GDPR之下的Google合规却引来本土罚单_风闻

自从GDPR生效以来，曾经把 “不作恶”作为企业经营信条的Google开始接连不断地在个人数据保护问题上遭到来自各界的质疑。前面欧盟的天价罚款风波还没有平息，最近的Google可能再次由隐私问题收到来自美国本土的巨额罚单。

关注我们实战指南的朋友，相信一定对Google为用户设计的进行个人数据管理的dashboard不陌生。通过这个数据管理界面，用户可以选择开启或者关闭Google对于一些个性化广告的服务，以及实现网络活动记录、位置记录等个性化数据的查询和删除。  

但是，用户是真的可以通过dashboard把自己的个人数据控制在指尖了吗？

答案是否定的。

《美联社》的调查

近期来自《美联社》的一则针对Google的调查，用冷冰冰的调查事实指出Google在用户选择关闭定位服务或者关闭位置历史记录的情形下，仍然采集用户位置标记，涉嫌滥用用户的个人数据。根据调查事实，Google对于用户地理位置信息的滥用通过以下方式实现。

在大多数情况下，Google都会提前向用户申请使用地理位置信息。 例如，Google地图应用会提醒用户，需要用户允许使用地理位置信息进行导航服务。如果用户同意让它记录位置，Google地图便会在“时间轴”中为用户显示该历史记录，即用户的日常活动地理位置信息。同时，Google在dashboard中为用户提供了关闭位置记录的选项，并声称关闭位置记录后，Google将不再存储的用户的地理位置信息。

事实上，根据美联社的调查，发现即使关闭了“位置记录”，某些Google应用会在不经用户允许的情况下自动存储带有时间戳的地理位置数据。此外，即使所有的位置服务都已关闭，谷歌还通过收集附近手机信号塔的地址来跟踪Android用户的位置。

美联社在调查报道中还指出，如果用户想保护自己的位置隐私，阻止谷歌保存这些位置标记，需要完成以下两个事项。

首先，用户需要关闭的是非“位置记录”的另一个设置，一个不具体引用地理位置信息的设置称为“网络和应用活动”。因为前述设置在默认情况已启用，会将Google应用和网站中的包括地理位置信息在内的各种信息存储到用户的Google帐户中。

其次，用户还需要在dashboard中找出隐藏在不同管理标题下的其他位置标记。如此复杂的操作，相信一般的用户根本没有办法完成，所以美联社的调查由此指出Google存在欺骗用户进行“位置记录存储”和“位置追踪”的滥用用户数据行为。

以上的调查报道发出后，连美联社都没有想到的是，本以为只是单纯在舆论上给Google施加压力，却不料被有心的亚利桑那州总检察长抓住了Google的把柄。 

亚利桑那州司法介入

9月12号，来自另一家媒体《华盛顿邮报》的报道称，在《美联社》曝出这一调查消息后仅仅一周，亚利桑那州的司法部门就组织了针对Google相关行为的调查，极可能因此起诉并开出高额罚单。

以上《华盛顿邮报》的报道源自亚利桑那州办公的一封公开法律文件。有匿名的知情人士透露，亚利桑那州的首席检察官马克•布尔诺维奇发起了一项针对Google位置跟踪行为的调查。布检察长作为亚利桑那州的首席法律官员，负责向州长和政府各部门提供法律咨询和意见，他自上任以来便一直十分重视互联网用户的数据隐私和网络安全问题。为了保证这项调查的专业性和公正性，他还专门聘请了一家外部律所来协助调查。这份公开的文件展示了此次调查的主要原因是怀疑Google违反了与“消费者位置数据的存储”和“追踪消费者位置”相关的潜在的消费者欺诈行为。布检察长可能提起指控Google违反亚利桑那州消费者欺诈法案的诉讼，并按照违规次数寻求每次最高1万美元的罚款，这将再次导致Google面临巨额处罚。 

GDPR中有关地理位置的相关规定

 “根据GDPR第4条的规定，个人数据是指已识别到的或者可被识别的自然人(“数据主体”)的所有信息。

可被识别的自然人是指其能够被直接或间接识别要素通过识别要素得以识别的自然人，尤其是通过姓名、身份证号码、定位数据（location data）、在线身份等识别数据，或者通过该自然人的物理、生理、遗传、心理、经济、文化或社会身份的一项或多项要素予以识别。”

由此可见，地理位置信息作为一种定位数据，对于个人数据的判断起着至关重要的作用；反之，也意味着数据控制者对于地理位置信息处理，也将会成为GDPR合规的重点。所以，控制者对于地理地理位置信息的处理态度，自然会成为数据监管机构的重要关注点。

Google通过dashboard的设计，不仅给予了用户管理地理位置数据的自由，还向欧洲的监管机构和全球的用户交出了一份看似完美的GDPR合规答卷。不巧的是，真的有对隐私保护十分重视的用户本着科研的精神去找Google验证，最终引发了后面从《美联社》到《华盛顿邮报》的舆论风暴。这样的现象也从另外一个侧面说明，在GDPR时代来临之后，人们对于自身在互联网世界隐私保护意识的觉醒。

结语

Google在美国亚利桑那州的地理位置事件，给我们带来了新的启示。GDPR正式生效后，尽管欧盟的天价处罚和欧盟国家政府机关自身的GDPR合规还没有到位，却成功引发了全球范围内对于个人隐私保护现象级的讨论。其中出现的一个很有趣的现象便是：GDPR的实施对于世界各国互联网用户个人隐私保护意识的唤醒，有着不可小觑的力量。在这一力量的驱动下，世界各国为了响应民众对于互联网个人隐私保护的需求，纷纷加入到全球个人数据监管的立法当中。除了美国加州数据保护法案（CCPA）的公布，亚洲以印度、韩国为代表的国家也在紧锣密鼓的开展个人数据保护立法，全球数据保护法案版图的正在迅速扩张。在各国隐私保护的强监管趋势之下，扬帆出海的互联网企业对于数据合规的探索之路，可谓是路漫漫而修远。

APUS研究院

APUS旗下专注于全球互联网发展研究的智库平台，是面向未来移动互联网创新变革的孵化器及加速器。