欧盟要求谷歌公司限期修改隐私新政

存有争议的谷歌隐私新政,可能遭到欧盟相关监管机构的起诉。

当地时间16日,法国信息保护机构——国家信息自由委员会(CNIL)致信谷歌,认定其此前对于隐私政策的解释不够完整,尤其是在用户信息数据处理,以及其旗下各服务平台之间如何分享用户私人数据等方面存在“不透明”做法,要求谷歌在3-4个月内大幅修改现行政策。

作为代表欧盟27个国家的数据监管部门,CNIL威胁说,若谷歌不加以改正,将动用法律武器。

同一天,久未露面的谷歌首席执行长拉里·佩奇在谷歌年度时代精神大会上向公司业务伙伴表示,谷歌与监管机构展开了很好的辩论,而且采取了合作态度,但强调互联网的过度监管和人们行动所受的限制对谷歌构成了重大风险。

这是现年39岁的佩奇今年6月被传“失声”后的首度露面。佩奇在16日的演讲中声音依然沙哑,谷歌从未详细介绍过佩奇的身体状况。

除了欧盟最新关于隐私政策的警告,谷歌公司因涉嫌滥用互联网统治地位、将流量引导至自有专业服务网站,正面临欧盟和美国反垄断机构调查。同时,美国监管机构在调查谷歌旗下的摩托罗拉在与竞争对手打交道时,是否公平使用库藏专利。

关系谷歌数亿用户

此番CNIL所指的谷歌隐私新政实施于今年3月1日。这些新条款关系到谷歌如何使用数亿名用户的数据,以增强对消费者需求的了解,进而提高投递精准广告的能力。

根据新条款,用户使用谷歌旗下的各种服务时的数据信息都会被记录在案,而且用户无法对上述数据记录说“不”,谷歌还与旗下的各服务平台分享用户数据信息,例如用户在Gmail或者YouTube上的相关信息数据,在使用谷歌搜索时会被体现出来。

此举在宣布之时就遭到了不少非议,担心其数据被谷歌的广告服务所利用。但谷歌表示,这将带来更为简单以及直观的谷歌体验。

在新隐私政策实施后,谷歌就推出了第一款相关产品Google Now,能够根据用户的搜索历史和位置,向用户推送相应的服务,例如交通流量信息和天气服务等,甚至当你身处海外时还能自动给出货币汇率。

随后CNIL牵头开始对谷歌隐私进行调查,谷歌分别在4月20日和6月21日回复了CNIL的问卷调查,但代表欧盟监管机构的CNIL认为回复并不充分。

“谷歌向用户提供的(隐私政策说明)信息不够充分,尤其是在数据处理的目的性和哪类数据将被处理上面,这次调查证实了我们对于谷歌数据整合服务的担忧。”CNIL说。

“存在三大缺陷”

在CNIL看来,谷歌对于隐私政策的解释在三个方面未能说服监管机构,包括隐私政策的基本信息、用户数据的整合以及保留期限。

该监管机构指出,谷歌呈现给用户的隐私政策解释,只是一个宽泛陈述的合集,虽然每个产品中都有独立的隐私政策说明,但这些说明与隐私政策总纲领有时候并不匹配甚至是很难读懂,而且只有总纲领可以查询到以前的各类版本。而在总纲领中曾出现了60多种此前的隐私政策,但这些已难以找到出处。

至于所收集的用户数据的使用目的,谷歌同样被指描述得不够精准。

如果说对于隐私政策的解释不够完善,只是体现谷歌是否“用心”的话,那么将旗下各服务的用户数据整合,才是谷歌此次政策调整的“核心”部分,也是欧盟最为关切的一点。

正如Facebook一样,谷歌如果将用户使用搜索、邮箱以及视频服务时所留下的信息加以整合存储,将能大大提高其广告投放的有效性。

CNIL 的调查称,存储用户数据的范围相当广,包括任何谷歌页面上以及带有“+1”等按钮的第三方网页的活动记录,这些记录将被保留18个月至24个月不等。 CNIL认为,虽然这些数据的保留,有时候是为了方便用户使用,例如使用Gmail和YouTube时,或者是出于安全目的和广告目的,但无论是何种原因,谷歌从未获得来自用户的有效肯定,因为用户不清楚自己的数据到底被整合到何种程度。

“谷歌对于用户数据整合的兴趣,超越了其对于基本权利和数据自由权利的追求。”CNIL指出,数据的整合,必须遵守适当比例的原则、有限的目的性、数字最小化以及留有拒绝的权利,但谷歌并未公开为这些原则背书。

欧盟提出12条整改意见

针对上述问题,CNIL给出了12条修改意见,CNIL主席伊莎贝尔·法尔克-皮尔罗京说,除非谷歌在3-4个月内实施改进措施,否则将动用法律武器。

修改意见首先要求谷歌用清楚准确的方式描述其数据处理的目的,并要求除非获得用户同意,否则不能对数据进行加工修改,此外,谷歌必须开发有关隐私政策的“互动展示”,以便用户不需要阅读复杂冗长的文章就能明白相关政策,并在使用相关产品时给予提醒。

只有在完成上述要求的基础上,谷歌才能对用户数据进行整合。并且,针对一些有法律依据可以使用数据整合的服务,例如邮箱使用、安全验证以及学术搜索等活动,谷歌被要求为用户设置有拒绝的权利(opt-out),以防数据滥用。而当用户数据被用于广告服务或者分析统计服务时,CNIL要求,这类通常没有法律依据的服务必须征得用户的同意,同时,谷歌必须为用户设置对应的工具,由用户自己决定谷歌的哪些服务能整合其个人数据。

CNIL还要求,谷歌必须更明确定义个人数据的存储期限,尤其是在特定内容的删除、取消指定服务的订阅功能以及删除账户方面,需要给出具体的数据保留时间。

面对欧盟监管机构提出的各种整改要求,谷歌全球隐私顾问彼得·弗莱舍表示,谷歌将评估调查结果,“相信谷歌的隐私政策符合欧盟法律。”

由于CNIL只是一个数据保护机构,无权强制谷歌对政策进行修改,一旦谷歌无法满足其条件,CNIL只能通过法律渠道来解决相关问题。

值得关注的是,包括微软与Facebook在内的多家互联网企业也在寻求以新方式来更好地利用用户数据,因此谷歌的隐私政策对其保持在互联网广告领域的领先地位至为关键。CNIL的最新警告,可能会延缓这家美国搜索引擎在欧洲推出新产品及广告模式的步伐。