谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。3月21日,DPO沙龙在小米公司举办,沙龙讨论的主题数据融合【详见第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东】。在沙龙上,小米公司的朱玲凤朱律师分享了近年来谷歌数据融合的实践以及监管机关对谷歌的调查与处罚。在DPO社群成员的强烈要求下,朱律师和郭英男律师将沙龙上的分享落成了本文,与更多人分享。
近期,朱玲凤律师及其团队成员围绕着谷歌的数据合规实践,深入研究发表了很多精彩的分析文章:【法国监管机构CNIL对Google 处罚案裁定书摘要】、【从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)】等。各位读者可以与本文结合一起阅读,相信肯定受益匪浅!
正文:
背景
2012年1月下旬,谷歌通过官方博客宣布修改隐私政策,且新隐私政策将于2012年3月1日正式生效。
谷歌将不同产品的隐私政策汇成一个统一的隐私政策,谷歌声称“我们有大量的独立隐私政策,这与我们紧密整合不同产品的努力方向不一致。因此,我们将超过60个隐私政策汇总到统一的隐私政策中(……)主要将影响拥有谷歌账号的用户。我们的新隐私政策将阐述,如果您登录,我们将融合您在一个服务中收集的数据和其他服务中收集的数据。简而言之,我们将您视为一个跨产品的独立用户,进而提供更简单、更直观的服务。”
谷歌在隐私政策中增加数据融合的描述,具体为“我们利用从所有服务中收集的信息来提供、维护、保护和改进这些服务,同时开发新的服务并保护 Google 以及用户。我们还会使用此类信息为您提供定制内容,例如向您提供相关程度更高的搜索结果和广告”
根据谷歌公开回应美国议会成员的声明,此次隐私政策更新目的在于使YouTube和搜索信息可以被共享使用,且这次更新隐私政策针对的是注册用户。
数据融合的事实
(一)数据融合的举例
根据谷歌在隐私政策中的示例以及相关回复,谷歌会依据不同的场景、数据的种类、数据处理的目的,将不同服务中的数据进行融合。
个性化内容:谷歌可以将YouTube的数据分享给其他的服务,也可以将其他服务的数据分享给YouTube,谷歌可以基于用户的搜索结果向用户进行YouTube的视频推荐。
个性化广告:对于搜索引擎上的广告展现,谷歌通常会使用用户搜索记录、与谷歌广告的互动等数据进行分析;对于第三方网站的广告展现,谷歌会使用用户最近的地理位置数据、用户访问的网站与应用类型、与谷歌广告的互动和用户在谷歌和YouTube中的个人资料等数据进行分析。
新产品开发:关于谷歌在2013年10月1日新发行的Google Music业务,当其主管被问及是否融合其他服务的数据时,主管回复道:“我们会使用我们能够使用的所有数据”。
我们通过几个维度具体拆解谷歌数据融合的细节,并作为下文论述监管机构对谷歌数据融合的基础事实。
(二)用户分类
注册用户(Authenticated users),即注册谷歌账户使用服务的用户,如Gmail、Google Play、Drive、Google+。
非注册用户(Unauthenticated users),即使用谷歌部分无需注册即可使用服务,如搜索、地图、YouTube等。
被动用户(Passive users),即访问设置谷歌cookies(DoubleClick 或 Analytic cookies)的第三方网站的用户。
(三)融合目的
融合目的 | WP29 | 荷兰DPA |
提供服务,当用户要求数据融合(如用户收到类似会议的Gmail邮件可直接在日历中创建日程) | √ | |
提供服务,但是用户不直接了解通过数据融合实现(如个性化搜索结果) | √ | √ |
安全目的 | √ | |
新产品开发和推广创新的目的 | √ | √ |
提供谷歌账号的服务 | √ | |
广告目的 | √ | √ |
网站分析目的 | √ | √ |
科学研究目的 | √ |
(四)融合数据
如下表所示,谷歌的数据融合活动涵盖了在上述三类用户使用各类服务时所产生的全部数据,具体如下:
注册用户的全部数据可能会被用于谷歌的任何服务;
非注册用户的数据,例如通过在谷歌自有网站设置的PREF和Analytic cookies收集的数据、在谷歌地图和搜索上设置的NIDcookies收集的数据、在YouTube上设置的DoubleClick cookies收集的数据,都可能会被用于谷歌的其他服务,例如个性化搜索结果。
被动用户的数据,例如通过设置在第三方网站的DoubleClick和Analytic cookies收集的数据,可能会被谷歌用于产品改进、展示个性化广告和数据分析目的。
用户数据类型 | 服务举例 | 注册用户 | 非注册用户 | 被动用户 |
登录谷歌账号的服务所产生的数据 | Gmail、Google+、Drive、Google Play | √ | ||
公开服务(即不需要登录谷歌账号)所产生的数据 | 地图、搜索、YouTube、Chrome | √ | √ | |
谷歌通过第三方网站提供的服务所产生的数据 | 广告(包括DoubleClick)、谷歌分析(Analytics) | √ | √ | √ |
(五)融合的方式
融合在于通过串联识别符来识别用户,具体融合方式包括如下多种:
使用每个注册用户的谷歌账号融合使用该账号的服务以及将该ID与cookie相结合;
使用PREF cookie融合google.com域名下网站的交互行为;
使用DoubleClick cookie融合展示DoubleClick广告的第三方网站上的交互行为;
使用第三方网站采用的Google Analyticscookie;
在更多应用中使用其他更多移动设备的识别符。
(六)用户拒绝(退出)数据融合的操作
谷歌并未提供一个整体(一次性)退出数据融合的选择。用户可以通过一系列方法来部分实现拒绝谷歌以提供个性化服务、个性化广告、网站分析进行数据融合,但是用户不能拒绝谷歌以开发产品目的进行数据融合。
目的 | 举例 | 注册用户 | 非注册用户 | 被动用户 |
用户要求的服务的个性化 | 搜索结果的个性化和YouTube的个性化 | 部分提供,根据产品不同※ | 仅搜索提供 如地图、YouTube不提供因拒绝设置要求登录 | N/A |
(新)产品开发 | 所有谷歌服务 | 不提供 | 不提供 | 不提供 |
广告目的 | 通过第三方网站的DoubleClick | 不提供,仅定向广告提供※ | 不提供,仅定向广告提供 | 不提供,不能通过谷歌的服务 |
网站分析 | 谷歌或第三方网站上使用Google Analytics | 提供,通过谷歌浏览器插件实现 | 提供,通过谷歌浏览器插件实现 | 提供,通过谷歌浏览器插件实现 |
※比如拒绝个性化搜索结果仅是提供拒绝展示个性化搜索结果,不删除搜索历史,即并不是拒绝数据融合行为。
※通过谷歌网站上的拒绝广告选项以及使用DoubleClick opt-out cookie,移动设备需要另行操作。
事件过程
合规性争议
WP292012年10月26日公布的调查结果
一、违法行为
1、违反提供信息义务
调查显示谷歌向用户(包括被动用户passiveusers )提供的信息不足,尤其是数据处理的目的和数据类型。例如,用户无法分清自己在使用的服务中的哪一类别的数据在被处理,也无法辨别处理目的是什么。虽然互联网公司的隐私政策不应当是复杂的、法律导向的或冗长的,但是对政策简化的追求不应成为互联网公司逃避其责任和义务的借口。隐私政策是特别广泛的描述和简单的举例,更多信息在其各产品的通知、帮助中心等,此类信息是随时可修改,且无法回溯版本的。
关于处理目的,谷歌隐私政策并未具体写明且不符合数据最小化原则。隐私政策中数据处理的目的要么不是谷歌实际处理的目的,不符合第6(b)条规定(具体、明确),要么数据处理目的更为特殊而非隐私政策中列明的,不符合95年指令的第10条和第11条。
关于处理的数据类型,过于宽泛,未明确到各服务的具体处理类型。进一步而言,谷歌未证明其遵守数据最小化原则,尤其是未指明将什么数据进行融合。
对于passive user,他(她)们甚至都不知道谷歌在处理其个人数据的事实,如IP地址、cookies。上述信息提供依赖于网站的隐私政策,但是较多隐私政策都未阐述谷歌处理的存在。
2、缺乏数据处理的合法性基础
针对下述行为:(1)提供用户要求的服务并使用了数据融合,但是用户未直接知晓融合(如搜索结果的个性化);(2)开发产品和推销创新目的;(3)广告目的;(4)分析目的——首先,不适用有效的同意原则,因为未明确具体融合的程度;其次,也不适用合法利益,因为谷歌未能证明其利益超过数据主体的自由和权利;再次,也不适用于履行合同所必要,因为谷歌未曾提供具体的实例证明融合数据为了履行合同。
因此,这些目的需要经过用户同意,且提供给用户控制权。
3、违反对数据处理基本原则的公开承诺
对于所有融合目的的处理行为,谷歌没有公开承诺保证比例原则、数据最小化原则、目的限制原则和拒绝权。具体而言,谷歌没有将数据处理限定于融合的目的,提供的信息是不足的,且目前的拒绝机制是复杂或无效的。比如Google+用户需要进行6个选项才能真正拒绝个性化广告。有的拒绝机制只能保证不展示个性化内容,但是不能达到拒绝融合的目的。对于研究、广告、开发新产品的目的甚至都没有提供退出机制。对于被动用户来说,也不符合ePrivacy要求使用cookie前获得用户同意。
4、保存期限
关于数据保存期间,谷歌未明确最长或典型的数据保存期间。WP29要求谷歌承诺遵守基于其目的的保存期限原则
二、合规要求
1、向用户提供的信息方面(information),谷歌应当披露并详细说明其如何处理各项服务中的用户数据,应当区分各项服务和各类数据的用途。具体整改措施如下:
将隐私通知分为三个等级:
第一级:(in-product privacynotices and interstitial notices)通过开发上述通知,使用户在使用该服务时(尤其是第一次使用时)就可以意识到数据处理正在发生。谷歌应制定内部流程,以确保在现有和未来服务中所涉及的用户个人数据的保护程序可以有条不紊的进行。
第二级:(current privacypolicy)谷歌当前的隐私政策,应当作为谷歌数据处理的概览性指南,并且应当更加详细以涵盖各类处理操作(可指向product-specific privacy notices)。举例部分需要清晰,尤其是针对不同的使用目的数据处理。数据类型列举应当完整,比如人脸识别的信息并未体现在目前的隐私政策里。
第三级:(product-specificprivacy notices)具体列明每项数据处理或服务:处理的数据类型、处理的目的和接受方以及用户如何实现访问权。通用性目的比如研究、安全目的应当单独有详细的保证。
开发交互式演示方式,让用户可以轻易地浏览隐私政策内容;
当该数据对用户具有重大影响(例如地理位置、信用卡数据、唯一设备标识符、电话、生物信息)时,应向用户提供额外的、准确的信息;
为移动端(Android或iOS)用户提供与其相适应的信息。因为手机端屏幕较小,上述互动演示方式可能无法实现,但是谷歌仍应当开发包含隐私控制的工具,向用户提供相适应的信息。
因信息是由使用谷歌服务的第三方网站提供的,但谷歌应确保被动用户得到适当的通知。
2、数据融合方面,谷歌需要明确数据融合的目的和方法。从这一角度来看,谷歌应当更加详细地说明数据是如何跨服务进行合并的,并且应当开发新工具让用户对个人数据拥有更多的控制权。从原则上来说,根据不同融合目的分为两类处理方式:
针对有处理的合法性基础的目的,应当遵守Privacyby Design的原则:如限定使用的数据,如可用则匿名化等。具体而言:需要提供简单的opt-out的机制;保存期限应当限定于特定目的。
针对无处理的合法性基础的目的,应当获得用户的明确同意且限定于所融合目的对应的数据处理范围。同时提供给用户控制的措施:包括为注册用户提供Google Dashboard上具体的设置;为未注册用户和被动用户提供明确同意以及对Cookie的改进控制。
上述建议可以通过以下措施实现:
简化注册用户和非注册用户的退出机制(opt-out),并且应当将其放置在注册和非注册用户能够找到的特定位置;
应当将适用于数据融合的目的的相关工具进行区分:应当放弃将PREF(偏好)cookies ID 同时适用于几个使用目的的做法。根据保留政策和目的相关的访问权限,cookies应当为各自目的(安全、广告、服务改进)而创造(这样可以确保该cookies的使用符合用户的授权范围);
为特殊目的(服务改进而用户不知情、产品开发、营销创新、广告和数据分析)而进行的数据融合行为,应得到用户的明确同意;
如果该服务无需登录即可使用(如,搜索、地图或YouTube),应当为注册用户提供控制已登录服务的选项;
应限制对被动用户数据的融合行为,除安全目的以外;
执行欧盟电子隐私条例Art.5(3) 的要求,即经过同意再行收集cookie;
基于数据分析(analytics)的目的,谷歌应当将为德国设计的处理方式适用于欧盟各国公民(网站中向数据主体提供的更完善的信息、以数据分析目的使用数据的限制、IP匿名化)。
3、明确数据保留期。谷歌应当更加明确个人数据的保留期限,特别是在用户有以下行为时的保留期限:删除特定内容,取消订阅特定服务,删除账户。
荷兰DPA调查报告
一、违法行为
1、违反处理目的具体、明确
根据荷兰数据保护法(以下简称“Wbp”)第7条,收集个人数据的目的应当具体、明确以及合法。但是,谷歌隐私政策中所阐述的目的是含糊不清的,如“为了提供谷歌服务”。因此,其违反Wbp第7条。
2、违反提供信息的义务
根据Wbp第33条,在收集数据主体的个人数据之前,控制者应当向数据主体提供如下信息:控制者的身份信息和处理的目的......根据Wbp第34条,如果个人数据的收集方法不同于第33条的规定,控制者应当向数据主体提供如下信息:控制者的身份信息和处理的目的......
虽然谷歌的服务条款中明确指出GoogleInc.提供全部的谷歌服务,几乎所有的谷歌服务都可以看到谷歌logo,但是YouTube上却没有任何谷歌的标识。因此,谷歌在通过YouTube服务收集注册用户和非注册用户的个人数据之前,并未向数据主体提供控制者的身份信息。因此违反上述法律规定。
3、缺乏处理的合法性基础
根据Wbp第8条,只有满足以下任意一项条件时,数据处理才具有合法依据:(a)数据主体已经明确同意对其个人数据进行处理;(b)数据处理对于履行与数据主体之间的合同是必要的,或者在签订合同前基于数据主体的请求而进行的处理;(f)数据处理是为了实现控制者或第三方所追求的合法利益所必需,但数据主体所享有的、需要保护其个人数据的利益、基本权利和自由优先于上述合法利益的除外,特别是需要保护的隐私权。
关于“明确同意”:谷歌收集个人数据通常是通过tracking cookies实现的,并且谷歌声称用户对一般服务条款和隐私政策的同意应视为明确同意。但是根据司法实践,用户的明确同意无法通过一般服务条款来获得。“明确”一词意味着数据控制者不能通过数据主体的不作为或沉默来获取其同意。另外,获得数据主体明确的同意需要向其提供更为具体的信息。因此,谷歌并未获得数据主体的明确同意。
关于“履行合同的必要性”,对于被动用户而言,其在访问第三方网站时甚至都不会意识到谷歌cookies的存在,所以谷歌与被动用户之间不存在合同关系。但是谷歌却收集了被动用户的个人数据。
关于“合法利益”,谷歌并不能证明以调查的四种目的处理数据所涉及的合法利益超过数据主体的基本权利和隐私权的法益,于此同时,谷歌为了展示个性化广告、提供个性化服务、开发产品、数据分析而融合各服务和第三方网站数据构成对用户隐私的重大侵犯。考虑到谷歌所收集数据的敏感性、繁多的服务种类、未能向提供足够的信息以及拒绝机制的缺失,谷歌的合法利益并未超过数据主体保护其个人数据和隐私的法益。
因此,根据Wbp第8条的规定,谷歌数据融合的数据处理活动没有任何的合法依据。
二、合规性要求
在进行跨服务数据融合前,获得用户明确的同意。该项同意不能通过一般条款或隐私政策获取;
进一步澄清隐私政策中的信息,使用户获得关于其个人数据如何被用于不同服务的明确的信息;
提供关于YouTube属于谷歌部分服务的明确信息。
谷歌应在2015年2月末前完成整改,并满足Wbp的要求,否则将面临1500万欧元的罚款。2015年7月9日,荷兰数据保护局公布新闻稿,说明谷歌在上述调查后已经根据要求调整和澄清隐私政策中的信息、明确YouTube的归属。(上篇完)
预告:本文下篇会分析WP29在2014年提供的合规指引、谷歌2019年遭遇CNIL处罚以及数据融合现状等,敬请期待。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点