13　个人信息收集告知，你读得懂吗？

2018年5月，欧盟《通用数据保护条例》 （以下简称GDPR）开始生效，该部法律是欧盟成员国都需要适用的。在生效当月，法国数据保护机关就收到了来自两个非营利组织分别提起的针对谷歌违反GDPR的集体诉讼。经过数月的调查，法国数据保护机关于2019年1月对谷歌处以5000万欧元的罚款，谷歌由此成为该法律生效后首个被处罚的美国科技巨头，也成为当时针对违反GDPR的最大一笔罚款。

那么，谷歌到底怎么违反了GDPR呢？

首先，GDPR规定企业在收集用户个人信息时，应当以简明、易于获取的方式，并以清晰的语言向用户说明收集、处理其个人信息的目的、存储期限等相关情况。该案中，法国监管机构国家信息与自由委员会（简称CNIL）认为谷歌对安卓系统收集个人信息的说明，过于分散地存在于多个文件（如隐私政策、使用条款等）中，对于一般用户而言很难找到。因此用户无法简便地获取全部的相关信息，更无法充分了解其个人信息被谷歌处理的具体后果。而谷歌又实际上对这些收集的个人信息进行了处理（比如精准的广告投送），这显然侵犯了用户的权利。(https://www.daowen.com)

其次，根据GDPR的规定，个人信息的处理应当具有合法性，其中包括用户的“有效”同意。该案中，CNIL认为谷歌为“个性化广告服务”之目的处理个人信息并没有取得用户的有效同意，因而不具有合法性基础。如前所述，谷歌对其个人信息收集、使用的说明信息不仅不易获取，而且也不够清晰、完整。同时，用户无法从谷歌的说明信息中获知其个人信息将被用于提供何种个性化广告服务。据此，CNIL认为，即使用户对于个人信息处理作出了同意，这种同意由于是在“不充分知情”的情况下作出的，所以不是“有效同意”，不能作为收集、处理个人信息的合法性基础。

最后，CNIL认为，在取得用户同意时，应当就具体的处理目的，分别取得用户的同意。而在该案中，尽管谷歌的用户个人页面中有“更多选项”的按钮，用户可以点击进入，以更改关于个性化广告的相关设置，但这些选项是默认勾选的，这意味着用户并没有通过主动的勾选行为，对将其个人信息用于个性化广告这一事项作出专门的同意。此外，如果用户不希望将其个人信息用于个性化广告范围，也需要先整体同意谷歌的用户协议（其中包含若干同意收集、处理个人信息的条款），然后在获得谷歌账号之后另行更改相关设置。这实际上导致用户为使用某种产品或服务，必须先“打包”接受谷歌所有的个人信息处理行为。对此，CNIL认为，谷歌用户对个性化广告服务作出的同意，实际上多为“无奈之举”，并非用户针对具体个人信息处理行为自由作出的明确同意，因而不能作为个人信息处理的合法依据。

我国《个人信息保护法》也要求企业明示个人信息处理规则，即企业需将个人信息处理过程中可能涉及的收集、存储、使用、加工、传输、提供、公开等各种规则告知用户，比如在注册使用App时，作为用户会收到App提供的用户注册协议和隐私政策。知情应当是同意的前提，但由于以下原因，我国消费者个人信息的权益保护尚须进一步落到实处：第一，广大互联网用户对于个人信息被收集应当知情的意识有待提升，现实中很多人可能都懒得读用户注册协议和隐私政策；第二，许多App对于公民个人信息收集的提示分布在主页、用户注册协议和隐私政策中，用户想读也未必找得到；第三，各大App一般提供的用户注册协议和隐私政策都十分冗长，用户想读也未必读得懂；第四，即使用户事实上了解可能存在的风险，但商家在用户注册时处于优势地位（如果用户不同意，便令其无法使用该软件），因此用户除了同意以外别无他法。逐渐地，用户知情与否似乎变得无关紧要，因此必须对这种情况予以规制，积极贯彻落实对个人信息的保护，保护消费者或平台用户免受不法侵害。