谷歌在西班牙被罚款千万欧元 此前还收到法国开出美国主权信用评级的五千万欧元罚单

近来，西班牙数据维护组织(Agencia espaola de protec ción de Datos，下称“AEPD”)发表声明，称因为谷歌在未经授权的情况下将用户数据供给给第三方并阻止用户行使删去其个人数据的合法权利，决议对谷歌处以1000万欧元的罚款。随后，谷歌回应称对此已打开检查，其将从头评价和规划与第三方展开的数据同享实践。现在，相关第三方已删去自谷歌处获取的用户数据。

AEPD的公告显现，此次向谷歌处以高额罚款是因为两项严峻的侵权行为。AEPD发现，谷歌作为用户数据的控制者，在未经授权的情况下向第三方数据处理者Lumen Project供给用户数据，包含身份信息、邮箱地址、用户网址等，并确定此举违背了《通用数据维护法令》(GDPR)的相关规则。

欧盟GDPR第6条规则，搜集、处理个人数据有必要契合六种条件之一才属合法，这些条件包含需经用户赞同、为实行用户与企业之间的合同一切必要、为完结企业所担负的法令义务、为维护用户或其他自然人的严重利益、为了公共利益以及该处理行为系企业或第三方寻求合法利益一切必要。

另一项侵权行为则与第三方Lumen Project组织的功用有关。Lumen Project是哈佛大学伯克曼·克莱恩(Berkman Klein)互联网与社会中心建立的一个学术项目，旨在经过搜集和研讨用户发送给网络出版商、渠道和服务供给商等不同类型的投诉和删去恳求，展开“网络删去”生态剖析，了解大众的网络参加文明。

据悉，AEPD以为，谷歌将提出数据删去恳求的用户的个人数据供给给Lumen Project，运用户删去恳求中包含的一切个人数据都经过网站被发送到另一个可揭露拜访的数据库中，这种做法阻止了用户合法行使删去权。此外，谷歌的隐私方针也未提及与Lumen Project之间的数据传输。

不仅如此，AEPD还指出，谷歌向Lumen Project供给数据是其对运用“表单”功用的用户提出的强制要求，用户不能回绝，而“表单”功用是为用户提出数据删去恳求而规划。这意味着谷歌为用户行使删去权设置了额定条件，行使删去权需受谷歌删去体系的约束，此举相同违背了GDPR的相关规则。

GDPR第17条规则，信息主体有权要求控制者删去个人相关信息，不得无故延迟。信息主体可依据不同的理由取得删去权，包含与搜集数据的意图比较，这些数据不再必要;个人资料被不合法处理;依据法令有必要删去数据;数据是16岁以下的未成年人供给的以及数据搜集没有得到主体的赞同等。

谷歌发言人对此回应称，其长时间致力于进步用户删去恳求体系办理的透明度，与Lumen Project协作是为了协助研讨人员和大众更好地了解删去权。现在，谷歌已对此展开检查，将与AEPD等隐私监管组织活跃交流并从头评价和规划其与第三方展开的数据同享实践，企图在维护隐私与办理网络内容之间找到平衡。

除了罚款，AEPD还要求谷歌中止数据传输并催促删去其在没有有用法令依据的情况下向Lumen Project等组织供给的一切用户数据，调整用户在其产品、服务内容等方面行使擦除权的程序。现在，Lumen Project已依照谷歌的要求删去了用户数据。

据了解，这是AEPD迄今为止开出过的最高“罚单”，谷歌也并非初次因违背GDPR遭到罚款。据南都此前报导，2020年6月，法国国务委员会宣告驳回谷歌上诉，确定其因未满意信息发表透明度的相关要求以及未充沛奉告用户个性化广告的相关事项而被确定为违背了欧盟GDPR，应付出CNIL开出的五千万欧元罚单。