前述信息；

（3）谷歌位置技术页面（Location Technologies Page）必须在设计和展示上以清楚和明确的方式进行信息披露；

（4）谷歌必须以用户无法避开（avoid）的方式披露和解协议载明需要披露的信息；

（5）谷歌必须通过电子邮件的方式，通知用户谷歌的隐私政策在收集、使用和存储位置信息方面的任何实质性变化；

（6）谷歌必须在其隐私政策中载明一个指向位置技术页面的超链接。

第二，位置信息处理规则的具体内容。

（1）谷歌必须在专门的位置技术页面上披露如下信息：

（a）谷歌收集的位置信息的种类；

（b）谷歌收集的位置信息的来源；

（c）谷歌收集和留存的位置信息是否（如是，在何种情况下）为精确的位置信息；

（d）与位置相关的谷歌账户设置如何影响位置信息的收集、留存和/或使用，此类设置是否适用于链接到同一账户的不同设备；

（e）用户如何以及在何种程度上能够限制谷歌收集或留存其位置信息，包括当与位置相关的账户设置被禁用或暂停时，谷歌收集、保留或使用用户位置信息的程度；

（f）用户如何查阅有关其地理位置的账户设置的当前设置状态，以及如何禁用此类设置；

（g）谷歌收集或获取用户位置信息的目的，包括位置信息如何用于广告投放、研究目的、趋势分析和创建用户画像；

（h）用户如何以及在何种程度上能够限制谷歌对用户位置信息的使用，包括用户不能阻止谷歌在个性化广告中使用用户位置信息的事实；

（i）谷歌对每种类型的位置信息的默认保留期限，以及谷歌保留位置信息的原因；

（j）用户如何在谷歌账户中为其位置信息设置自动保留和删除期限，包括指向控制手段的链接；

（k）位置信息如何以及在何种程度上可以：（k.1）被用户删除；（k.2）被用户请求删除；（k.3）被谷歌自动删除；

（l）是否从注销（signed out）账户的用户处收集了位置信息，如是，收集了哪些类型的位置信息，如何保留和/或使用该位置信息，以及注销账户的用户是否能够限制收集、删除此类位置信息，如是，如何限制收集、删除此类位置信息；

（m）用户重置任何使用位置信息的假名标识符或模糊标识符的能力；

（n）在单独的网页上描述，当用户删除位置信息时，谷歌位置信息相关的账户设置在多大程度上会假名化、匿名化或去识别化收集或存储的此类位置信息；

（2）作为选择加入位置历史流程（笔者理解，此处指的是启用位置历史功能时）的一部分，谷歌必须披露此前存储在位置历史中已经去识别化或去标识化的位置信息。这项披露必须满足清楚和明确的要求，并在用户启用或提示用户启用位置历史时，于用户账户“数据和隐私页面”（Account Data & Privacy Page）中或谷歌产品的使用中向用户进行展示。

（3）当用户启用或者提示用户启用与位置相关的账户设置时，谷歌必须以清楚和明确的方式披露如下信息：

（a）指向位置技术页面的超链接；

（b）以下与位置相关的账户设置的信息：（b.1）位置信息的来源；（b.2）收集、留存、使用位置信息的目的；（b.3）当设置启用时，存储位置信息的留存期限，以及用户可用的删除控件；（b.4）是否在用户未使用特定谷歌服务时收集位置信息。

（4）当用户启用或提示用户启用位置历史时，于用户账户“数据和隐私页面”以清楚和明确的方式披露以下信息：

（a）指向位置技术页面的超链接；

（b）；以下与位置相关的账户设置的信息：（b.1）位置信息的来源；（b.2）收集、留存、使用位置信息的目的；（b.3）当设置启用时，存储位置信息的留存期限，以及用户可用的删除控件；（b.4）是否在用户未使用特定谷歌服务时收集位置信息。

（5）谷歌必须在其账户创建流程中包括以下内容：

（a）在用户创建账户前，以清楚和明确的方式披露位置信息的收集、留存和使用，包括但不限于GPS、IP地址、设备传感器数据、Wi-Fi数据和蓝牙数据，并取得用户同意；

（b）指向位置技术页面的超链接；

（c）以一个额外的对话框，建议用户默认启用与位置相关的账户设置，包括网络和应用程序活动，并为用户提供禁用这些设置的选项；

（d）对于默认启用的网络和应用程序活动以及任何其他与位置相关的账户设置，谷歌必须披露：（b.1）位置信息的来源；（b.2）收集、留存、使用位置信息的目的；（b.3）当设置启用时，存储位置信息的留存期限，以及用户可用的删除控件；（b.4）是否在用户未使用特定谷歌服务时收集位置信息；

（二）提高用户控制能力

1、谷歌必须在账户数据和隐私页面中添加以下表述，以帮助用户识别与位置相关的账户设置控件：“位置信息根据您的设置进行保存和使用。了解更多信息。”谷歌必须在账户数据和隐私页面上保留本段所需的表述（如果账户数据和隐私页面的名称更改，则在包含相同内容的新命名页面上）。

2、谷歌必须允许用户禁用与位置相关的账户设置，以及删除该设置存储的位置信息，这一禁用过程必须在单一、连续的流程中实现，而不需要导航到单独的界面或页面。

（三）限制位置信息的使用和留存

1、除非获得用户明确的肯定性同意（Express Affirmative Consent），谷歌应当避免与第三方广告商共享用户的精确位置信息（Precise Location Information）。美国联邦、州或地区的法律、法规中另有规定的除外；

2、谷歌应当在从设备、网络和应用程序活动中的IP地址中收集位置信息的30日内将该等位置信息自动删除；

3、谷歌应当继续在以电子邮件通知非活跃用户的180日后自动删除其位置历史，除非用户采取措施保存其数据，其中：

（a）谷歌必须在用户被判定为非活跃状态后的90日内发送前述电子邮件通知；

（b）对于已经被判定为非活跃状态的用户，谷歌应于和解协议生效之日起30日内发送前述电子邮件通知。

（四）进行影响评估

1、和解协议生效后，谷歌应当对任何在位置历史或网络和应用程序活动中使用精确位置信息的实质性变化在内部进行隐私影响评估。

2、和解协议生效后，谷歌应当对共享在位置历史或网络和应用程序活动中收集的精确位置信息的实质性变化在内部进行隐私影响评估。

3、前述内部评估必须在谷歌内部以书面形式记录。

（五）上报合规报告

1、和解协议生效之日起180日内，谷歌应当编制一份报告（初始合规报告，Initial Compliance Report）对其遵守本和解协议项下承诺的情况进行详细说明。初始合规报告应当包括所有相关的实施日期以及任何所需披露的文本副本。此后，谷歌应当在和解协议生效之日起至第四年的期间内，每年编制年度合规报告（Annual Compliance Report）。

除此之外，谷歌应当按照和解协议中的条款向各州司法部长提交符合要求的合规报告。

（六）支付和解金

1、谷歌应当于不迟于和解协议生效后的30日内，向各州支付总额为三亿九千一百五十万美元的和解金。

2、宾夕法尼亚州收到的和解金款项，将用于以下用途，包括但不限于：支付律师费和其他调查、诉讼所需费用；存入或用于任何消费者保护相关的执法基金，用于未来的消费者保护或隐私保护执法行动、消费者教育、消费者救济、诉讼、当地消费者援助基金、循环基金，和/或州法律允许的其他用途。

参考文献

[1]De Montjoye, Yves-Alexandre, César A. Hidalgo, Michel Verleysen, and Vincent D. Blondel. "Unique in the crowd: The privacy bounds of human mobility." Scientific reports, 2013, Vol.3, No.1, pp.1-5,at https://www.nature.com/articles/srep01376.

[2] https://apnews.com/article/north-america-science-technology-business-ap-top-news-828aefab64d4411bac257a07c1af0ecb

[3] https://www.azag.gov/press-release/attorney-general-mark-brnovich-achieves-historic-85-million-settlement-google

[4] 哥伦比亚特区诉谷歌的诉状，请见：https://oag.dc.gov/sites/default/files/2022-01/DCv.Google%281-24-22%29.pdf；印第安纳州诉谷歌的诉状，请见：https://content.govdelivery.com/attachments/INAG/2022/01/24/file_attachments/2055802/Google%20-%20Complaint%20-%20PUBLIC%20Redacted.pdf；德克萨斯州诉谷歌的诉状，请见：https://www.texasattorneygeneral.gov/sites/default/files/images/executive-management/Google%20Geolocation%20Original%20Petition-fm.pdf；华盛顿州诉谷歌的诉状，请见：https://agportal-s3bucket.s3.amazonaws.com/uploadedfiles/Another/News/Press_Releases/2022_01_24FinalRedactedComplaint.pdf；

[5] Printed Publications的定义，请参见：https://www.uspto.gov/web/offices/pac/mpep/s2128.html.

END

域外观察 | 韩国迎来《个人信息保护法》颁布以来的首次全面修订

继续滑动看下一个

CAICT互联网法律研究中心

大摩宏观策略谈：2025中美变局展望

假设，你遇到麦琳怎么办？

2024年心理咨询师报名通道开启！可考心理证书，无需辞职，名额有限，11月30日截止报名！！！

穿了跟没穿一样，胸型赞到爆！天然乳胶，性感到让男人腿软！

高三女生醉酒后被强奸致死？检方回应

中心研究 | 位置数据合规要点—详细梳理谷歌与四十州和解案

一、案件背景

二、和解协议定义部分

三、谷歌关于用户位置数据的处理活动

四、调查事实：谷歌的四类虚假陈述行为

（二）谷歌关于网络和应用程序活动的虚假陈述

（三）谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述

（四）谷歌关于个性化广告设置的虚假陈述

五、谷歌在和解协议中作出的合规承诺

（一）保障用户知情权

第一，位置信息处理规则的告知方式。

第二，位置信息处理规则的具体内容。

（二）提高用户控制能力

（三）限制位置信息的使用和留存

（四）进行影响评估

（五）上报合规报告

（六）支付和解金

您可能也对以下帖子感兴趣

大摩宏观策略谈：2025中美变局展望

假设，你遇到麦琳怎么办？

2024年心理咨询师报名通道开启！可考心理证书，无需辞职，名额有限，11月30日截止报名！！！

穿了跟没穿一样，胸型赞到爆！天然乳胶，性感到让男人腿软！

高三女生醉酒后被强奸致死？检方回应

生成图片，分享到微信朋友圈

中心研究 | 位置数据合规要点—详细梳理谷歌与四十州和解案

一、案件背景

二、和解协议定义部分

三、谷歌关于用户位置数据的处理活动

四、调查事实：谷歌的四类虚假陈述行为

（二）谷歌关于网络和应用程序活动的虚假陈述

（三）谷歌关于用户通过谷歌账户设置控制其隐私的能力的虚假陈述

（四）谷歌关于个性化广告设置的虚假陈述

五、谷歌在和解协议中作出的合规承诺

（一）保障用户知情权

第一，位置信息处理规则的告知方式。

第二，位置信息处理规则的具体内容。

（二）提高用户控制能力

（三）限制位置信息的使用和留存

（四）进行影响评估

（五）上报合规报告

（六）支付和解金

您可能也对以下帖子感兴趣