《歐盟通用資料保護規則》(General Data Protection Regulation,下稱「GDPR」)自2018年5月25日施行至今已近半年,由於違反者最高可處2,000萬歐元或前一會計年度全球年營業額4%之鉅額罰鍰,且GDPR具有域外效力,適用範圍可包含歐盟境外國家,全球企業對GDPR相關規定無不嚴陣以待,國內業界亦有各種因應方案之討論。
2019年1月21日,法國資訊監管機關「國家資訊自由委員會」(Commission Nationale de l'Informatique et des Libertés,下稱CNIL)依GDPR規範對全球搜尋引擎龍頭Google公司重罰5,000萬歐元(約新臺幣17.6億元),此為GDPR施行至今最高行政罰鍰金額,Google已決定上訴,以下將對Google遭CNIL裁罰一案(下稱本案)進行評析,供企業評估現行規定是否有違反GDPR之風險:
Google遭法國主管機關CNIL裁罰案之評析
2018年5月,資訊隱私倡議團體None of Your Business(NOYB)與La Quadrature du Net(LQDN)向CNIL投訴Google違反GDPR之規範,譴責Google對於其用戶之個人資料蒐集與處理均欠缺合法基礎,尤其是用於放送個人化廣告之部分。最終CNIL以Google違反GDPR之透明原則及訊息明確、完整性要求,且未取得用戶「特定」及「明確」之同意,欠缺進行資料蒐集、處理行為之合法基礎,對Google處以5,000萬歐元之行政罰緩。
