编者按：

本公号在刊登DPO沙龙和相关社群活动的同时，还将刊登DPO社群成员的精彩文章。本篇作者为小米公司的朱玲凤。

本周四，DPO沙龙将在小米公司举办，沙龙讨论的主题正是数据融合。【数据保护官（DPO）沙龙第十期报名开始】。此前，朱律师分享了CNIL对Google处罚案裁定书的摘要【法国监管机构CNIL对Google 处罚案裁定书摘要】，各位读者可以与本文结合一起阅读。是不是对周四的DPO沙龙更加期待了？

正文：

2019年1月21日，法国数据监管机构CNIL对谷歌处以五千万欧元的高额罚款，因谷歌违反《通用数据保护条例》（以下简称“GDPR”）的透明性原则、提供充分信息以及针对个性化广告缺乏数据处理的合法性基础。业界对该案的关注集中在一站式监管机制的适用以及透明性原则要求等，笔者认为更需要关注的重点是CNIL分析不满足透明性和提供信息义务的论证基点在于谷歌收集并使用的个人数据具有大规模性以及侵入性。本文将集中探讨CNIL处罚谷歌案中关于数据融合的问题，并就此提出数据融合的合规性建议。

一、CNIL处罚谷歌案中数据融合影响对透明性和提供信息义务的认定的影响

CNIL在分析谷歌是否满足GDPR第12条规定“数据控制者应当采取合理的措施，使提供给数据主体的第13条和第14条规定的信息以及第15条至第22条和第34条关于数据处理的与数据主体的沟通中采用简洁明了、透明和可访问的形式，并使用清晰且可理解的语言”中“清晰（clear）”和“可理解（plain）”的要求时，指出需要基于谷歌的所涉的每种数据处理行为的性质以及对数据主体的具体影响来衡量。

CNIL认为Google实施的数据处理特别庞大且具有侵入性。Google收集的数据来自各种各样的来源。这些数据既可以来自手机的使用，来自谷歌服务的使用如Gmail电子邮件服务或YouTube视频平台，也可以从用户使用第三方网站时生成的数据，包括Google Analytics在这些网站上提供的Cookies来收集。《谷歌隐私政策》显示谷歌提供的至少20项服务可能涉及数据处理，这可能与浏览历史、应用程序使用历史、本地存储在设备上的数据（如地址簿）、设备的地理定位等数据有关。单独每项数据收集可能会高度精确地揭示个人生活中许多最密切的方面，数据之间的结合将更极大地强化了处理的大规模和侵入性质。

但是相比谷歌使用数据的大规模性与侵入性，谷歌隐私政策中的描述相对过于简单，完全让用户无法知道什么数据被用于什么服务，以及会有什么后果。具体而言：

1、Google无法让用户充分了解处理的具体后果

各类文件中关于目的的描述如“在内容和广告方面提供个性化服务、确保产品和服务的安全、提供和开发服务等”，在实施处理范围及其后果方面过于笼统。且数据收集的描述也分散在各文件中，描述也模糊，因此不准确也不完整。

2、涉及个性化广告的处理欠缺 “清晰”和“可理解”。

谷歌在《隐私政策》中描述了两种个性化广告处理的法律基础：用户同意（“我们请求为特定目的处理您的信息的许可，并且您可以随时重新考虑您的同意。例如，我们请求为您提供个性化服务的许可，例如广告[...]”）以及公司的合法利益（“带来营销行动，以使用户了解我们的服务”，特别是“通过使用广告以免费向用户提供我们的许多服务”）。如果谷歌针对个性化广告相关数据的处理所依据的唯一法律基础是用户同意，则其目前的告知不会为用户带来明确的认知。而且谷歌没有强调基于合法利益处理用户数据的特殊重要性，无法区分基于用户同意的个性化广告和正当个性化广告之间的区别。

而且对于个性化广告的描述不能使用户对数据处理目的和数据处理范围有全面了解。例如通过《隐私政策与使用条款》文件中“更多选项”按钮访问的“个性化广告”章节中所发布的信息，包含以下语句：“谷歌可能会根据您在Google服务中的活动向您展示广告（例如在搜索或YouTube上，以及Google的网站和合作伙伴应用中）。”CNIL指出，这很难通过可点击链接了解该公司所指的服务、网站和Google应用程序。因此，用户无法理解他们所受的广告个性化处理以及它们的范围，这些处理涉及多种服务（例如：Google搜索、YouTube、Google主页、Google地图、Playstore、Google照片、Google Play、Google分析、Google翻译、Play书籍等）以及许多个人数据的处理。用户也无法准确了解所收集的数据性质和数量。

3、关于保存期限有一类为“由于特定原因，信息会长时间保存”，这种表述并没有表明任何明确的期限或用于确定该期限的使用标准，该表述违反了GDPR规定必须提供的信息。

进一步而言，因为缺乏提供必要信息，隐私政策内容不符合“清晰”、“可理解”，再加上个性化广告默认开启且要求用户整体性接受等，CNIL进一步认定谷歌对于个性化广告的处理未经过用户明确的同意，缺乏数据处理的合法性基础。

从上述CNIL的认定意见来看，笔者认为CNIL虽然没有明确说明此案针对的是谷歌数据融合行为，但是其明确指出是谷歌跨业务融合数据，以及使用于个性化广告导致谷歌应当以更加清晰以及可理解的方式，让用户了解到谷歌处理的数据类型、数量以及所产生的后果。谷歌即使采取了与行业内其他公司同等的程度的描述，也将因为其数据处理行为的大规模性和复杂性而认定不符合GDPR的要求。

二、谷歌数据融合的业务场景

1、在第一级《Privacy and Terms》里明确说明数据融合：我们将会基于数据处理的目的在我们的服务以及不同的终端中所产生的个人数据进行融合。比如，我们会基于您的账号设置，我们将基于您使用搜索结果和YouTube所产生的兴趣以及基于跨服务的海量数据形成的拼写纠正模型为您投放个性化广告。

2、第二级《隐私政策》中分散描述中多处数据融合痕迹，虽然未明确说明是数据融合。

2.1  融合的数据来源

1. 涉及到所有谷歌服务以及所有设备的信息，隐私政策中描述“我们可能会综合在Google服务以及您的所有设备中收集的信息，以便用于上述用途”。

   
   

2. 涉及到未登录用户的信息，隐私政策中描述“如果您未登录Google账号，我们会存储通过您使用的浏览器、应用或设备绑定的唯一标识符收集的信息。这样一来，我们就可以在浏览会话间保留您的语言偏好以及执行一些其他措施”。

   
   

3. 涉及到第三方网站的信息，隐私政策中描述“我们会收集您在Google服务中的活动信息，并利用这些信息做一些事情，例如推荐您可能喜欢的YouTube视频。我们收集的活动信息可能包括：……在使用Google服务的第三方网站和应用中的活动”。“当您访问使用Google Analytics的网站时，Google 和Google Analytics用户可能会将您在相应网站中的活动信息与您在其他使用Google广告服务的网站中的活动关联起来”。

2.2 融合的目的

1. 开发新服务。隐私政策中描述“我们会利用在现有服务中收集的信息来协助开发新服务。例如，通过了解用户在 Picasa（Google 的首款照片应用）中组织整理照片的方式，我们设计并推出了 Google 照片”。

   
   

2. 提供个性化服务，包括内容和广告。隐私政策中描述“我们会利用收集的信息为您定制 Google 服务，包括推荐内容以及提供个性化内容和定制的搜索结果。例如，安全检查功能会根据您使用 Google 产品的情况向您提供安全提示。此外，Google Play 会利用相关信息（例如，您已安装的应用、您在 YouTube 上观看过的视频，等等）来推荐您可能会喜欢的新应用。我们可能还会根据您的兴趣向您展示个性化广告，具体取决于您的设置。例如，如果您搜索“山地自行车”，那么在浏览 Google 投放广告的网站时，可能会看到运动装备的广告。您可以前往广告设置部分控制我们可以利用哪些信息来向您展示广告。

   
   

3. 网站分析。隐私政策中描述“我们会利用数据进行分析和评估，以便了解Google服务的使用情况。我们还会利用您互动的广告的相关数据来协助广告主了解其广告系列的效果。我们会利用等多种工具（包括Google Analytics）来执行此操作。”

从上述隐私政策内容摘录，其实谷歌仅是告知了用户数据融合的存在，以及通过举例的方式说明可能涉及什么样的数据和什么目的，然而并未细化到具体的数据类型以及如何被用于每个数据融合的目的。

三、数据融合的合规性建议

欧盟GDPR以及多个国家的法律均规定了数据最小化原则、目的限制原则以及应当告知用户必要的信息。但是对于具体到什么程度，目前法律没有明确给出规定。业界实践来看多数业界巨头的隐私政策相对都是概然、模糊，与谷歌类似，甚至对于数据融合的描述比谷歌更为简单，如下图所示三星隐私政策仅描述“我们将来自您或与您相关的信息（包括来自不同服务或设备）的信息组合在一起，为了与本隐私政策一致的目的”。从CNIL此次处罚Google的案例来看，执法机关更趋向于严格，希望谷歌更进一步细化到具体的数据类型、数量以及对用户的影响。

谷歌因数据融合在2012年-2014年因隐私政策变更，增加数据融合的描述“我们利用从所有服务中收集的信息来提供、维护、保护和改进这些服务，同时开发新的服务并保护 Google 以及用户。我们还会使用此类信息为您提供定制内容，例如向您提供相关程度更高的搜索结果和广告”，引起了欧盟29条工作组和多国数据监管机构的调查以及要求修改，其中CNIL就是29条工作组所任命的主要调查机构。当时29条工作组对谷歌提出的合规性建议，内容与2019年CNIL处罚决定书里的内容惊人的相似，可见数据融合带来的合规性要求是一致的。笔者认为可以将此作为各家企业的合规性建议。具体需要衡量如下因素：

1. 提供信息的充分性。需要明确告知具体融合的目的以及相应目的下使用的数据类型。

2. 处理的合法性基础，即获得用户的明确同意。首先，用户需要知情明确了解什么数据被用于何种融合的目的；其次，用户应当以积极的行为表达确认，而不能通过默认勾选等方式掩盖获得用户的授权。

3. 提供给用户便捷有效的退出数据融合的选项。如谷歌提供个性化广告以及拒绝将活动记录绑定于谷歌账号的设置。

4. 保证符合数据最小化原则、目的限制原则以及Privacy by Design等要求，且对不同的数据融合行为所收集的数据进行隔离和区别。数据融合也是数据处理行为的一种，因此必须保证数据处理限定于该项数据融合的目的中，且数据数量最小够用即可。同时应当采取与风险相适应的技术措施保证数据保护，比如假名化、匿名化。

5. 数据融合的数据保留期限，应当与目的实现相一致。

笔者在此建议，虽然数据融合可以产生较大的数据价值，如精准营销，但是数据融合会导致对数据主体的识别和分析更为精准，因此会对个人产生更大的风险，如数据泄露等。CNIL对谷歌处以5000万欧元高额罚款时的一个重要理由就在于谷歌收集处理数据的大规模性和侵入性。因此，各企业在确定数据融合前应当正确衡量其所带来的风险与利益。若确定进行数据融合，应当做到上述合规建议，同时参考各执法与业界实践执行的力度。（完）

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）