2018年5月25日和28日，CNIL收到两项分别由“None Of Your Business” (NOYB)和La Quadrature du Net（LQDN）非盈利组织根据GDPR第80条提出的集体投诉，NOYB与LQDN声称其代表的数据主体已累计达到9974人。

2018年6月，CNIL通过欧洲信息交换系统向欧洲其他监督机构提交上述投诉，以期根据GDPR第56条的规定确定主监督机构。

2018年9月21日，CNIL根据委员会主席于2018年9月20日作出的第2018-199C号决定，对Android移动设备进行了在线检查，通过分析用户的浏览模式，验证Google实施的处理操作是否符合GDPR。

2019年1月21日，CNIL认定GOOGLE存在两类违反GDPR的行为，一是违反透明原则和信息提供义务，二是违反了为个性化广告处理提供法律依据的义务，以此作出了本文开篇的处罚决定。

在该案件的调查过程中，Google认为谷歌爱尔兰公司应被视为其在欧盟境内的“主营业地”，因此爱尔兰数据保护机构应被视为该案件的主监督机构，而不是法国的CNIL。鉴于GDPR建立了“一站式服务机制”，当数据控制者在欧盟多个成员国都设有营业机构时，应确立一个“主监督机构”担任该控制者的数据跨境处理行为的执法主体。那么如何确立“主监督机构”？GDPR第4（16）条、Recital第36条、第二十九条工作组发布的《控制者或处理者的主监督机构识别指南》进行了相应规定。

一是数据控制者在欧盟境内设有中心管理机构的，且该中心管理机构能够决定并有能力实施个人数据的处理目的和方式的，则该中心管理机构所在地被视为数据控制者的主营业地，而该主营业地所在成员国的数据保护机构是“主监督机构”。

二是数据控制者在欧盟境内没有设立中心管理机构，可以通过以下要素来判断控制者的主营业地，进而确定主监督机构：

• 在哪里最终签字决定数据处理的目的和方式？

• 在哪里决策有关数据处理的业务活动？

• 有效实施决策的权力来源是哪里？

• 对跨境数据处理负有全面管理责任的董事（或董事们）的位置在哪里？

• 控制者或处理者如果仅在一个地区注册了公司，该地区是哪里？

• ……

在本案中，Google便声明谷歌爱尔兰公司是自2003年以来其欧洲业务的总部，爱尔兰公司设立了负责欧洲、中东和非洲这些业务所需的若干组织职能部门（总秘书处、税务、会计、内部审计等）。它还指出，与欧盟客户签订的所有广告销售合同均由该公司负责，该公司拥有超过3600名员工，并有专门负责隐私保护的人员。

CNIL没有采纳Google关于“主营业地”的抗辩，基于以下理由：

首先，GDPR及相关规定对“主营业地”的认定采用客观标准，核心在于“能够决定并有能力实施有关个人数据的处理目的和方式”。虽然谷歌爱尔兰公司是Google在欧盟的总部，但本案调查的行为是用户在配置Android移动设备期间创建Google账户的问题，而Android操作系统并不是由谷歌爱尔兰公司开发和运营的，爱尔兰公司对Google提供的在创建账户期间的处理操作没有决策权。因此谷歌爱尔兰公司不符合GDPR规定的“主营业地”。

其次，CNIL依据GDPR第55条享有执法权。Google在法国巴黎设有公司，拥有600名员工，2017年的营业额约为3.25亿欧元。2016年Android操作系统在法国拥有2700万用户，因此涉案事项影响了法国的数据主体。另外，NOYB与LQDN依法向CNIL申请了投诉，CNIL应当依法启动后续的程序，而不是置之不理。

最后，CNIL的执法程序符合GDPR的规定。基于上述原因，Google在欧盟境内并没有“中心管理机构”，因此CNIL收到投诉后，通过欧洲信息交换系统向欧洲其他监督机构提交了上述投诉，但其他监督机构对“主监督机构”的确立并不存在相互矛盾的观点，也没有任何监督机构或委员会主体认为有必要提请理事会，因此最终由CNIL该案件享有管辖权。

CNIL认为Google向用户提供的信息不符合GDPR第12条的透明原则，且没有向用户提供第13条规定的某些强制性信息，具体如下：

1、Google向用户提供信息的方式不符合“易于获取”的要求

具体而言，用户在创建Google账户期间，这些信息虽然是通过《隐私政策和使用条宽》披露的，但用户需要访问、点击不同文档才能查阅信息，如用户为了了解个性化广告收集的个人数据，一共需要五个点击动作，第一步点击阅读《隐私政策和使用条款》，第二步单击“更多选项”按钮，第三步单击“了解更多”，第四部选择并单击“个性化广告”，但该部分提供的信息并不完整，用户仍须返回《隐私政策和使用条款》中的“提供个性化服务”部分结合阅读。另外，有关地理位置数据处理和个人数据保存期限的告知也是如此，用户分别需要六个点击动作和四个点击动作才能获知比较完整的信息。

2、需要重新评估Google提供信息的“明确性”和“可理解性”

CNIL认为，用户创建Google账户后，Google可以从其提供的20多项服务中收集个人数据，如Gmail电子邮件服务、YouTube视频、Google搜索等等，这些数据结合在一起处理具有大规模和侵入性质，可能会高度精准地揭示人们的生活方式、品味、意见、旅行等，因此应当重新评估Google的《隐私政策和使用条款》中有关这些内容告知的“明确性和易于理解性”，很遗憾Google不符合要求。

如Google各种文件中描述的处理目的是“在内容和广告方面提供个性化服务，确保产品和服务的安全，用于改善向所有提供的服务”等，这些表述过于笼统和含糊；而《隐私政策和使用条款》的第二级文件《隐私政策》中，才进一步说明了一些目的是“可能这些信息（……）或更复杂，用于推荐例如您认为最有用的广告，您最感兴趣的人，或者您可能喜欢的YouTube视频“，这种呈现方式不符合要求。

3、个性化广告的合法性基础不符合“清晰”和“可理解”的特征

Google在《隐私政策》中声明的“个性化广告处理”的合法性基础是“用户同意”，但进一步增加了“合法利益”这一事由，如其表述“通过使用广告以免费向用户提供我们的许多服务”，这种混淆使用合法性基础的行为缺乏清晰且不易理解。

4、有关“保存期限”的信息不充分

CNIL注意到Google在“信息如何保存”页面有四项涉及到期限的描述，“保留信息直至删除”、“超过期限的信息”、“您删除Google账户之前的信息”、“由于特定原因，信息会长时间保存”。上述规定仅提供了保存目的非常一般性的解释，没有明确的保存时间或确定该期限的标准。

5、 Google提供的隐私工具没有增加其透明度

Google为用户提供的“隐私检查”和“仪表板”在某种程度上有助于Google全生命周期服务的透明度，但因为创建Google账户是后续众多数据处理活动的开始，因此该过程对用户至关重要，Google应在创建账户之前动员用户注意，而不是创建账户之后才引起用户的兴趣和注意。因此这些工具的提供并没有为Google适用GDPR第13条提供帮助。

“透明原则”是GDPR规定的数据处理行为应遵守的基本原则之一，该原则贯穿GDPR始终，“同意的条件”（Article 7）、“信息告知”(article 13、 article 14)、“安全事件交流”（article 34）等方面均有透明性的要求。为了进一步阐释“透明原则”的含义和要求，第二十九条工作组发布了《透明度指南》，在本案中CNIL也多次提及该指南的适用。

• “易于获取”的要素。《透明度指南》认为对于APP来讲，既要在用户下载之前从在线商店获取必要的信息，又要在用户下载之后轻易找到这些信息。满足此要求的一种方法是确保信息永远不会超过“两个点击”（例如，通过在应用程序的菜单功能中包含“隐私”/“数据保护”选项）。而Google向用户提供的信息需要多个点击动作和多次往返，因此这种设计不容易获取，不符合该要素。

• “简明”、“透明”的要素。《透明度指南》认为数据控制者应有效和简洁地呈现信息，避免信息疲劳，如将“隐私信息”与其他非隐私的合同条款相区分，在线环境中，使用分层隐私声明使数据主体能够导航到他们想要立即访问的特定部分，而不必滚动大量文本搜索特定的问题。

• “易懂”的要素。《透明度指南》认为告知的信息含义应当由目标受众的普通成员所理解，该要素与“使用清晰明了的语言”要求存在紧密联系。

本案中，无论是Google有关个性化广告等数据处理目的的描述比较笼统，没有进一步指出这些目的的含义，关于个性化服务的进一步描述是在第二级信息中呈现的；另外没有明确“个性化广告”的合法性基础，因此不符合上述两个要求。

• “清晰明了的语言”要素。《透明度指南》认为信息应一款尽可能简单的方式提供，避免复杂的句子和语言结构，提供的信息应当具体而明确，如在实践中避免使用“可能”、“或许”“某些”、“经常”、“很可能”等表述，尽可能详细阐述使用目的，如“个人数据是如何改善且改善什么服务”、“个性化服务的具体含义和包括的内容”等。

  
  

Google声称其个性化广告的合法性事由是“同意”，且符合GDPR有关同意的要求。但CNIL并不认同，结合第二十九条工作组发布的《对第2016/679号调理下同意的解释指南》，指出以下不符合要求的事实：

1、Google提供的信息没有达到“知情”要求

GDPR强调了同意的作出必须基于知情这一要求，在获取同意之前应当向数据主体提供相关信息，这样能使数据主体在知情的前提下作出同意，理解他们同意了什么。但鉴于Google违反了上文所述的“透明原则和信息提供义务”，所提供的信息不够明确、不易理解，这一先前确定的缺陷必然会对提供给用户的信息产生影响。例如在“自定义广告”页面，通过点击进入文档《隐私政策和使用条款》，访问“更多选项”，则看到描述“Google可能会根据您在Google服务中的活动向您展示广告（例如，在搜索网站或YouTube上，以及Google的网站和合作伙伴应用中）”。CNIL指出，无法通过点击链接阅读Google所指的服务、网站和Google应用程序。实际上这些这些处理可能涉及多种服务（例如，Google搜索、YouTube、Google主页、Google地图、Play store，Google照片，Google Play，Google分析，Google翻译，Play书籍等），但用户无法准确了解它们接受的个性化广告的范围。

2、不符合同意的具体和明确性要求

GDPR Recital第32条规定，“同意应通过明确的肯定行为来作出一个自由地、具体的、知情和明确的有关同意处理其个人数据的指示，如书面声明，包括电子方式或口头陈述”，“沉默、预先勾选框或无动作不应构成同意”，另外GDPR Recital第43条规定，“如果不能单独同意不同的个人数据处理操作，则推定该同意不是自由给出的。”

而CNIL在本案中观察到，用户在创建账户时，如果没有点击“更多选项”按钮设置他的账户，他必须勾选“我接受Google的使用条款”和“我接受我的信息如在隐私政策中的详细说明被使用”的方框，随后，他必须点击“创建账户”按钮。点击后出现一个标题为“简单确认”的弹窗，弹窗包含以下文本“Google账户设置包含自定义功能（例如推荐和个性化广告），这些功能基于您账户中储存的信息，如要更改个性化设置和账户中存储的信息，请选择‘更多选项’”。如果用户没有点击“更多选项”，则用户必须点击“确认”按钮以完成账户的创建。

CNIL认为，Google关于个性化广告的设置是可以独立出来的，但Google的设计使得用户必须再次点击“更多选项”来进行设置，用户后续点击“确认”按钮并不是通过积极行为同意将其数据用于个性化广告的表示，因此不符合同意的“明确”性质。

另外，CNIL认为通过勾选“我接受Google的使用条款”和“我接受我的信息如在隐私政策中的详细说明被使用”的方框，然后选择“创建账户”不能视为有效同意的表达，因为用户通过这些行动接受的是Google实施的所有个人数据处理行为，而不是只针对个性化广告的同意，因此这种捆绑征得用户同意的方式不符合同意的“具体”性质。

综上，CNIL认为，数据控制者如果事先已经单独提交了不同的处理目的，并且用户能够为每个目的通过明确的积极动作而不是预先的默认设置给出特定的同意，才是符合要求的。为了达到上述要求，必须在“接受一切”或“拒绝一切”之前向用户能够为每个数据处理目的给予特定同意的可能性。

3、不认可Google关于“非敏感数据”的抗辩

Google认为其个性化广告所依据的个人数据不是GDPR第9（1）条规定的“个人敏感数据”，因此不适用GDPR第9（2）（a）的“明确同意”（explicit consent）要求。但是CNIL没有采纳这一抗辩理由，并藉由该案件进一步澄清，GDPR第（4）（11）条规定的“同意”要求适用于对所有个人数据的处理，并不区分个人敏感数据和个人非敏感数据。

CNIL的这一观点与我们以往的认知有很大不同，我们通常理解GDPR第9（2）（a）的“explicit consent”的要求要高于第（4）（11）条的unambiguous indication，但在Google案中，CNIL认为存在对个人敏感数据有高出GDPR第（4）（11）条的“同意”要求，即使是对浏览记录等个人非敏感数据的处理在“同意”方面的要求也没有降低。

CNIL认定Google违反了GDPR第6条、第12条、第13条的规定，因此依据第83（5）作出了处罚，该条规定的行政罚款标准是“最高达2000万欧元的或上一财政年度全球年营业额的4%”，而在确定具体的罚款额度时应考虑第83（2）条列举的事项，如侵权行为的性质、严重程度和持续时间，相关处理性质、范围和目的，以及受影响的数据主体的数量及其遭受的损害程度等。

在本案中，CNIL基于以下原因给出了5000万欧元的罚款：

首先，Google违反的GDPR第6条、第12条、第13条是数据主体保持对其数据控制的基本保障，是GDPR核心的、必不可少的要求，因此第83（5）才相应规定了严厉的处罚措施。

其次，Google的违法行为截止到现在仍在持续，Google未自发终止这一违规行为，这不是对公司义务的短期误解。

再次，根据处理数据的目的、范围和影响的数据主体的数量来评估侵权的严重性。Google认为该行为影响的数据主体范围是很小的，通过在Android操作系统中创建google账户的用户仅占其用户的7%。但CNIL认为Android操作系统在法国移动操作系统市场具有主导地位，根据法国电话用户使用智能手机的比例可以看出Google正在处理数百万用户的数据。

另外，除了用户在创建账户和使用操作系统期间提供数据外，用户使用Google其他至少20个业务也会生成大量数据，如网页浏览历史记录、APP使用历史、地理位置、购买记录等，这些数据将作为个性化广告的组成部分，因此Google处理数据的行为与用户的身份和隐私密切相关。

最后，应从公司的经营模式来考虑这一问题。Google通过处理Android操作系统用户数据用于广告目的，从中受益，因此应特别注意其在GDPR实施过程中的责任。

此处罚决定一经公布便引发了很多争议，这应该也是GDPR对数字经济影响的缩影之一，但这个案件还远远没有终结，Google可在收到通知后四个月内向法国国务委员会提出上诉，笔者也将持续关注Google如何应对以及案件的最终走向。

[1]HTTPS://WWW.CNIL.FR/EN/CNILS-RESTRICTED-COMMITTEE-IMPOSES-FINANCIAL-PENALTY-50-MILLION-EUROS-AGAINST-GOOGLE-LLC，最后访问时间：2019年1月22日。

[2]CNIL .Délibération de la formation restreinte n° SAN — 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC.

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

   
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）