身处大数据时代,数据隐私问题已被推到了风口浪尖。
比如疫情期间,谷歌就因为加州学生捐赠 Chromebook 笔记本电脑而窃取孩子们的面部和声音信息,被孩子家长告上了法庭。去年,一款风靡一时的 AI 换脸 APP“ZAO”,也因用户隐私协议不规范而存在窃取用户面部信息的问题,被工信部约谈并责令整改。
而近期荷兰发生的一起有关数据隐私的起诉就显得有些与众不同。
上个月,荷兰一家法院裁定,在女儿提出隐私投诉后,这位祖母必须从其社交媒体帐户中删除她孙子的照片,这也是第一起用 GDPR 来裁决家庭纠纷的案件。
这到底是怎么回事,来跟文摘菌一起看看吧~
祖母在 FB 发布孙子照片被女儿告上法庭,法官要求十天内删除
事情是这个样子的,这位荷兰祖母的女儿有三个未成年的孩子,住在托尔卡默(Tolkamer),她的女儿有三个孩子,分别是 14、6 和 5 岁。她的长子与祖母住了七年,然后去和父亲住在一起。
祖母很喜欢在 Facebook 和 Pinterest 上发布孩子的照片,女儿认为这不安全,但是一年来多次交涉无果。今年 2 月,女儿写信给母亲,要求母亲在 3 月 5 日前删除孩子照片,否则将面临法律诉讼。在这之前,她也曾通过警方提出希望母亲从社交媒体上删除孩子的照片,但母亲并没有删除。
4 月份,当地法院受理了此案。此时这位祖母已经删除大部分了照片,除了 Facebook 上的一张。她想留下那张照片,因为那是她在 2012-2019 年期间独自照顾孙子时拍下的照片。
因此,法官最终裁决,要求祖母在十天内删除,理由是,“在 Facebook 上,不能排除放置的照片可能会落入第三方之手。”
如果逾期未删,还要罚款!这位祖母将面临每天被处以 50 欧元 400 人民币)的罚款,罚款最高可达 1000 欧元 8000 人民币)。
主持此案的法官认为,母女之间的问题属于《通用数据保护条例》(GDPR)的管辖范围。欧盟隐私法严格规定了公司如何管理私人数据。这些法律的目的是让个人掌控自己的数字生活。
GDPR 不涵盖 “家庭”数据纠纷。但是法官说,当照片在社交媒体上发布后,它们就公开了。这就是 GDPR 适用于这种情况的原因。
尽管 GDPR 并不适用于个人或家庭的数据纠纷,但对于用户的个人行为来说,GDPR 指出,任何人上传未成年人照片时,都必须经过其法定监护人的同意。
然而,孩子的父母均不愿在 Facebook 上公开这张照片。
Decoded Legal 的技术律师 Neil Brown 表示:“我认为这项裁决会让很多人感到惊讶,大家可能在社交媒体上发照片之前可能都不会考虑太多。”
全世界最完善、最严格的隐私保护条例——GDPR
不太了解 GDPR 的同学们,我们也来给大家补个课。
欧洲实施的《通用数据保护条例》简称 GDPR) ,可以说是在世界范围内最完善、最严格的隐私保护条例,旨在加强对个人通用数据的保护力度和建立统一数据保护的规则,该条例已于 2018 年 5 月 25 日在欧盟成员国中开始实施。
GDPR 的实施,主要是为了制约企业对用户数据的征集和处理。尽管 GDPR 并不适用于个人或家庭的数据纠纷,但对于用户的个人行为来说,GDPR 指出,任何人上传未成年人照片时,都必须经过其法定监护人的同意。
因此对于荷兰祖母私自发布孙子照片一案,法官最终裁定要求祖母在十天内删除,因为无法排除照片被他人非法利用的可能。
荷兰律师恩格尔弗里特说,“据我所知,这是第一起用 GDPR 来裁决家庭纠纷的案件,这项法律让个人能够对侵犯他们隐私的公司、政府和个人采取行动。”
比利时鼎盛华人律师行主任 Jack Chen 律师认为,这部条例对欧盟个人数据保护具有里程碑式的意义。因而对于各行各业来说,也都造成了巨大的影响,比如银行、保险、航空等领域,一旦涉及向欧盟居民提供电子产品服务或者收集、处理个人数据,都必须执行 GDPR 条例,否则将面临法律处罚。
Jack Chen 律师还特别强调,不仅仅是在欧盟的中资公司,只要是和欧盟有关的国内企业,如果其所在行业收集或者处理了欧盟公民个人信息,那么无论该企业是否在欧盟境内成立或者注册,都需要遵守 GDPR 的规定,否则将面临高达 2 千万欧元的处罚。
这不,科技巨头们无一幸免,Facebook、推特、微软、苹果、谷歌等或多或少都违反过 GDPR。据不完全统计,近两年因违反 GDPR 而被开出的罚单已经达到了 1.26 亿美元,而罚款主要来自这些美国科技巨头。
最惨的要说是谷歌了,去年 1 月法国数据保护监管机构罚款谷歌 5700 万美元,这是 GDPR 出台后开出的第二大罚单。最大一笔罚单是在去年 7 月,英国航空公司被罚 1.8339 亿英镑(约合 15.8 亿元人民币)。
谷歌因违反 GDPR,被法国数据保护监管机构罚款 5700 万美元
据 TechCrunch 报道,2019 年 1 月,法国数据保护监管机构 CNIL 按照 GDPR 规定,对谷歌开出 5700 万美元的罚单。这家监管机构称,在安卓新用户设置新手机并按照安卓系统的引导流程操作时,谷歌没有遵守 GDPR。在当时看来,这是 GDPR 实施之后开出的最大罚单。
CNIL 认为,在透明度和获取用户同意方面,谷歌没有遵守 GDPR 规则。其次,谷歌使用数据前获取用户同意的流程不符合 GDPR 规定。
因为在默认情况下,谷歌会促使用户注册谷歌账户。他们会告诉用户,如果没有谷歌账户,用户体验会很差。CNIL 宣称,谷歌应将创建账户的行为与设置设备的行为分开,这种捆绑行为是违反 GDPR 的。
对于缺乏透明度的问题,监管机构在报告中写道,“有些重要信息,如数据处理目的、数据存储周期或用于个性化广告的个人数据类别,过度散布在多个文档中,用户需要点击按钮和链接才能获取补充信息。”举例来说,如果用户想知道他们的数据如何被处理以便用于个性化广告,需要点击 5 到 6 次。
除此之外,谷歌在你创建账户时不会获取你的明确同意。在默认情况下,当用户创建帐户时,谷歌在 “我同意按照上面描述的方式处理我的信息,并在隐私政策中进一步解释”的框中会预先打上勾。这在 GDPR 中也是被禁止的。
对此,谷歌发言人在当时的声明中称,“用户对我们提高透明度和控制力抱有很高的期望。我们致力于满足这些期望和 GDPR 的要求。我们正在研究 CNIL 的决定,以决定下一步的行动。”