【法律文章】法國CNIL裁罰Google一案之觀察
依法國「Commission Nationale de l’Informatique et des Libertés」(下稱「CNIL」)於2019年1月21日公布之英文新聞稿(下稱「本案新聞稿」),[1]CNIL以資訊欠缺透明、「廣告個人化」(ads personalization)之處理欠缺有效同意為由,按General Data Protection Regulation[2](下稱「GDPR」)對「Google LLC」(下稱「Google」)裁罰五千萬歐元(下稱「本案」)。[3]本案源於「None Of Your Business」(下稱「NOYB」)與「La Quadrature du Net」(下稱「LQDN」)兩組織分別於2018年5月25日與28日向CNIL申訴,申稱Google在處理使用Google服務之使用者的個資,特別是針對廣告個人化之目的,欠缺有效法律依據。[4]爰以本案新聞稿之記載為基礎,簡敘本案觀察如下。
1、觀察
(1)落入GDPR規範之「控管者」(controller)[5]或「處理者」(processor)[6],宜明確其於歐盟的「主要分支機構」(main establishment)[7]之所在。[8]在歐機構若對資料之處理欠缺決定權限,有可能不被認為是控管者或處理者在歐盟的主要分支機構。本案新聞稿記載,Google在愛爾蘭有一歐洲總部。[9]然而,作出本案裁罰決定的,是法國的CNIL。本案中,CNIL與其他主管機關(尤其是愛爾蘭當地的「資料保護主管機關」(Data Protection Authority,下稱「DPA」))討論後,不認為Google在歐盟有一主要分支機構。[10]CNIL啟動本案調查時,Google的愛爾蘭機構,對於手機設定過程中創設帳號、Google提供Android作業系統及服務所涉之處理作業一事,欠缺決定權限。[11]故GDPR的「一站式機制」(one-stop-shop mechanism)[12]於本案不適用,[13]CNIL得就本案取得管轄並作出決定。[14]
(2)在歐機構所在法域以外之他地DPA,有可能就個案取得管轄、[15]調查個案時有可能一併審查是否遵循內國法令。承上,管轄並調查本案的,是Google歐洲總部所在法域(亦即,愛爾蘭)以外之他地DPA,也就是法國的CNIL。CNIL於本案檢視Google有無落實應遵循的法令,除GDPR外,也包括法國的資訊保護法令。[16]
(3)過度分散的資訊、提供的資訊不夠清楚完整或描述模糊,有可能被認為不符GDPR要求的透明化與資訊義務。此外,也可能被認為未盡充分告知,從而無法獲得「資料主體」(data subject)[17]的有效同意。本案中,Google提供給使用者的資訊,散見於數份不同文件(例如,使用者需透過5、6個步驟才能取得資訊),CNIL認為這讓使用者難以簡易存取資訊。[18]此外,CNIL認為,有些相關描述文字(例如,處理目的之描述)過度概括模糊,使用者難以清楚瞭解。[19]又,為廣告個人化目的而處理的資訊,Google聲稱獲得使用者同意。[20]但CNIL認為,Google傳達給使用者的資訊,不夠清楚足以讓使用者瞭解,Google為廣告個人化目的而處理資訊之法律依據,是來自於使用者的同意,而非該公司的正當利益。[21]另一方面,CNIL也表示,Google獲得的使用者同意難認有效,因為使用者是在欠缺充分瞭解下所同意。[22]
(4)提供預設的已勾選選框給使用者,此際使用者的同意,有可能不被認為是明確的有效同意。本案新聞稿記載,使用者創設帳號後,Google雖有提供「更多選項」(more options)按鈕以供使用者在設定過程中存取相關資訊,但在個人化廣告的顯示上,卻是預設已經勾選。[23]CNIL認為,Google在這種情形下獲得的使用者同意並不「明確」(unambiguous)。[24]CNIL表示,在GDPR下,使用者清楚、肯定的動作(例如,點選一項未經預設已勾選之選框),才是明確的同意。[25]
(5)若只提供完全同意或完全拒絕的概括選項給使用者,此際使用者的同意,有可能不被認為是具體的有效同意。本案中,Google要求使用者,在創設帳號之前,必須點選「I agree to Google’s Terms of Service」及「I agree to the processing of my information as described above and further explained in the Privacy Policy」方框,以便創設帳號。[26]此作法令使用者給予全面性同意,讓Google在所有(各種)目的下進行的(資料)處理作業,均基於此一同意。[27] 但CNIL認為,Google在這種情形下獲得的同意有欠「具體」(specific)。[28]CNIL表示,在GDPR下,當同意是「針對每一目的所個別給予」(given distinctly for each purpose)時,才是具體的同意。[29]
(6)違規之本質與嚴重程度、違規之持續期間、對資料主體的影響程度、獲利模式等,有可能是決定裁罰金額時的考量因素之一。[30]本案新聞稿記載,CNIL於本案對Google裁罰金額的決定與公開,正當化基礎來自於Google違反GDPR的「透明」(transparency)、「資訊」(information)、「同意」(consent)等基本原則之嚴重程度。[31]Google雖有採取相關措施,但不符讓使用者能控制自身資料、獲得充分告知以便提供有效同意等基本保障。[32]其次,CNIL認為,截至本案裁罰時,Google所為係持續性的違反GDPR,而非時間有限的一次性違規。[33]再者,CNIL表示,考量到法國有許多法國人民使用Android系統,而Google的獲利有部分來自於廣告個人化,故Google就本案所涉之事,負有遵循相關法令要求的最終義務。[34]
2、本案之後
據報導,Google表示會對CNIL的本案裁罰提出上訴救濟。[35]本案並非Google近期在歐洲遭遇的個資與隱私保護相關法令遵循挑戰之唯一個案,[36]蓋因瑞典的DPA「Datainspektionen」正在調查Google有關個人手機的定位紀錄資訊處理。[37]另有論者指出,隨著瑞典Datainspektionen的調查及法國CNIL的本案裁罰,英國的DPA「Information Commissioner’s Office」也正在檢視其收到的Google相關申訴,並與歐洲其他DPA合作,對Google的隱私權相關政策進行調查。[38]另一方面,目前在全球各地面臨個資與隱私保護相關法令遵循挑戰的企業,除Google外,其他如Facebook、Apple、Amazon、Netflix、YouTube、Spotify、Instagram、WhatsApp等等,據報導也面臨類似挑戰。[39]此一情形也顯示,除各地DPA外,不少人士或組織(例如,向法國CNIL提出本案申訴的NOYB與LQDN)相當積極關心個資與隱私保護之議題,而未依法落實個資與隱私保護之企業因此遭到申訴的風險亦相形增高。[40]如今全球各地的個資與隱私相關法令規範越趨繁雜、違規處罰日漸趨嚴、各地主管機關相互合作,[41]儼為趨勢。而對應當採的法令遵循措施,所需的人力、時間、費用也與日俱增,且非朝夕之功可成。本案提醒全球可能落入GDPR(及/或其他不同法域之個資與隱私保護相關法令)之受規範者,不要輕忽個資與隱私保護的相關法令規範,宜及早採取因應措施,落實法令遵循,以免日後受罰。誠如其他論者指出,本案或是各地DPA開始對違規者祭出裁罰的系列案件之一,但可能不是最後一例。[42]
[1] The CNIL’s Restricted Committee Imposes a Financial Penalty of 50 Million Euros against GOOGLE LLC, Commission Nationale de l'Informatique et des Libertés (Jan. 21, 2019), https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc [hereinafter “CNIL’s Penalty against Google”].
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ 2016 L 119, 4.5.2016, at 1–88 (hereinafter the “GDPR”).
[4] Id.
[5] GDPR art. 4(7).
[6] Id. art. 4(8).
[7] Id. art. 4(16).
[8] Tim Mackey, Learning from Google’s Record-Setting GDPR Fine, GDPR.Report (Feb. 1, 2019), https://gdpr.report/news/2019/02/01/learning-from-googles-record-setting-gdpr-fine/.
[9] CNIL’s Penalty against Google, supra note 1.
[10] Id.
[11] Id.
[12] GDPR Recitals (127) & (128); arts. 56 & 60.
[13] CNIL’s Penalty against Google, supra note 1.
[14] Id.
[15] Kristof Van Quathem, Jetty Tielemans, Anna Oberschelp de Meneses & Nicholas Shepherd, Google Fined €50 Million in France for GDPR Violation, Covington & Burling LLP (January 22, 2019), https://www.insideprivacy.com/eu-data-protection/google-fined-e50-million-in-france-for-gdpr-violation/; Alice O’Donovan, CNIL vs. Google: 10 Lessons from the Largest Data Protection Fine Ever Issued, McGuireWoods LLP (Jan. 30, 2019), https://www.passwordprotectedlaw.com/2019/01/cnil-vs-google-largest-fine/.
[16] CNIL’s Penalty against Google, supra note 1.
[17] Id. art. 4(1).
[18] CNIL’s Penalty against Google, supra note 1.
[19] Id.
[20] Id.
[21] Id.
[22] Id.
[23] Id.
[24] Id.
[25] Id.
[26] Id.
[27] Id.
[28] Id.
[29] Id.
[30] Van Quathem, Tielemans, Oberschelp de Meneses & Shepherd, supra note 15; Alice O’Donovan, CNIL vs. Google: 10 Lessons from the Largest Data Protection Fine Ever Issued Part Two, McGuireWoods LLP (Jan. 31, 2019), https://www.passwordprotectedlaw.com/2019/01/cnil-vs-google-part-two/; Mackey, supra note 8; Jill Baehring, GDPR Violations: What You Can Learn from the First 50 Million € Fine Issued to Google, Privacy Company (Jan. 25, 2019), https://www.privacycompany.eu/en/gdpr-violations-first-50-million-eu-fine-issued-to-google/.
[31] CNIL’s Penalty against Google, supra note 1.
[32] Id.
[33] Id.
[34] Id.
[35] Laurens Cerulus, Google to Appeal €50 Million GDPR Fine, POLITICO (Jan. 23, 2019), https://www.politico.eu/article/google-appeals-e50-million-gdpr-fine/; Sara Merken & Daniel R. Stoller, Google to Fight $57 Million French Privacy Fine, Bloomberg Law (Jan. 24, 2019), https://news.bloomberglaw.com/privacy-and-data-security/google-to-fight-57-million-french-privacy-fine-1; O’Donovan, supra note 30; Olivier Proust, CNIL Issues 50 Million Euro Fine Against Google in the First Major GDPR Infringement Case, Fieldfisher LLP (Feb. 4, 2019), https://privacylawblog.fieldfisher.com/2019/cnil-issues-50-million-euro-fine-against-google-in-the-first-major-gdpr-infringement-case.
[36] Baehring, supra note 30.
[37] Datainspektionen, Request for Reply and Further Clarification (Jan. 18, 2019), https://www.datainspektionen.se/globalassets/dokument/ovrigt/google---request-for-reply-and-further-clarification---skrivelse-till-tillsynsobjekt.pdf.
[38] Bobby Hellard, ICO to Investigate Google over GDPR Violations, ITPRO (Feb 4, 2019), https://www.itpro.co.uk/policy-legislation/32903/ico-to-investigate-google-over-gdpr-violations; Ryan Stewart, The UK Grills Google for Potential Data Privacy Violations, Cyware Labs (Feb. 4, 2019), https://cyware.com/news/the-uk-grills-google-for-potential-data-privacy-violations-55992192.
[39] David McLaughlin, Facebook Faces Potential Record U.S. Fine on Privacy Violations, Bloomberg (Jan. 19, 2019), https://www.bloomberg.com/news/articles/2019-01-18/facebook-is-said-to-face-record-u-s-fine-on-privacy-violations; GDPR: noyb.eu filed four complaints over “forced consent” against Google, Instagram, WhatsApp and Facebook, NOYB – European Center for Digital Rights (May 25, 2018), https://noyb.eu/4complaints/; Austrian Data Privacy Activist Takes Aim at “Forced Consent”, Reuters (May 25, 2018), https://www.reuters.com/article/europe-privacy-lawyer/austrian-data-privacy-activist-takes-aim-at-forced-consent-idUSL5N1SW1BS; Arjun Kharpal, Facebook Faces $1.6 Billion Fine as Top EU Regulator Officially Opens Probe into Data Breach, CNBC (Oct. 4, 2018), https://www.cnbc.com/2018/10/04/facebook-data-breach-top-eu-regulator-officially-opens-investigation.html; Amazon, Apple and Google Face Data Complaints, BBC (Jan. 21, 2019), https://www.bbc.com/news/technology-46944694; Stefan Dragojević, YouTube, Netflix and Others Accused of GDPR Violations, Gecić Law (Jan. 23, 2019), https://www.geciclaw.com/youtube-netflix-and-others-accused-of-gdpr-violations/.
[41] 例如,歐盟與日本於2018年9月啟動有關個資保護「適足性」(adequacy)之相互認定,已於2019年1月23日完成並生效。此一個資保護適足性相互認定的完成與生效,允許歐盟與日本兩大經濟體,在強力的確定保障下,相互傳輸個資。歐盟與日本並於同年同月,對外公告此事,宣稱創造了當世最大的安全資訊傳輸區域。Joint Statement by Věra Jourová, Commissioner for Justice, Consumers and Gender Equality and Haruhi Kumazawa, Commissioner of the Personal Information Protection Commission of Japan, European Commission (Jan. 23, 2019), http://europa.eu/rapid/press-release_STATEMENT-19-621_en.htm; Joint Statement by Haruhi Kumazawa, Commissioner of the Personal Information Protection Commission of Japan and Věra Jourová, Commissioner for Justice, Consumers and Gender Equality of the European Commission (Jan. 23, 2019), https://www.ppc.go.jp/files/pdf/310123_pressstatement_en.pdf; Press Release, European Commission Adopts Adequacy Decision on Japan, Creating the World’s Largest Area of Safe Data Flows, European Commission (Jan. 23, 2019), http://europa.eu/rapid/press-release_IP-19-421_en.htm; 個人情報保護委員会,日EU間の相互の円滑な個人データ移転を図る枠組み発効,2019年1月23日,https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/; 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号),https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf; The Framework for Mutual and Smooth Transfer of Personal Data between Japan and the European Union Has Come Into Force, Personal Information Protection Commission of Japan (Jan. 23, 2019), https://www.ppc.go.jp/en/aboutus/roles/international/cooperation/20190123/.
[42] Proust, supra note 35; Mackey, supra note 8.
