2025 年 5 月 9 日,德克萨斯州总检察长肯·帕克斯顿宣布与谷歌达成了一项价值 13.75 亿美元的和解协议,解决了谷歌涉嫌非法追踪和收集德州居民数据的指控。
帕克斯顿指出:“在德州,所有企业都必须遵守法律规定。长期以来,谷歌通过其产品和服务收集用户数据,包括位置信息、搜索记录以及声音和面部特征等敏感内容,但未充分确保透明度。我们通过法律途径维护了德州居民的权益。”这一和解不仅保障了居民的隐私,也为全球科技企业传递了重要信息:合规的数据处理是运营的基本要求,未经授权的数据收集可能面临法律责任。
德州对谷歌的隐私指控
2022 年,帕克斯顿五次对谷歌提起诉讼,指控其系统性地误导和欺骗德克萨斯州消费者,非法收集和使用居民的敏感数据:
- 非法追踪位置
帕克斯顿指控谷歌误导消费者,即使在用户认为自己已经禁用了个人位置追踪功能后,谷歌仍然继续追踪用户位置。谷歌通过其“位置记录”设置告知用户,如果关闭该设置,“你去过的地方将不再被存储”。然而,谷歌通过其他设置和方法继续追踪用户位置,但并未充分披露这些行为,并利用这些以欺骗方式收集的数据向消费者推送广告,为公司赚取巨额利润。
- 误导性的隐身模式设置
帕克斯顿还在修改后的诉状中将谷歌的隐身模式纳入指控范围。隐身模式(或“隐私浏览”)被宣传为一种不会追踪用户搜索历史或位置活动的浏览器功能,但德州诉讼称,谷歌在此模式下仍记录用户活动,具有误导性。这些行为被指控违反了德州的《欺骗性贸易行为法》(TDTPA,Texas’ Deceptive Trade Practices Act)。
- 未经同意使用生物识别数据
帕克斯顿进一步指控谷歌在未经数百万德州居民知情同意的情况下,非法获取并使用了他们的生物识别数据。谷歌通过其产品和服务(如谷歌相册、谷歌助理和 Nest Hub Max)收集了德州居民的声纹和面部几何形状等生物识别信息,并利用这些数据谋取商业利益。这些行为被指控违反了德州的《生物识别信息采集或使用法案》(CUBI,Capture or Use of Biometric Identifier Act)。
诉讼历经三年,经过激烈的法律交锋,谷歌最终同意支付 13.75 亿美元和解金,涉及隐身模式、位置历史和生物识别数据相关问题。虽然和解的具体细节尚未完全公开,但这一巨额罚款预计将促使谷歌进一步审查其数据收集实践。谷歌发言人 José Castañeda 表示,公司已调整其产品政策,并强调和解不代表承认任何不当行为 。
这一和解金额远远超过其他州针对谷歌类似隐私违规的和解金额。此前,单一州的最大和解金额仅为 9300 万美元,而一个由 40 个州组成的联盟在 2022 年仅从谷歌获得了 3.91 亿美元的和解金。德州的 13.75 亿美元和解金几乎是多州联盟金额的四倍,凸显了帕克斯顿在隐私执法中的强硬立场和德州法律框架的有效性。
合规启示
近年来,德州在数据隐私保护领域的执法行动愈发频繁,为企业敲响了合规的警钟。德州总检察长办公室通过一系列针对知名公司的诉讼和调查,展现了对隐私违规行为的零容忍态度。从 Meta 到通用汽车,到对 Character.AI、Reddit 等 14 家科技公司展开调查,再到谷歌,这些行动跨越科技和传统行业,显示出德州在隐私保护上的广泛关注和强硬立场,也为企业提供了宝贵的合规指引。
从谷歌案中可以清晰地看到,德州的隐私执法聚焦于数据透明度和用户同意的核心问题。执法机构对模糊或误导性的数据政策毫不手软,要求企业在收集敏感信息时必须获得明确授权。更重要的是,这一案例表明,隐私合规已不再是可有可无的选项,而是企业在德州市场展业的必要条件,可能面临高额罚款和声誉损失。
为应对德州的隐私执法趋势,企业需要采取务实的合规措施。首先,深入研究展业地隐私合规法律,确保数据处理流程符合要求,并建立响应用户数据请求的机制。其次,设计清晰的隐私政策和同意流程,让用户能够轻松理解并控制自己的数据——这一点在谷歌案中尤为关键,透明度不仅是法律底线,也是赢得市场信任的基础。此外,企业应定期审查和更新隐私实践,以适应不断变化的监管要求。通过设立内部合规团队或借助外部咨询,企业可以持续监控法律动态并优化策略,从而在降低风险的同时提升竞争力。
Kaamel提供的合规服务
如果您的企业还未进行足够的合规准备,届时将面临更严格的审查和高额罚款。
作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务:
- 尽调相关服务:为企业提供相关尽职调查支持,帮助您回应最终规定下的尽调问卷,明确是否属于“受限主体”,并提供合规分析与整改建议。
- 合规检测服务与报告:提供专业的合规检测服务,评估您企业当前的数据处理流程和跨境数据传输情况,并出具合规分析报告,帮助您识别潜在合规风险。
- 合规治理方案制定:为企业合规团队提供支持,协助制定或优化合规治理方案,确保数据处理活动符合美国及其他司法管辖区的隐私与安全要求。
- CISA安全差距分析与整改建议:我们提供CISA(美国网络安全和基础设施安全局)安全差距分析,帮助企业发现并修补信息安全体系中的漏洞,提升整体安全性和合规性。
- 数据安全合规计划书编制:根据最终规定要求,帮助企业编制数据安全合规计划书,并针对禁止交易、受限交易进行二次梳理,确保合规操作。
- 受限交易记录机制建设:协助企业建立受限交易记录机制,确保所有敏感数据的跨境传输符合合规要求,并协助洽谈外部合规审计,确保数据传输的合规性。
- 本地化咨询与代运维托管服务:提供终局计划运营的本地化咨询,帮助企业根据目标市场的合规要求调整运营策略,提供美国数据中心环境的代运维托管服务。
