面对 GDPR 40 亿欧元巨额罚金，谷歌动起了“歪心思”

经过四年的准备和辩论之后，GDPR 在 2016 年 4 月 14 日获得了欧盟议会的批准，该条例旨在调整整个欧洲的数据隐私法律，保护和赋权所有欧盟公民的数据隐私，并重塑整个地区组织处理隐私数据的方式。GDPR 自 2018 年 5 月 25 日起生效，届时违规组织可能面临重罚。

在 GDPR 生效首日，Facebook 和谷歌就被奥地利隐私活动家 Max Schrems 指控强迫用户同意共享个人数据。如果欧洲监管机构同意这一诉讼，Facebook 和谷歌将分别面临 39 亿欧元和 37 亿欧元（共计约 88 亿美元）的罚款。

同年 5 月，用户隐私组织 NOYB 和 La Quadrature du Net（LQDN）提出投诉，第一起投诉在 GDPR 生效当天提起，该组织声称谷歌没有有效的法律依据来处理新规定下的个性化广告用户数据收集事宜。今年 1 月，法国数据监管机构 CNIL 对谷歌开出罚单，并最终对其处以 5000 万欧元的罚款。

面对如此巨额的罚金，即使是谷歌这样的巨头企业也会瑟瑟发抖，所以如何通过技术手段规避 GDPR 的严苛规定成为了谷歌逃脱罚金的路径之一。不幸的是，这条路似乎也被人堵住了，一家名为 Brave 的公司发现了谷歌在实时竞价上的一些小心思，并把它揭露了出来。

根据 Brave 公司首席政策与行业关系官 Johnny Ryan 博士的申诉：谷歌公司的 DoubleClick，又称“授权买家广告业务”已经涉嫌侵犯 GDPR 条例，并需要受到爱尔兰数据保护委员会（DPC）的调查。

爱尔兰 DPC 是谷歌在欧洲主要的监管机构。Brave 方面收集到的新证据为爱尔兰 DPC 的指控提供了有力的支持，证明谷歌的广告系统确实泄露了了有违 GDPR 要求的用户个人数据。此外，Brave 方面还发现谷歌正在采用一种似乎用于针对 GDPR 的解决方案，该方案正好绕过了谷歌此前公开声明的 GDPR 数据保护措施。

Brave 公司的 Johnny Ryan 博士表示：“谷歌的「DoubleClick/授权买家」广告系统目前运行在超过 840 万个网站之上，每天向超过 2000 家企业输送数千亿次与网站访客相关的个人数据。”

“我们提交给爱尔兰数据保护委员会的证据证明，谷歌公司将我个人受到保护的数据泄露给了数目不详的公司。我们无法了解到这些公司以后会利用这些数据干什么，因为谷歌一旦将这些数据发出，就失去了对这些个人数据的控制权，其数据保护政策也将就此中止。”

谷歌的 GDPR“解决方案”

谷歌公司声称：出于对网站访问者敏感数据的保护，他们拒绝了众多使用实时出价广告（RTB）系统的公司，因为这些公司可能将访问者的个人资料挪作他用。此外，谷歌方面还宣称：已经停止共享能够帮助各类公司识别出用户个人身份的匿名标识，这显然也是为了响应 GDPR 提出的要求。

但事实上，Brave 方面提供的最新证据表明：谷歌不仅在新的机制下默许了个人信息挪用行为，同时还允许这些公司与谷歌的标识进行匹配。现有证据进一步表明，谷歌方面甚至允许多方将所掌握的数据主体标识进行相互匹配。

Brave 委托 Zach Edwards 分析了 Ryan 博士的网页浏览日志。此项分析证实，Ryan 博士的个人数据确实曾被泄露，并进一步证实了谷歌新机制下确实存在“推送页面”，谷歌借此在加载网页的过程中邀请多家公司共享当前访问者的个人资料标识。

谷歌的推送页面由谷歌域提供，且都拥有相同的名称“cookie_push.html”。每个推送页面都由近两千个字符的代码组成，谷歌会在末尾为这些代码添加唯一标识，用以记录这些信息来自何人。与谷歌提供的其它 cookie 相结合，各企业就能够在看似不可能的情况下识别匿名访问者的身份。

谷歌邀请访问推送页面的所有公司，都会收到与被标记者相匹配的相同标识。这一“google_push”标识允许各公司交叉引用自己掌握的用户资料，甚至可以相互交换用户数据。该推送页面不会显示给访问网页的用户，如果直接访问也不会显示出任何内容。

感兴趣的朋友可以下载推送页面示例：

https://brave.com/wp-content/uploads/files_2019-9-2/sample_push_page_from_session.txt

Ryan 博士及 Brave 公司代理数据权律师 Ravi Naik 指出：“目前的实时广告的推送形式非常邪恶，数据泄露的速度与规模意味着谷歌根本就没有遵守 GDPR 提出的安全原则。”

“现在，我们的客户发现谷歌正在对看似安全的用户信息进行后台匹配。这些欺骗性且完全不受控的匹配方式，无疑是对数据保护公平性与透明性原则的亵渎。遗憾的是，谷歌已经习惯于这种无法无天的行为，甚至胆敢站在数据保护的大旗之下反对数据保护。DPC 必须迅速采取行动，制止这种作法。”

Brave 呼吁对 RTB 数据泄露事件给予重视

12 个月之前，即 2018 年 9 月，Brave 公布了大量持续性数据泄露事件，指出谷歌及其他一些厂商长期以来一直在 RTB 广告等系统中将数十亿互联网用户的个人信息当作儿戏。如今，Brave 也开始与非政府隐私组织、学术界以及其他机构开展合作，跨越 16 个欧盟国家对价值数十亿美元的 RTB 产业进行改造。而这一轮行动的主要针对目标，自然就是谷歌以及负责控制 RTB 系统的 lAB。

Brave 方面向监管机构提交的专业证据，引发了爱尔兰数据保护委员会对谷歌 RTB 广告系统涉嫌违反 GDPR 的法定调查，此外英国信息专员也就此事发布报告并提出警告。

每当有人访问采用 RTB 的网站时，他们的个人数据就会被传播至数十甚至数百家公司，这些公司会以实时竞拍的方式出售向该访问者展示广告的权利。传播的数据可能包括访问者目前正在阅读的内容，以及可能表达用户性取向、政治观点、宗教信仰、健康状况（包括是否患有艾滋病、性病以及抑郁症等）的信息。传播范围包括人们正在阅读、观看或者收听的内容，甚至包含访问者的当前位置以及特定于该访问者的唯一 ID 编号。

如此一来，那些普通互联网用户从未听说过的公司就能够建立起与访问者个人资料以及记录内容相关的广告竞拍交易。这种情况每天发生达数千亿次。

一旦数据被传播出去，可能连谷歌公司也无法控制这些数据的具体使用方式。其政策只要求作为谷歌传播对象的数千家企业自行监督，并自主判断哪些能做、哪些不能做，而在这些企业之外的用途，谷歌似乎也无能为力。

GDPR 相关条款

GDPR 第 5 条第 1 款第 f 点，要求严格控制个人数据

“个人数据的处理方式应确保个人数据得到适当保护，包括利用适当的技术或组织措施（「诚信与保密」）防止数据遭到未授权或非法处理，以及意外丢失、破坏或损坏。”

• GDPR 第 5 条第 1 款的 a 与 b 点要求，个人应充分了解自己的数据会被如何使用：

“个人资料应以合法、公平及透明的方式处理，且及时通知相关当事人（「合法、公平、透明」）；”

“个人数据应按指定、明确且合法的目的进行收集，不得以与这些目的不符的方式加以进一步处理；出于公共利益、科学或者历史研究目的或者统计目的进一步归档处理，应遵循第 89（1）条的规定，不得以有违原始目的（「目的限制」）的方式处理；”