新媒网 · 跨境数据社区

新媒网跨境获悉，在数字化浪潮席卷全球的今天，个人数据保护已成为我们每个人都高度关注的焦点。最近，一则重磅消息从欧洲大陆传来，法国的数据保护机构——国家信息与自由委员会（CNIL）出手了！他们对两家在全球都有巨大影响力的科技和时尚巨头——美国谷歌公司和中国希音公司（SHEIN）——开出了巨额罚单。其中，谷歌被罚3.25亿欧元，希音则被罚1.5亿欧元。这并非偶然，而是CNIL为维护互联网用户权益、规范数据使用而采取的一系列坚决行动的最新篇章。

话说回来，随着互联网深入我们生活的方方面面，各种便利的同时，也带来了数据滥用的风险。尤其是那些我们日常频繁接触的“小饼干”——Cookie，它们悄无声息地记录着我们的浏览习惯，为精准广告提供数据支撑。为了保护用户的知情权和选择权，CNIL早在2019年就发布了详细的Cookie使用指引和建议，拉开了专项行动的序幕。其核心目的，就是希望推动企业自觉合规，确保我们的网络行为不被随意追踪。从2020年起，凡是没能按照规定管理广告Cookie的企业，都逃不过CNIL的严格审查。

这次对谷歌和希音的处罚，正是由CNIL内部专门负责实施制裁的“限制委员会”拍板决定的。这也被视为CNIL过去五年来围绕Cookie合规性所推行全面监管策略的重要组成部分，尤其那些拥有巨大流量的网站和在线服务平台，更是他们重点关注的对象。

当然，我们欣喜地看到，在监管的推动下，不少企业在Cookie使用方面已经有所改进。但CNIL并未因此放松警惕，他们依然紧盯着那些依然存在的违规行为。比如，在用户毫不知情或未经同意的情况下就偷偷植入Cookie；又比如，近年来愈发常见的“Cookie墙”——即强行要求用户同意Cookie设置，否则就限制访问服务。这些都严重损害了用户的自主选择权。

限制委员会在对谷歌的裁决中，再次明确了一个核心原则：用户同意必须是自愿的。这意味着，平台在向用户提供选择时，必须确保选择是公平的，不能通过复杂的操作流程或其他隐蔽方式，诱导用户做出特定选择。更重要的是，用户的同意必须是知情的。也就是说，我们在做出选择之前，必须对自己的选择可能带来的后果有全面而清晰的认识。

不仅如此，此次裁决还特别指出，谷歌在Gmail邮箱服务的“推广”和“社交”标签页中，以邮件形式展示广告，但却未事先征得用户同意，这同样违反了法国的相关法律规定。这种做法，就像你在自家信箱里收到了本不该出现的、未经你允许的商业传单一样，让人感到不适。

咱们再具体看看谷歌的那些“不当行为”。

2022年8月24日，一家名为“None Of Your Business（NOYB）”的非营利组织向CNIL提交了投诉。接到投诉后，CNIL在2022年至2023年间，针对Gmail邮箱服务以及谷歌账号创建流程展开了多次细致的检查。结果显示，谷歌旗下的两家公司——爱尔兰谷歌有限公司和美国谷歌有限责任公司——在Gmail的“推广”和“社交”这两个专属标签页中，悄悄地将广告以邮件的形式插入到用户的正常邮件流中。

CNIL的限制委员会认为，这种在用户邮箱中展示广告的行为，根据《法国邮政与电子通信法典》的明确规定，是必须事先征得Gmail用户的同意的。然而，谷歌显然没有做到这一点。

此外，委员会还发现，在用户创建谷歌账号时，虽然似乎提供了关于Cookie的选择，但实际上，用户被引导更多地去选择与个性化广告相关的Cookie，而对通用广告相关的Cookie却显得“模糊不清”。更令人担忧的是，用户并没有被明确告知，同意这些广告用途的Cookie设置，竟然是访问谷歌服务的“前提条件”。这种情况下获取的同意，无疑是无效的，因为它不符合“自愿且知情”的原则，构成了对《法国数据保护法》的违规。

基于这两项严重的违规行为，限制委员会最终做出了严厉的公开处罚决定：
第一，对谷歌处以高达3.25亿欧元的巨额罚款。其中，对美国谷歌有限责任公司罚款2亿欧元，对爱尔兰谷歌有限公司罚款1.25亿欧元。
第二，责令这两家公司在六个月内采取有效措施，立即停止在Gmail用户邮箱的邮件之间展示广告，除非他们已经提前获得了用户的明确同意。
第三，同时要求他们在用户创建谷歌账号时，确保所获取的用户对广告Cookie设置的同意是真正有效且合规的。

CNIL还设置了“滞纳金”机制：如果谷歌未能按时完成整改，两家公司将面临每天10万欧元的额外罚款。值得一提的是，这些罚款金额仅仅考虑了法国本地的用户数量。但是，考虑到Cookie相关的违规行为影响范围之广，涉及的账户数量庞大，超过7400万个账户受到影响，其中有5300万名法国用户在“推广”和“社交”标签中“被动”接收了非法广告邮件，影响范围之大，让人深思。

委员会进一步指出，谷歌集团在全球在线广告市场中占据着举足轻重的地位，而Gmail作为全球第二大电子邮件服务提供商，其影响力更是无与伦比。谷歌的大部分利润都来源于在线广告市场的两大核心板块——情境广告和定向广告。

最后，限制委员会特别强调，谷歌公司在本案中表现出了明显的疏忽大意。为什么这么说呢？因为在此之前，也就是2020年和2021年，CNIL就已经因为Cookie相关的违规行为，对谷歌进行过两次处罚了。可谓“屡教不改”，这次的重罚，也正是对这种行为的有力回应。

具体来看，谷歌被认定的违规行为主要体现在：未按规定获得用户接收电子商业推广的同意。调查发现，Gmail用户可以选择启用“智能功能”，将收件箱分为“主收件箱”、“推广”和“社交”三个标签页。然而，CNIL发现，即使启用了这些功能，用户在“推广”和“社交”标签页内，也会看到广告邮件穿插于私人邮件之间，而谷歌却从未事先征得用户的同意。这无疑是侵犯用户隐私和选择权的行为。

说完了谷歌，咱们再来看看SHEIN（希音）的案例。

希音集团以其时尚服装、鞋履及配饰的线上销售平台“shein.com”而闻名全球，尤其是在年轻人中拥有极高人气。在欧洲地区，该网站由注册在爱尔兰的无限风格服务有限公司（INFINITE STYLES SERVICES CO. LIMITED）运营管理。2023年8月，CNIL对“shein.com”网站进行了突击检查。

根据检查结果，CNIL的限制委员会认定，无限风格服务有限公司未能履行其在Cookie方面的相关义务，违反了《法国数据保护法》的规定，因此对其处以了1.5亿欧元的罚款。

罚款金额的确定，可不是随意拍板的，它综合考虑了公司存在的诸多违规行为：包括在未经互联网用户明确同意的情况下，就偷偷设置了部分Cookie；未能尊重用户的自主选择；以及未能充分、透明地向用户告知相关信息。这些行为都直接损害了用户的知情权和选择权。

限制委员会在裁决中特别提到，自2020年以来，CNIL已经多次因为类似违规行为对其他企业进行了处罚，并且公开了相关的裁决结果。这意味着希音本应有足够的警示和时间进行整改。此外，新媒网跨境认为，希音作为在线时尚服装领域的巨头，其数据处理规模不容小觑——每月平均有1200万法国居民访问“shein.com”网站，如此庞大的用户基数，也使得其违规行为的影响力变得更大，这些因素都影响了最终的罚款金额。

希音被认定的违规行为包括：
第一，未征得用户同意即设置Cookie。CNIL的调查发现，当用户访问“shein.com”网站时，在他们尚未与任何信息横幅进行互动之前，多个主要用于广告目的的Cookie就已经被悄悄地植入到用户的设备中了。这就像你还没进门，推销员就已经把传单塞到你手里了。
第二，信息横幅内容不完整。网站上关于Cookie管理的两个界面都存在信息不全的问题。第一个横幅虽然包含“Cookie设置”、“全部拒绝”和“接受”三个按钮，但它并未明确说明这些Cookie的具体广告用途。第二个弹窗则更简单粗暴，只有一个“接受Cookie”的按钮，同样没有说明其用途，这让用户难以做出知情选择。
第三，第二层信息不充分。当用户点击“Cookie设置”按钮后，进入的第二层信息页面竟然没有提供可能植入Cookie的第三方身份信息。这意味着用户根本不知道自己的数据会被哪些外部伙伴收集和使用，隐私安全风险不言而喻。
第四，拒绝和撤回同意机制不完善。更令人担忧的是，即使有些用户非常小心，点击了横幅中的“全部拒绝”按钮，或者在之后撤回了对Cookie存储的同意，CNIL发现，仍然有新的Cookie被植入，而那些已经存在的Cookie也还在继续被读取。这无疑让用户的拒绝和撤回操作形同虚设。

不过，值得注意的是，在裁决过程中，限制委员会也注意到希音公司已经对网站进行了部分的整改，这显示出其积极配合的态度。因此，CNIL并未对其下达进一步的合规整改命令，但这并不意味着之前的违规行为可以被抹去。

这次CNIL对谷歌和希音的重磅罚单，无疑给所有在线服务提供商敲响了警钟。它再次强调了数据合规的重要性，以及对用户隐私权益的坚定维护。在数字经济蓬勃发展的今天，企业在享受技术红利的同时，更要承担起保护用户数据、尊重用户选择的社会责任。只有这样，我们的数字世界才能更加清朗、健康，每一个普通用户才能真正安心地享受互联网带来的便利与美好。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/google-shein-fined-325m-150m-cross-border-alarm.html