针对谷歌窃取用户位置隐私提出的七项GDPR诉讼

来自七个欧盟国家的消费者保护机构今天提交了GDPR针对谷歌使用欺骗性做法跟踪用户位置的投诉。

七家消费者保护机构声称谷歌“缺乏处理有关[位置]数据的有效法律依据”，而且由于其欺骗性做法，用户未同意就私自收集。因此，该公司违反了自今年5月下旬开始在欧盟空间生效的通用数据保护条例（GDPR）。他们已向荷兰，波兰，捷克共和国，希腊，挪威，斯洛文尼亚和瑞典的国家数据保护机构提交了GDPR投诉。

“位置数据可以揭示很多人，包括宗教信仰（前往礼拜场所），政治倾向（去示威），健康状况（定期去医院）和性取向（访问某些酒吧），”BEUC官员说。 BEUC是由来自32个欧洲国家的43个消费者委员组成的保护伞组织。

根据挪威国家消费者保护机构消费者委员会今天发布的44页报告的结果，七份GDPR投诉均已提交。

上述报告显示了Google如何使用多种欺骗性做法，且通过两种称为“位置记录”和“网络与应用活动”的功能对Google帐户启用位置跟踪。

• 位置记录是一种Google帐户设置，可以不断记录用户的位置。通过位置历史记录收集的位置数据来自GPS，Wi-Fi扫描和蓝牙扫描。这意味着Google可以跟踪用户在建筑物内外的精确位置。此设置虽然必须由用户“激活”，但报告发现Google使用了一些技巧来确保用户这样做。
  
• Web＆App Activity是另一种Google帐户设置，可从各种Google服务中收集不同的用户数据。某些应用和服务（例如Google搜索和通过Google地图进行的搜索）会记录用户在执行搜索时所处位置的位置数据。换句话说，即使关闭“位置记录”，但保留“网络与应用程序活动”的用户仍会被Google收集部分位置数据。默认情况下，此设置会在所有Google帐户中激活。
  

该报告称，谷歌一直在使用一系列欺骗性做法和设计技巧，以促使用户激活两个位置跟踪功能，并使其保持启用状态。该报告列出了以下做法：

• 隐藏默认设置：设置Google帐户时，实际帐户设置会隐藏在额外点击后面。用户首先必须单击“更多选项”才能查看设置是什么，以及它们是启用还是禁用。默认情况下是启用Web＆App Activity，这意味着未单击“更多选项”的用户也不会意识到此数据收集正在发生。
  
• 误导性和不平衡的信息：每当向用户呈现位置历史记录和Web和应用程序活动设置时，清晰可见的信息仅限于设置所需的一些正面示例。可见的信息通常也会使正在进行的跟踪程度及其使用方式变得微不足道。
  
• 欺骗性点击流：虽然必须“主动”启用位置历史记录，但也会以强制用户启用设置的方式显示进入被设计好的设置过程和点击流程。
  
• 重复轻推：在许多不同的环境中，反复要求用户打开位置历史记录。在Android设备上，当使用Android手机上预装的不同服务时，不希望启用位置记录功能的用户必须至少需要设置四次拒绝：Google智能助理，谷歌地图，谷歌应用和谷歌照片。
  
• 捆绑服务和缺乏精细的选择：在整个Google服务生态系统中，单独的服务或功能都是集成的，并且是相互依赖的，或者简单地捆绑在一起。需要启用位置记录才能启用用户可能需要使用的其他服务，例如Google智能助理和Google相册。
  
• 权限和永远在线设置：启用后，无论用户是否正在使用位置服务，位置历史记录都始终在Android设备的后台运行。
  

在一起两场测试后——7月新安装的安卓智能手机(三星Galaxy S7 Android设备运行Android版本8.0.0)和10月的安卓手机(在七月的同一三星设备、谷歌Pixl设备上运行Android版本9)，挪威对此做出测试报告。这两个测试都发现类似的位置记录问题,导致7个机构决定推进GDPR投诉。

在今天提交文件之后，对应的七个国家/地区的数据保护机构将根据当前的GDPR立法调查Google的位置跟踪行为。

如果Google此做法被判有罪，其可能会面临高达2000万欧元（2260万美元）或全球年营业额4％的罚款。

此外，Quartz和美联社分别进行了两项调查，发现谷歌在收集用户位置信息方面也存在类似问题，即使用户界面中明显禁用了位置服务。

谷歌试图在今年夏天改变谷歌帐户仪表板界面时挽回面子，但到为时已晚，因为该公司已经引起了用户和欧盟消费者保护机构的愤怒。