涉外法律|GDPR典型案例之法国

提要：

1. 处罚金额：5 千万欧元

2. 处罚依据：Art. 4 nr. 11 GDPR；Art. 5 GDPR；Art. 6 GDPR；Art. 13 GDPR；Art. 14 GDPR

3. 处罚时间：2019/1/21

案例概况：

1. 谷歌向用户提供的信息（例如数据处理目的，数据存储时间或用于广告个性化的个人

数据类别），过度分散于多个文件中，需要用户经过五六个步骤才能访问；

2.对于广告个性化投放的数据处理目的、基于不同目的收集和处理的数据类别的描述过于笼统和含糊。用户无法据此了解谷歌到底适用用户的同意还是根据公司自身利益来处理数据。Google 还预先勾选了广告个性化的显示框，但是，根据GDPR 的规定，只有用户明确的肯定行动（例如勾选未预先勾选的显示框），同意才是明确的；

3.谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款，而非区分各种不

同目的（如个性化广告或语音识别等）来同意各项条款。

违规分析：

1. 违反透明性原则，用户无法轻易访问Google 提供的信息。谷歌在用户访问个人数据上缺乏透明度，一方面，用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度；另一方面，即使是谷歌已经提供的信息，对用户来说也是不易获得的，原因是这些信息过度分散于多个文件中，需要用户经过五六个步骤才能访问。

2.违反了为广告个性化处理提供法律依据的义务。首先，用户的“同意”并未充分了解情况。比如Google 对广告进行了稀释操作，打散在Google 搜索、You tube、Google 主页、Google地图、Playstore、Google 图片中，个人信息在多个文件中被过度传播（预计20 个）。其次，用户的“同意”既不是具体的也不是明确的。创建帐户后，用户可以通过单击“更多选项”按钮修改与帐户关联的某些选项，在“创建帐户”按钮上方访问。实际上，用户不仅必须点击“更多选项”按钮来访问配置，而且还预先勾选了广告个性化的显示。但是，根据GDPR 的规定，只有用户明确的肯定行动（例如勾选未预先勾选的方框），同意才是“明确的”。最后，在创建帐户之前，要求用户勾选“我同意Google 的服务条款”框和“我同意如上所述处理我的信息，并在隐私政策中进一步说明”才能完成创建帐户的过程。

合规启示：

1. 企业应当以简单明了、透明以及易获得的形式将GDPR 第13 条和第14 条要求提供

的信息提供给数据主体，特别注意相关信息不应过度分散，确保用户能够通过相对容易的操作访问其个人数据；

2. 对数据收集和处理的目的描述应当是明确而清晰的；

3. 选择和适用恰当的合法性基础；

4. 在获取用户的同意时，应当确保该同意是明确而具体的，即针对不同的处理行为获取相应的同意，禁止”一揽子“授权同意。

提要：

1. 处罚金额：40 万欧元

2. 处罚依据：Art. 32 GDPR

3. 处罚时间：2019/5/28