法国数据保护监管机构根据GDPR对谷歌处以5700万美元罚款

法国数据保护监管机构CNIL发布了第一笔GDPR罚款5700万美元（5000万欧元）。监管机构声称，当新的Android用户设置新手机并遵循Android的入职流程时，Google未能遵守通用数据保护法规（GDPR）。

两个非营利组织称为“无业务”（noyb）和La Quadrature du Net最初在2018年5月提出申诉 - noyb最初对谷歌和Facebook提起诉讼，让我们看看接下来会发生什么。根据GDPR，投诉转移到当地的数据保护监管机构。

虽然谷歌的欧洲总部位于都柏林，但CNIL首先得出结论，都柏林的团队在新Android用户的数据处理方面没有最终决定权 - 这一决定可能发生在山景城。这就是巴黎调查继续进行的原因。

然后CNIL得出结论，谷歌在透明度和同意方面未能遵守GDPR。

让我们从所谓的缺乏透明度开始。 “基本信息，例如数据处理目的，数据存储期或用于广告个性化的个人数据类别，在多个文档中过度传播，需要点击按钮和链接才能访问补充信息， “监管机构写道。

例如，如果用户想知道如何处理他们的数据以个性化广告，则需要5或6次点击。 CNIL还说，通常很难理解你的数据是如何被使用的 - 谷歌的措辞是广泛而且模糊不清的。

其次，根据CNIL，Google的同意流程不符合GDPR。默认情况下，Google真的会推动您登录或注册Google帐户。该公司告诉您，如果您没有Google帐户，您的体验会更糟。根据CNIL，谷歌应该将创建帐户的行为与设置设备的行为分开 - 同意捆绑在GDPR下是非法的。

如果您选择注册某个帐户，当该公司要求您勾选或取消某些设置时，Google就无法解释其含义。例如，当谷歌询问您是否需要个性化广告时，该公司并没有告诉您它正在谈论许多不同的服务，从YouTube到谷歌地图和谷歌照片 - 这不仅仅是关于您的Android手机。

除此之外，Google在您创建帐户时不会要求明确的同意 - 选择退出个性化广告的选项隐藏在“更多选项”链接后面。该选项默认情况下预先勾选（不应该）。

最后，默认情况下，Google会在您创建帐户时勾选一个框，其中显示“我同意如上所述处理我的信息并在隐私政策中进一步说明”。 GDPR也禁止这样的广泛同意。

CNIL还提醒谷歌，自2018年9月调查以来，没有任何变化。

noyb Max Schrems主席给我们发了以下声明：

“我们非常高兴欧洲数据保护机构首次利用GDPR的可能性来惩罚明显的违法行为。在引入GDPR之后，我们发现像谷歌这样的大公司只是“以不同的方式解释法律”，而且往往只是表面上适应了他们的产品。重要的是，当局明确表示仅仅声称投诉是不够的。我们也很高兴我们保护基本权利的工作正在取得成果。我还要感谢让我们的工作成为可能的支持者。“

更新：Google发言人向我们发送了以下声明：

“人们希望我们能够实现高标准的透明度和控制力。我们坚定地致力于满足这些期望和GDPR的同意要求。我们正在研究决定下一步的决定。“