2020年6月19日,法国国务委员就谷歌因个性化广告违反欧盟《通用数据保护条例》(GDPR)而被要求支付五千万欧元罚单一事作出最终决定:谷歌在处理个人用户数据时缺乏有效的法律依据,尤其是个性化广告方面,未能向用户提供足够清楚、明确的告知,综合GDPR规定的罚款上限以及谷歌的财务状况,应支付相应罚款金额。此次谷歌被罚带来如下三点启示:
1、应平衡用户数据安全和用户体验。为了追求用户的最佳体验,企业都希望一键来解决所有问题。但是,根据GDPR的规则,针对特殊主体数据的处理,需要增加特别的同意条款;此外,根据“明示同意”的新要求,即使在部分与当前服务并无直接关系的数据处理过程中,也需要明示的告知和同意。在这些规则的要求下,必然会增加知情告知环节和同意环节的流程,从而影响用户体验。因此,正确处理、平衡消费者个人隐私安全和用户体验之间的关系,是企业面对需要数据安全和个人隐私保护时需要进一步解决的关键问题。
2、针对不同国家要求构建数据处理规则和隐私条款。此外,自GDPR生效以来,Google、Facebook、Instagram等公司因分享用户数据而遭各类申诉事件不断,也为我国企业敲响了警钟。从本质上讲,欧盟的GDPR所确立的个人信息保护原则和基本规则与我国的《网络安全法》和个人信息保护规范并无实质区别。因此,面对欧盟业务战略,企业应从全球视角出发,考虑不同市场的法律差异与执法环境差异,构建内部自身的基本数据规则和隐私条款,对不同市场做出差异化战略,也是我国企业需要进一步解决的问题。
3、加速建立国内数据立法体系与国际化标准。俗话说,谁制定了规则,谁就拥有了绝对的话语权和支配权。GDPR的制定与实施,对全球造成了巨大影响。从本质上看,也是欧盟以期利用庞大的用户来控制全球数据安全规则话语权的体现。因此,从保护国家数据安全的角度来看,必须进一步加快构建国内数据立法体系与国际化标准,推动数据安全关键技术自主研发,才能对数据拥有更多的话语权,以保障国家数据安全。