标签: GDPR

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

新浪科技讯 北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。 法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。 CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。 根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。 CNIL发表声明称,谷歌在信息披露的问题上缺乏透明度,并指出用户无法了解谷歌“大规模的、侵入性的”数据处理达到了什么样的程度。声明还称,即便是谷歌已经提供的信息,“对用户来说也是不易获得的”,原因是这些信息“过度分散于多个文件中”,需要用户经过五六个步骤才能访问。 “举例来说,就谷歌出于个性化目的或为了提供地理追踪服务而收集的数据而言,当用户想要获得有关这些数据的完整信息时,就会发生这种情况。”声明写道。 除此以外,CNIL还表示,用户“无法完全了解”谷歌对用户数据进行处理的程度。鉴于谷歌提供的服务多达20项,加之这些服务所涉及的用户数据十分庞大,因此CNIL将谷歌的数据处理描述为“大规模的、侵入性的”。CNIL还补充道:“谷歌对数据处理目的作出的描述过于笼统和模糊,而就谷歌为不同目的而处理的数据类别而言,情况也是如此。 ” 与此同时,用户也无法了解谷歌到底是将用户许可作为法律依据来根据“通用数据保护条例”处理数据,还是根据公司自身利益来处理数据。 根据CNIL作出的评估,谷歌为广告个性化而收集的用户许可是无效的,因为这种许可不是具体而明确的,而且用户也并未获得充分的通知。 CNIL表示:“有关广告个性化数据处理的信息被分散到了多个文件中,这就使得用户无法了解其程度如何。” 该机构承认,在用户创建帐户之后,可以对其进行一些修改,但同时指出“这并不意味着‘通用数据保护条例’受到了尊重”。相反的,CNIL指出,不仅用户修改数据的选项被隐藏在了“更多选项”(more options)按钮之下,而且广告个性化的选择是一个预先打勾的方框(这就违反了“通用数据保护条例”的规定,因为只有在用户明确作出肯定之后,许可才能被视为明确无误的)。 CNIL还指出,用户许可不够具体,因为谷歌要求用户必须完全同意隐私政策中的服务条款和数据处理条款,而非区分各种不同目的(如广告个性化或语音识别等)来同意各项条款。 这是一家公司因数据保护违规行为而被处以的最大一笔罚款,同时也是CNIL采取的第一次处罚行动。该机构称,这笔罚款“就其违规行为的严重程度来看是合理的”。CNIL指出:“此外,这些违规行为是持续违反‘通用数据保护条例’的行为,因为直到今天,我们还能看到这种行为。这不是一次性的、时间有限的违规行为。“ 在“通用数据保护条例”正式生效之后,到目前为止已经处以的罚款金额都要小得多:德国当局此前对一个聊天应用处以2万欧元(约合2.3万美元)罚款,奥地利当局针对CCTV被非法使用一事处以4800欧元(约合5460万美元)罚款,葡萄牙当局则已对一家亿元处以40万欧元(约合45万美元)罚款,原因是其允许员工非法获取数据。 NOYB董事长施雷姆斯对此表示欢迎。“像谷歌这样的大公司惯于‘以不同的方式解读法律’,而且往往只会在表面上修改自己的产品。”他说道。“当局应该明确表示,光是自称做到了合规是不够的,这一点很重要。” 谷歌尚未就此置评。   稿源:新浪科技,封面源自网络;

英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策

新浪科技讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

欧盟隐私部门主管:首轮涉数据违规罚款或在年底实施

新浪科技讯 北京时间10月10日早间消息,据路透社报道,欧盟隐私部门主管表示,监管机构将依据新隐私法行使权力,对违规行为处以罚款甚至临时禁令,预计今年年底将实施第一轮制裁。 《欧盟通用数据保护条例》(GDPR)于5月25日生效,被外界认定为欧盟二十多年来最大的数据隐私法规改革。新规允许消费者更好地控制他们的个人数据,并赋予监管机构权力,对违反规定的企业处以罚款,金额可高达其全球收入4%或2000万欧元(约合2300万美元)。 欧洲数据保护监督官员乔瓦尼·布塔雷利(Giovanni Buttarelli)说,从新法规公布之日起,执法人员收到大量有关违规行为的投诉,并被要求对此加以澄清,仅在法国和意大利,报告数量就与去年相比增长了53%。 布塔雷利在接受路透社采访时透露,“我预计到今年年底,第一批GDPR处罚情况将会对外公布。不一定是罚款,还包括废除控制方、实施初步禁令、临时禁令或给予他们最后通牒。” 数据控制方可以包括收集和处理个人数据的社交网络、搜索引擎和在线零售商,而数据处理方只代表控制方处理数据。 罚金由欧盟各成员国的国有隐私监管机构征收。虽然布塔雷利本人不从事罚款工作,但他负责协调整个欧盟的隐私代理机构。 罚款针对任何在欧洲经营的公司,无论总部设在哪里,都会受到GDPR的监管。 “罚金与企业直接挂钩,对公众舆论、消费者信任至为重要。但从行政角度来看,这只是全球执法的一个因素,”布塔雷利说。 制裁将在许多欧盟国家实施,许多公司和公共管理机构将受到冲击,但他拒绝提供细节,因为调查仍在进行中。 他指出,在GDPR规则实施当天,谷歌、Facebook、Instagram和WhatsApp均遭到奥地利隐私活动家麦克斯·施雷姆斯(Max Schrems)投诉,因为调查尚处于初期阶段,结果不会在近期公布。 布塔雷利还敦促欧盟各国和立法者弥合在修改电子隐私指令方面的分歧,该指令旨在为电信运营商和在线消息和电子邮件服务(如WhatsApp和Microsoft子公司Skype等)之间创造一个公平的竞争环境。 这项电子隐私提案受到隐私保护人士的赞扬,但被科技公司和一些欧盟国家指责为过于苛刻,因为它将严格的电信隐私规则扩展到科技巨头。 “电子隐私是必不可少的。这是必要的,它是数据保护和隐私的拼图中缺失的一部分。如果欧盟不能在(欧洲议会)选举前尽快更新其通信保密规则,那将是一种失职,”布塔雷利说。 欧洲议会选举将在2019年5月举行。 “我认为有机会找到可持续性策略,尽管有些问题是无法谈判的,例如OTT(Over-the-top,即互联网公司越过运营商,发展基于开放互联网的各种视频及数据服务业务),”他说。 消费者游说集团BEUC正在呼吁欧盟国家应该停止拖延。 BEUC发言人约翰内斯·克雷斯(Johannes Kleis)说:“这项法律将进一步保护消费者上网或使用移动应用程序时的隐私,以及保护他们在线通信的私密性,更为必要。”   稿源:新浪科技,封面源自网络;

Mozilla 创始人投诉谷歌:违反 GDPR 法规 泄露用户数据

新浪科技讯 北京时间9月13日晚间消息,Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉,称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例,将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款, Brave和其他一些原告称,谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前,已经赋予企业两年的准备时间,但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称,当用户访问网站时,谷歌和其他一些广告公司出于拍卖和投放广告的目的,将用户个人数据和访问记录发送到几十家、乃至上百家公司,而且是在用户不知情的情况下。毫无疑问,这违反了GDPR的规定。 对此,谷歌称,已与欧洲监管机构协商,实施了强有力的隐私保护措施,并已承诺遵守GDPR。   稿源:新浪科技,封面源自网络;

未遵守欧盟 GDPR 美国超千家新闻网站在欧洲遭封杀

(原标题:More than 1,000 U.S. news sites are still unavailable in Europe, two months after GDPR took effect) 网易科技讯 8 月 8 日消息,据国外媒体报道,欧盟《一般数据保护条例》(GDPR)于今年 5 月 25 日生效之后,到目前为止仍然有超过 1000 家美国新闻网站在欧洲无法访问。 在 GDPR 生效两个多月后,包括 Tronc 旗下《洛杉矶时报》、《李氏企业》 Lee Enterprises 和 GateHouse Media 等数百家美国新闻网站在欧洲无法访问,这让许多前往欧洲的美国游客、商务旅行者、以及对美国新闻感兴趣的欧洲人感到沮丧。 5 月 25 日以来,许多社交媒体的帖子都抱怨说,美国某些新闻网站在欧洲无法访问。为此,一些人责怪欧盟。 GDPR 要求网站在收集个人信息之前获得用户的同意,解释收集什么数据以及收集的原因,并在有要求时要删除用户的信息。违反 GDPR 会被处以巨额罚款,罚款额度最高可达公司年收入的 4%。 网站拥有对接 GDPR 长达两年的准备时间。因到截至时间未能遵守 GDPR ,在美国 100 家最大的报纸媒体中,约有三分之一的网站在欧洲无法访问,这些网站包括“芝加哥论坛报”、“ 纽约每日新闻”、“达拉斯早报”、“每日新闻”和“弗吉尼亚导报”。 据跟踪这一问题的英国人约瑟夫.奥康纳(Joseph O’Connor)称,截至本周一,有超过 1000 家美国网站在欧洲无法访问。     稿源:网易科技 ,封面源自网络;

影响司法调查:多地监管机构要求豁免欧盟数据新规

新浪科技讯 北京时间6月26日早间消息,监管部门官员对路透社表示,北美、英国和亚洲的金融监管机构正紧急寻求关于欧盟最新数据保护规定的豁免,以免这项规定不利于跨境的案件调查。 这些官员警告,如果欧盟未能明确将市场监管部门排除在欧盟“通用数据保护条例”(GDPR)之外,那么可能会不利于涉及操纵市场和反欺诈的国际调查和司法行动。 GDPR于5月25日生效。这项规定的制定已延续了好几年。在过去一年中,随着生效日的临近,外国监管机构和关键国际实体正在加紧游说。 GDPR加强了欧盟内部的个人数据隐私保护,让消费者对自己的个人信息拥有更大的控制权。政府官员和法律专家表示,新规定还对出于“公众利益”的跨境个人数据传输进行了限制,对其使用施加了新条件,包括引入额外的隐私保护措施。 根据此前法律,监管机构可以利用豁免权,分享银行和交易账户数据等关键信息,对多种不当行为展开调查。目前监管机构可以通过新的豁免条款,继续分享此类数据。不过它们也表示,直接这样做会进入法律上的灰色领域,因为新法律的表述留下了解释空间。 它们担心,如果缺乏明确解释,类似美国对加密货币欺诈和市场操纵的调查都可能遇到风险。这些案件的许多参与者都位于美国国外。在没有豁免的情况下,跨境的信息共享可能遇到问题,欧盟可能会认为,一些国家和地区的隐私保护措施没有达到欧盟要求的水平。 消息人士表示,为了抵御这方面的风险,这些监管机构正敦促总部位于布鲁塞尔的欧盟数据保护委员会(EDPB)正式拿出“行政安排”,书面澄清出于公众利益的行为是否可以获得豁免,以及跨境信息共享应当如何操作。   稿源:新浪科技,封面源自网络;

报道称白宫有意推出“平衡”欧洲GDPR条例的隐私法案

据外媒Macrumors报道,上个月,欧盟的《通用数据保护条例》(GDPR)正式生效。该条例旨在保护欧盟内所有个人的数据,尽管其中一些方面影响到全球用户。根据Axios的一份新报告,白宫目前正处于确定美国的联邦数据隐私保护方式的“早期阶段”。 到目前为止,美国总统特朗普在技术、电信和网络政策方面的特别助理Gail Slater 已就这个问题与行业组织进行了会晤。根据熟悉谈判的一些消息人士的说法,讨论包括在线使用个人数据的可能“护栏”。此外,Slater 还与信息技术产业委员会首席执行官Dean Garfield讨论了GDPR的实施情况,该委员会代表苹果和谷歌等科技公司。 据消息人士称,Slater和特朗普政府将美国的提案称为“对GDPR的对策的一种平衡”,旨在确保欧洲法律不会成为全球在线隐私标准。尽管如此,Slater还表示,不希望创建一个欧洲条例的“美国克隆”版本。 Axios总结称,对话可能产生的一个结果可能是导致美国公民隐私框架发展的行政命令。 一种选择是指导一个或多个机构隐私框架的行政命令。据两位消息人士透露,这可能会指导美国商务部的一个分支机构——国家标准与技术研究所与行业和其他专家合作提出指导方针。 据消息来源称,行政命令还可导致公私合作伙伴关系,以制定自愿隐私最佳实践,这可能成为事实上的标准。 Slater声称“让消费者更多地控制他们的数据”和“更多地获取他们的数据”是GDPR的亮点,这表明这些方面将在美国法律中得到强调。 “我们正在谈论政府可以并且应该在隐私方面做的事情”,Slater上个月在美国国家风险投资协会举行的一次会议中这样表示。 在GDPR之后,苹果公司推出了一个新的数据和隐私,允许用户下载与其Apple ID相关的所有数据。虽然该功能仅限于在欧盟、冰岛、列支敦士登、挪威和瑞士注册的苹果帐户,但苹果公司表示将在未来几个月内在全球范围内推出该服务。   稿源:cnBeta,封面源自网络;

GDPR 生效后谷歌、FB 遭 19 起投诉 欧盟或进行隐私调查

新浪科技讯 北京时间6月14日早间消息,自从欧盟《通用数据保护条例》(GDPR)今年5月底生效以来,已经出现19起针对谷歌和Facebook及相关应用提交的跨境投诉,导致这两家公司和产品可能遭到欧盟的隐私调查。 欧盟隐私执法最高官员安德里亚·杰利尼克(Andrea Jelinek)负责领导28个欧盟成员国的监管者,她和她的同事已经开始了解自5月25日以来提交的投诉。但她表示,此举的目的并不是立刻进行处罚。 “我们需要传达一条重要信息,那就是我们的首要任务不是处罚企业,而是看看他们是否合规。”她说。但如果企业“不遵守监管规定,就会面临处罚”。 Facebook回应此事时提供了GDPR生效后遭到第一起投诉时发表的声明:“我们过去18个月一直在做各种准备,以遵守GDPR的要求……我们提高隐私保护的工作不会在5月25日停止。” 谷歌母公司Alphabet尚未作出回应。   稿源:新浪科技,封面源自网络;

Facebook 设立隐私设计实验室 TTC,将改善数据分享方式

新浪科技讯 北京时间6月13日上午消息,Facebook对美国参议院说,公司已经设立了一个设计实验室,将致力于改善人们分享个人数据的方式。 这个实验室被取名为TTC实验室。今年4月,Facebook首席执行官马克•扎克伯格在国会听证会上作证时,有2000个问题亟待向参议院回应。在后续的答复报告中,Facebook表示,打造该实验室的初心,是因为Facebook“认识到需要改进所有数码服务的数据透明度方法”,并需要与学术界、设计界和业界的其他人士合作。 Facebook在该答复报告的第146页上写道,该实验室“旨在为人们探索新的、更加以人为中心的最佳实践模式,让他们了解自己的数据是如何被数字服务所使用的,并最终推出一种他们认为更容易理解和控制的方式”。 TTC代表信任(Trust)、透明(Transparency)和控制(Control),该实验室的网站显示,TTC总部位于爱尔兰都柏林。该网站说,它是由Facebook发起和支持的,目前有60多个其他组织参与其中,但它没有列出其他各方的名字。 Facebook没有立即就要求提供更多信息的请求做出答复。公司最近又受到了一波批评:外界批评其要求用户同意欧洲的《通用数据保护条例》(GDPR)的步骤被设计得过于草率,这使得Facebook能轻易地让用户继续同意数据收集,并继续使用社交网络应用程序。该份对美国立法者(议员)的答复报告是由美国参议院商业委员会于当地时间周一发布的。   稿源:新浪科技,封面源自网络;