2023年9月12日,荷兰消费者协会 Consumentenbond 与隐私保护基金会(FPPI)宣布对谷歌提起集体诉讼,指控其为拍卖在线广告而持续监控并共享用户个人数据,要求谷歌停止相关行为并向每位使用谷歌的荷兰消费者赔偿750欧元。自两组织2023年5月宣布行动以来,已有8.2万人加入索赔。这是一起“不胜诉不收费”的诉讼,其法律焦点集中在 GDPR 长期关注的两个问题上:数据控制者的信息披露义务,以及用户同意是否有效。
TL;DR
Consumentenbond 与 FPPI 主张,谷歌作为占主导地位的数据公司,通过搜索、Chrome、Gmail、YouTube、地图和 Android 等无处不在的产品收集处理大量个人数据用于盈利;即便用户已修改设置表明不愿共享位置和活动数据,谷歌仍继续收集。原告认为谷歌收集数据的方式无法构成真正的用户同意,并使用“黑暗模式”操纵用户、在未披露的情况下获取某些个人数据的访问权限——这类以界面设计侵蚀选择权的做法,正是隐私保护设计要警惕的暗黑模式。
原告还指出,谷歌汇总数据创建消费者档案并销售给第三方,并违反 GDPR 将个人数据传输到欧洲以外,使荷兰消费者面临被外国政府监视的风险。据爱尔兰的调查,欧洲居民的互联网活动和位置在在线广告拍卖中平均被暴露近380次。截至2022年,谷歌广告收入约2240亿美元。原告要求谷歌重新设计程序架构、停止向用户隐瞒信息、取得合法处理依据,并停止将个人数据传输到美国。谷歌跨境传输数据的合规风险,此前已在瑞典企业因用 Google Analytics 向美国传输数据被罚一案中显现。
数据控制者的信息披露义务,指其有责任向数据主体提供与个人数据处理相关的信息并明确提供方式。GDPR 第13至22条及第34条规定了应披露的内容:控制者身份、数据保护官联系方式、处理目的与合法性基础、数据接收方、跨境传输情况、数据保留期限等。第12(1)条进一步要求以“简洁、透明、易懂且容易获取的形式,使用清楚直白的语言”提供这些信息。
依欧盟“第29条工作组”《关于透明的指导方针》(wp260rev.01)的解读,“简洁、透明、易懂”意味着数据主体应能确认其数据的处理和后果、不对使用方式感到意外;“容易获取”则指用户无需费力搜索。原告称,谷歌用“为所有用户提供更好的服务”等笼统表述描述处理目的,且关键信息分散在多个文档、需多步才能访问,与第12(1)条相悖。这与 Meta 因隐瞒数据使用目的被澳大利亚法院罚1400万美元属同一类透明度问题。
依 GDPR 第4(11)条,“同意”是数据主体通过声明或明确肯定性行为作出的自愿、具体、知情且明确的意思表示。这一定义包含“自愿”“具体”“知情”“明确”四项要件。原告援引法国 CNIL 的处罚逻辑:谷歌为个性化广告处理数据的告知信息分散在不同文档,用户在“个性化广告”设置中无法意识到该告知涉及搜索、地图、应用商店等多重服务,也不清楚被处理数据的数量,因此同意不可能“充分知情”。
CNIL 设定的“知情同意”基本信息包括:控制者身份、每个处理目的、将收集或使用哪些数据、撤回同意的权利、自动化决策告知,以及因缺乏第46条适当保障而可能导致的传输风险。此外,创建账户前用户须一次性勾选“我同意谷歌的服务条款”和“我同意按上述方式处理我的信息”,被迫对所有目的(个性化广告、语音识别等)一揽子同意,具体性存疑。基于同类问题,CNIL 已于2019年1月对谷歌处以5000万欧元罚款。谷歌与 CNIL 围绕同意的另一交锋,可见 CNIL 取消对谷歌 Cookie 同意禁令一案。
谷歌案仍在进行,最终结果尚不明朗,但其争议焦点为在欧洲经营的企业提供了清晰的自查坐标。这类以隐私为由的集体诉讼近年在欧洲成为常态,中国出海企业同样被卷入,可参考 Lenovo、Temu、Google 涉华数据传输诉讼解读。合规落地上应做到:以简洁直白的语言集中披露处理目的、数据类别、接收方与跨境情况,避免信息碎片化;对不同处理目的分别征得同意,而非一揽子勾选;在有充分性决定或 SCC 等第46条机制的前提下再进行跨境传输;并为用户保留可实际行使的撤回与控制入口。围绕个性化广告的同意合法性,欧盟监管的最新动向还可参考 EDPB 关于“同意或付费”广告模式的指南。