欧洲的消费者权益组织已经对谷歌提出了一系列新的隐私投诉——指责这家广告巨头在账户创建过程中进行了欺骗性设计,他们说这会引导用户同意对其数据进行广泛和侵入性的处理。
这家科技巨头为广告定位目的对帐户持有人进行了简介——显然依赖用户同意作为其法律依据。但欧盟的旗舰数据保护法《通用数据保护条例》(GDPR)在设计和默认情况下提出了对隐私的要求,并就必须如何获得同意才能使其合法化设定了明确的条件。
因此,消费者群体的牛肉——如果谷歌的欺骗性设计正在欺骗用户接受它的跟踪。
他们认为,这家科技巨头围绕帐户创建部署的设计选择使用户更容易同意谷歌处理他们的信息,以“个性化”广告为目标,而不是拒绝同意谷歌对其进行分析以进行行为广告。
被跟踪的快速通道
这些投诉强调了更多隐私友好的选项——谷歌将其描述为“手动个性化”——要求用户采取五个步骤和十次点击(正如他们所说的“处理不明确、不完整和误导性的信息”);而它提供一键式“快速个性化”选项,可以激活所有跟踪,这对隐私来说很糟糕。
他们还指出,谷歌没有为消费者提供一键关闭所有跟踪的选项,并进一步指出谷歌需要创建帐户才能使用其自己的某些产品,例如在设置 Android 智能手机时。
在其他情况下,用户可能会自愿创建一个谷歌账户——但无论哪种方式,这家科技巨头仍然会提供倾斜的选项来促使消费者同意对其进行跟踪。
“无论消费者选择何种路径,谷歌的数据处理都是不透明和不公平的,消费者的个人数据被用于模糊而深远的目的,”投诉人还在新闻稿中争辩道。
这一系列 GDPR 投诉由成员组织 BEUC(又名欧洲消费者组织)协调。
根据 BEUC,已向欧盟成员国和市场的数据保护机构提出投诉,包括其在法国、捷克共和国、挪威、希腊和斯洛文尼亚的成员组织。
它还指出,其德国成员 vzbv 在可能提起民事诉讼之前已向谷歌写了一封警告信。它补充说,虽然荷兰、丹麦和瑞典的消费者团体已经写信给他们的国家 DPA,提醒他们注意这些做法。
BEUC 副总干事 Ursula Pachl 在一份声明中评论该行动时说:
“与谷歌声称的保护消费者隐私相反,数以千万计的欧洲人在注册谷歌账户时被置于快速监控的轨道上。让 Google 监控和利用您所做的一切只需一个简单的步骤。如果您想从隐私友好的设置中受益,您必须浏览更长的过程以及混合不明确和误导性的选项。简而言之,当您创建 Google 帐户时,您会受到设计和默认的监视。相反,隐私保护应该是消费者默认和最简单的选择。”
这不是欧盟消费者权益组织针对 Google 的做法提出的第一个与隐私相关的投诉。他们还在 2018 年就其位置数据的收集提出了投诉——但直到2020 年 2 月,谷歌的欧盟首席数据主管爱尔兰数据保护委员会 (DPC) 才开始调查。而且,两年多后,该数据调查仍在进行中。
早在 5 月,DPC 的副专员 Graham Doyle 告诉 TechCrunch,它预计将在“未来几个月”向其他 DPA 提交一份关于谷歌位置数据查询的决定草案以供审查。但是,如果对爱尔兰的方法存在分歧,则可能需要再等几个月才能就最终的共识决定达成一致。因此,这一长期投诉的解决方案今年可能仍未到来。
DPC 还没有就其他针对谷歌的长期 GDPR 投诉发布决定。例如关于其广告技术的重大投诉,该投诉于2019 年 5 月开始调查——现在因不作为而被起诉。
另一项投诉——针对谷歌在其 Android 移动平台上使用所谓的“强制同意”——可以追溯到2018 年 5 月。尽管尚不清楚 DPC 是否曾就此案展开调查。法国的数据保护监管机构 CNIL 开始进行调查,并于2019 年 1 月对谷歌处以 5700 万美元的罚款,原因是谷歌违反了其操作 Android 的透明度和许可。 (CNIL 决定在这种情况下拥有权限,因为与 Android 相关的决定可能是在美国做出的,而不是在谷歌地区总部所在的都柏林。)
但爱尔兰尚未发布针对谷歌的单一 GDPR 决定。
BEUC 并没有掩饰其对 DPC 对这家科技巨头的投诉缺乏执法的失望。
“谷歌是屡犯者,”帕克尔说。 “自从我们对谷歌的位置跟踪做法提出投诉以来,已经三年多了,而负责的爱尔兰 DPC 仍未就此案作出决定。与此同时,谷歌的做法本质上并没有改变。这家科技巨头仍在对消费者进行持续跟踪和分析,其做法为其他市场定下了基调。”
“我们需要当局迅速采取行动,因为最大的参与者之一无视 GDPR 是不可接受的,”她补充说。 “此案具有战略意义,欧盟数据保护机构之间的合作必须得到欧洲数据保护委员会的优先考虑和支持。”
谷歌跟踪帐户用户的问题与这家广告巨头基于 cookie 的跟踪是分开的——它部署了技术来跟踪第三方网站和应用程序中的用户。
后一个过程一直是其他欧盟投诉的主题,近年来导致 一些 执法,法国的数据保护监管机构对谷歌处以接近 3 亿美元的罚款,原因是根据欧盟的 ePrivacy 指令,因 cookie 跟踪相关的违规行为 – 之后谷歌做出了一些更改显示欧洲网络用户的 cookie 同意横幅。
战略投诉
Pachl 关于谷歌账户注册投诉具有“战略意义”的评论是指 BEUC 期望此案将触发 GDPR 合作机制(即第 60 条)下的程序启动——它希望该程序能够比它更顺利地运行自 2018 年提出谷歌位置数据投诉以来一直如此。
BEUC 之所以希望现在更顺利,是因为欧盟 DPA 在 4 月份达成的一项协议——也就是“ 维也纳宣言”——当时他们承诺加强对“具有战略意义”的跨境 GDPR 案件的执法合作。
对像谷歌这样的科技巨头的投诉显然达到了这个标准。但较早的谷歌位置数据投诉已经背负了许多与合作相关的问题,这些问题导致调查放缓并延迟了该案的决定。
在讨论 BEUC 希望监管机构在处理这一新的跨境 Google 投诉时应用哪些变化时,该组织数字政策团队负责人 David Martin Ruiz 告诉我们:“我们希望优先处理投诉,因为它涉及影响数百万欧洲人的监控经济中主要市场参与者的做法。第一次花了大约 6 个月的时间来命名牵头机构。此外,我们期望当局之间进行更好、更密切的合作,例如在检查投诉的可受理性方面,并且接收投诉的当局只进行一次。当然,我们希望有关当局的更密切合作和战略优先次序能够对投诉进行迅速、全面的调查和有效执法。”
尽管如此,鲁伊斯拒绝预测修改后的合作程序能够以多快的速度对谷歌实施执法,并表示:“很难给出具体数字,但我们当然希望它比现在的正在进行中,我们不在这里 3 年后仍在等待决定草案。”
欧盟委员会也对广告科技巨头遵守欧盟隐私法的做法持批评态度,最近为这些重大跨境案件的监管执法速度较慢辩护。
在给欧洲监察员的一封信中——在抱怨欧盟委员会对 GDPR 的监督后,该监察员一直在调查欧盟执行官对 GDPR 的监督——司法专员迪迪埃·雷恩德斯(Didier Reynders)将这些大型调查所涉及的复杂程度比作反垄断案件, 写作:
”……重要的是要区分相对简单且不需要广泛调查的案件和需要复杂的法律和经济评估或提出新问题的案件。那些复杂的案件,例如涉及大型科技跨国公司商业模式问题的案件,可能需要几个月或几年的调查,类似于竞争法调查的情况。这对爱尔兰尤其重要,因为许多此类公司的主要机构都在这个成员国。”
在回应 Reynders 的观点时,Ruiz 告诉 TechCrunch:“我们同意并理解这些都是复杂的问题,当局需要时间来建立强有力的案例。但是,我们看到的问题超出了调查这些案件所需的时间(例如,DPA 在决定开始自己的调查时缩小了投诉范围)。此外,许多需要数年时间的大投诉实际上不是正常的投诉,因为它们已经得到了大量法律分析和事实证据的支持,旨在促进 DPA 的任务。此外,当然,解决这些案例所花费的时间也说明了更深层次的问题,例如缺乏足够的资源。希望根据维也纳宣言加强合作和战略优先次序,将有助于减少调查这些案件所需的时间。复杂性和调查所需的时间不能成为不作为的借口。”
BEUC 并未呼吁对 GDPR 进行重大修订,以解决及时执行针对大型科技公司的问题。但它正在推动 DPA 单独和集体地进行一系列流程更改,以解决与法规的一站式/领先数据监管结构相关的案件瓶颈等问题,这使得问题成为可能论坛购物。
“简而言之,对于大型科技公司,第一步是阻止’瓶颈’,”他说。 “基本上,DPA,尤其是监督许多大型科技公司的 DPA,需要就未决案件做出决定。 EDPB 中的主要 DPA 和其他 DPA 都需要在解释和应用规则时严格而雄心勃勃。此外,如果牵头 DPA 没有做出决定,其他人必须充分利用自己的权力并采取紧急措施。需要向大型科技公司发出一个明确的信号,即橱窗装饰和化妆品透明度措施将不再起作用。他们的核心业务实践中存在一些必须解决的基本问题,因为它们与 GDPR 的本质背道而驰。”
“当然,令人担忧的是,执法行动没有市场惯例那么快,而且公司一直在改变事情。需要强调的是,公司调整和纠正某些事情不应该抹去过去的侵权行为并让他们不受惩罚,特别是如果他们已经持续多年并且已经影响了数百万人。否则,这是我们向公司发出的一个非常危险的信号,”他补充说。 “我们会告诉他们‘只要你没有被抓到就可以违反 GDPR,如果你被抓到了,只要迅速解决,不会有任何后果。’”这与应该发生的情况相反。侵权必有后果。否则就没有正义,也没有威慑作用。”
原文: https://techcrunch.com/2022/06/29/google-account-gdpr-complaint/