谷歌因GDPR违规被罚款1000万欧元

关键要点

• 西班牙数据保护局（AEPD）对谷歌处以1000万欧元的罚款，因其违反GDPR中的第六条和第十七条。
• 第十七条的违规主要在于使用户提交删除请求变得困难。
• AEPD指出谷歌在与Lumen项目的合作中也违反了第六条。
• 这是谷歌在GDPR下收到的第四次罚款，也是第二大罚款，仅次于2019年法国DPA的5000万欧元罚款。

2022年5月18日，西班牙数据保护局（AEPD）对谷歌做出了裁决，因其违反GDPR的两项条款，处以1000万欧元（约合1020万美元）的罚款。这两项违规分别涉及第六条关于数据合法处理的规定，以及第十七条关于“被遗忘权”的规定。

谷歌在第十七条的违规主要体现在用户提交内容删除请求的难度上。谷歌要求用户遵循一个复杂的流程，包括选择希望删除数据的谷歌服务、请求的理由（例如，诽谤、版权侵权、骚扰、个人身份信息等），并且仅将选择特定预定义理由的用户引导至网页表单。

根据AEPD的说法，谷歌在与美国Lumen项目的合作中违反了第六条。谷歌的隐私政策未提及其向Lumen转移的数据，包括未匿名化的识别信息、电子邮件地址和法律索赔。谷歌也未为其用户提供选择退出数据转移的选项。

这项罚款是谷歌在GDPR框架下收到的第四次罚款，也是第二大罚款，仅次于2019年法国DPA的5000万欧元罚款。瑞典和比利时也曾因GDPR对谷歌罚款。

执法情况

AEPD对GDPR的两项违规处以每项500万欧元的罚款，总计1000万欧元（约1020万美元）。此外，谷歌还须将数据处理过程与GDPR相符。罚款的规模受以下因素影响：

影响因素 | 描述
—|—
Lumen在非成员国（美国）处理数据 | 数据传输缺乏异议
数据处理持续时间较长，早于GDPR | 私人数据数据库可公开访问

专家分析来自Amalia Barthel, CIPM, CIPT, MPC联合创始人，大学讲师和顾问

2009年，一位名为CostejaGonzález的西班牙人请求某报纸删除有关他十年前的个人信息。他与谷歌的案件最终提交至欧洲法院，这是欧洲最高法院。在2014年5月，欧洲法院裁决对谷歌不利，认可到，当我们以某人的名字作为搜索查询时，呈现的其生活的瞬间是机械化的，缺乏上下文使得这些信息的意义失真，从而创建了一个详细但选择性强的个人档案。

谷歌与欧盟数据保护机构协商，承担允许个人行使其权利并申请“被遗忘权”的过程。谷歌使得申请这一权利的流程繁琐到“挫败了行使抑制权的目的。”由于这些负担，西班牙DPA裁定这种方式获得的同意无效，因为未能提供选项。组织必须让个人能够以简单的方式行使他们的权利，而不是将自己的政策与法律混淆，以此作为满足请求的决定性因素。

数据隐私提示

作为现代数据隐私法规的“祖父”，GDPR仍为组织带来了很多教训。了解员工DSAR合规性，请阅读Exterro白皮书。

作者：