2019 年 5 月 22 日，爱尔兰数据保护委员会（Data Protection Commission, DPC）宣布，将就谷歌在广告交易中对用户数据的处理是否违反欧盟《通用数据保护条例》（GDPR）相关规定一事进行调查。近年来，互联网企业关于用户隐私数据处理不当的事件频发，有关用户个人信息保护问题应引起各方高度重视。

一、背景

广告收入是谷歌等互联网巨头的重要收入来源。与传统的电视广告、报纸广告相比，网络广告受众群体更大、传播范围更广、时效性更强。而且，随着用户标签化等网络广告技术的革新，广告商还可用“关键词”标记用户的兴趣爱好，进而对用户投放具有针对性的广告。这不仅可以提高目标客户群体定位的精确性，还可以优化营销效果。因此，像 YouTube 这类拥有过亿活跃用户的互联网服务平台成为了各大广告商的宠儿，从而导致广告收入在各互联网巨头总收入中的占比越来越大。谷歌母公司Alphabet 公布的财报显示，2018 年谷歌广告营收高达 1163 亿美元，占谷歌当年总收入的 85.4%。此外，根据 Statista 统计，自2009 年以来，广告也一直是 Facebook 的主要收入来源。亚马逊、Ebay 等电商平台近几年也在不断拓展广告营销业务。

互联网企业用户隐私数据处理不当事件频发。2018 年 3 月，大数据分析公司 Cambridge Analytica 被曝利用从 Facebook 上不当收集的用户个人数据，为美国大选参选人提供数据采集、分析和战略传播。2019 年 3 月，苹果公司宣布撤销谷歌的企业开发者资质，原因在于谷歌的私人应用程序存在监控用户浏览历史和网络流量的行为，对用户隐私造成威胁。近些年，互联网企业因处理用户数据不当而丑闻频发，甚至为此付出昂贵的代价。2019年 1 月，法国国家数据保护委员会(CNIL)认为，谷歌在处理用户数据时存在缺乏透明度、用户获知信息不便等问题，对谷歌处以了创纪录的 5000 万欧元罚款。

国外日益重视对个人信息的保护。 目前，我国还没有一部专门针对个人信息保护的法律。但反观欧美各国，综合性的个人信息保护法均已出台。2018 年 6 月，美国通过的《2018 年加州消费者隐私法案》（CCPA）规定，消费者有权知道企业收集的用户数据类别、收集或出售数据的目的，以及数据共享第三方的基本信息。欧盟于 2018 年 5 月底生效的 GDPR 要求，若个人数据处理是出于直接营销目的，并且数据主体提出反对，那么控制者必须停止数据处理行为。爱尔兰作为欧盟成员国之一，也在积极推动本国数据保护法治的进程。爱尔兰政府不仅发布了欧盟境内第一部贯彻 GDPR 的国内立法——爱尔兰《2018 年数据保护法案》，还成立了爱尔兰数据保护专员办公室，以配合欧盟当局落实各类数据保护政策。

二、案例介绍

事件经过。2019 年 5 月 22 日，DPC 宣布，因 Brave 公司提交了多份“声讨”谷歌处理用户数据不当的投诉，DPC 将就个性化在线广告领域的数据保护合规性问题对谷歌开展调查。Brave投诉称，当用户访问网站时，谷歌会在用户不知情的情况下，把用户的个人信息、浏览记录等私人数据传输给数十或上百家公司，以便拍卖和投放针对性广告。

此次调查的目的在于查证谷歌在广告交易的每个阶段对用户数据的处理是否符合欧盟 GDPR 的透明度和数据最小化原则。此外，谷歌数据存储方式是否合规也在调查范围。

后续发展。对于本次调查，谷歌表示会全力配合。根据 GDPR的规定，DPC 可对违反规定的公司处以 2000 万美元或其母公司总营业额 4%的罚款，以择其较高金额为准。

三、简评

企业应寻求新的技术手段或商业模式，以应对越来越严格的个人数据保护规则。

企业应寻求新的技术手段或商业模式，以应对越来越严格的个人数据保护规则。GDPR 等数据保护条例中对隐私的保护政策规定，将精准广告推送模式推向了潜在违法的灰色地带。虽然相关企业对此采取了诸如更新用户许可协议的措施，却仍治标不治本。以 Facebook 为例，尽管其推出了一系列隐私保护政策以满足 GDPR 的要求，但之后却依然因各种侵犯用户隐私问题被处以罚款。面对现有商业模式与数据保护规则碰撞带来的挑战，企业应创新发展新的技术或拓展新的业务，寻求新的商业模式。例如，发展区块链技术、加强多方安全计算等技术的应用、进行基于大数据增值业务模式的企业转型、加强数据安全治理等。

立法模式与行业自律机制相结合，切实加强对用户隐私数据保护。

立法模式与行业自律机制相结合，切实加强对用户隐私数据保护。行业自律作为个人信息保护的方式之一愈来愈受到关注。美国政府就将立法模式与自律机制相结合，通过行业自我约束实现对个人信息的保护，并根据个人信息的具体内容进行分业监管。对企业来说，在挖掘用户数据价值的同时，应自觉加强对个人信息的保护。企业可根据自身基本情况和所处的行业特征制定隐私条款，并创新隐私条款的展现方式；同时加强对处理个人信息员工的约束，明确其安全职责，强化对员工的安全培训。此外，面对云计算、大数据等新技术新业务带来的个人信息保护挑战，企业应与时俱进，进一步加强大数据环境下网络安全防护技术手段建设，提升重大安全事件的应急处理能力。

我国应加快制定并出台《个人信息保护法》，并建立专门的个人信息保护机构。

我国应加快制定并出台《个人信息保护法》，并建立专门的个人信息保护机构。目前，我国尚未制定关于个人信息保护的专门法律，个人信息保护规则分散在相关法律、行政法规、地方性法规和规章、各类规范性文件和部门规章中，具体实施细则和落地措施规定尚不明确。我国应顺应国际趋势，尽快制定专门的、综合性的《个人信息保护法》，以确立各类数据控制主体收集、使用和处理个人信息的基本原则，厘清数据全生命周期各主体应尽的义务以及应承担的法律责任。同时，建立专门的个人信息保护机构，从事个人信息保护的日常监管、执法、评估等工作，定期对个人信息保护状况进行汇总并向公众通告，为个人信息保护提供明确的救济途径。

作者：周千荷