GDPR之下的Google合規卻引來本土罰單_風聞

自從GDPR生效以來，曾經把 “不作惡”作為企業經營信條的Google開始接連不斷地在個人數據保護問題上遭到來自各界的質疑。前面歐盟的天價罰款風波還沒有平息，最近的Google可能再次由隱私問題收到來自美國本土的鉅額罰單。

關注我們實戰指南的朋友，相信一定對Google為用户設計的進行個人數據管理的dashboard不陌生。通過這個數據管理界面，用户可以選擇開啓或者關閉Google對於一些個性化廣告的服務，以及實現網絡活動記錄、位置記錄等個性化數據的查詢和刪除。  

但是，用户是真的可以通過dashboard把自己的個人數據控制在指尖了嗎？

答案是否定的。

《美聯社》的調查

近期來自《美聯社》的一則針對Google的調查，用冷冰冰的調查事實指出Google在用户選擇關閉定位服務或者關閉位置歷史記錄的情形下，仍然採集用户位置標記，涉嫌濫用用户的個人數據。根據調查事實，Google對於用户地理位置信息的濫用通過以下方式實現。

在大多數情況下，Google都會提前向用户申請使用地理位置信息。 例如，Google地圖應用會提醒用户，需要用户允許使用地理位置信息進行導航服務。如果用户同意讓它記錄位置，Google地圖便會在“時間軸”中為用户顯示該歷史記錄，即用户的日常活動地理位置信息。同時，Google在dashboard中為用户提供了關閉位置記錄的選項，並聲稱關閉位置記錄後，Google將不再存儲的用户的地理位置信息。

事實上，根據美聯社的調查，發現即使關閉了“位置記錄”，某些Google應用會在不經用户允許的情況下自動存儲帶有時間戳的地理位置數據。此外，即使所有的位置服務都已關閉，谷歌還通過收集附近手機信號塔的地址來跟蹤Android用户的位置。

美聯社在調查報道中還指出，如果用户想保護自己的位置隱私，阻止谷歌保存這些位置標記，需要完成以下兩個事項。

首先，用户需要關閉的是非“位置記錄”的另一個設置，一個不具體引用地理位置信息的設置稱為“網絡和應用活動”。因為前述設置在默認情況已啓用，會將Google應用和網站中的包括地理位置信息在內的各種信息存儲到用户的Google帳户中。

其次，用户還需要在dashboard中找出隱藏在不同管理標題下的其他位置標記。如此複雜的操作，相信一般的用户根本沒有辦法完成，所以美聯社的調查由此指出Google存在欺騙用户進行“位置記錄存儲”和“位置追蹤”的濫用用户數據行為。

以上的調查報道發出後，連美聯社都沒有想到的是，本以為只是單純在輿論上給Google施加壓力，卻不料被有心的亞利桑那州總檢察長抓住了Google的把柄。 

亞利桑那州司法介入

9月12號，來自另一家媒體《華盛頓郵報》的報道稱，在《美聯社》曝出這一調查消息後僅僅一週，亞利桑那州的司法部門就組織了針對Google相關行為的調查，極可能因此起訴並開出高額罰單。

以上《華盛頓郵報》的報道源自亞利桑那州辦公的一封公開法律文件。有匿名的知情人士透露，亞利桑那州的首席檢察官馬克•布爾諾維奇發起了一項針對Google位置跟蹤行為的調查。布檢察長作為亞利桑那州的首席法律官員，負責向州長和政府各部門提供法律諮詢和意見，他自上任以來便一直十分重視互聯網用户的數據隱私和網絡安全問題。為了保證這項調查的專業性和公正性，他還專門聘請了一家外部律所來協助調查。這份公開的文件展示了此次調查的主要原因是懷疑Google違反了與“消費者位置數據的存儲”和“追蹤消費者位置”相關的潛在的消費者欺詐行為。布檢察長可能提起指控Google違反亞利桑那州消費者欺詐法案的訴訟，並按照違規次數尋求每次最高1萬美元的罰款，這將再次導致Google面臨鉅額處罰。 

GDPR中有關地理位置的相關規定

 “根據GDPR第4條的規定，個人數據是指已識別到的或者可被識別的自然人(“數據主體”)的所有信息。

可被識別的自然人是指其能夠被直接或間接識別要素通過識別要素得以識別的自然人，尤其是通過姓名、身份證號碼、定位數據（location data）、在線身份等識別數據，或者通過該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的一項或多項要素予以識別。”

由此可見，地理位置信息作為一種定位數據，對於個人數據的判斷起着至關重要的作用；反之，也意味着數據控制者對於地理位置信息處理，也將會成為GDPR合規的重點。所以，控制者對於地理地理位置信息的處理態度，自然會成為數據監管機構的重要關注點。

Google通過dashboard的設計，不僅給予了用户管理地理位置數據的自由，還向歐洲的監管機構和全球的用户交出了一份看似完美的GDPR合規答卷。不巧的是，真的有對隱私保護十分重視的用户本着科研的精神去找Google驗證，最終引發了後面從《美聯社》到《華盛頓郵報》的輿論風暴。這樣的現象也從另外一個側面説明，在GDPR時代來臨之後，人們對於自身在互聯網世界隱私保護意識的覺醒。

結語

Google在美國亞利桑那州的地理位置事件，給我們帶來了新的啓示。GDPR正式生效後，儘管歐盟的天價處罰和歐盟國家政府機關自身的GDPR合規還沒有到位，卻成功引發了全球範圍內對於個人隱私保護現象級的討論。其中出現的一個很有趣的現象便是：GDPR的實施對於世界各國互聯網用户個人隱私保護意識的喚醒，有着不可小覷的力量。在這一力量的驅動下，世界各國為了響應民眾對於互聯網個人隱私保護的需求，紛紛加入到全球個人數據監管的立法當中。除了美國加州數據保護法案（CCPA）的公佈，亞洲以印度、韓國為代表的國家也在緊鑼密鼓的開展個人數據保護立法，全球數據保護法案版圖的正在迅速擴張。在各國隱私保護的強監管趨勢之下，揚帆出海的互聯網企業對於數據合規的探索之路，可謂是路漫漫而修遠。

APUS研究院

APUS旗下專注於全球互聯網發展研究的智庫平台，是面向未來移動互聯網創新變革的孵化器及加速器。