埃森哲在上述报告中指出，GDPR要求责任共担。在过去，收集和使用数据的数据拥有者需要对数据保护负责。如今，史无前例地，数据处理者（如提供数据处理服务的云服务提供商等）也需要直接承担合规风险和义务。在数据保护上，数据供应链自上而下的各方都会被问责。网络公司必须与合作伙伴们明确各自的责任和义务。

如不遵守GDPR，后果很严重。埃森哲指出，GDPR大大增加了数据保护的强制性和责任性，对违规的处罚金额提高到2000万欧元或企业全球年营业额的4%（二者取较高值）。

据第一财经记者统计，目前在28个欧盟国家中，已有21个国家将GDPR融入了国内法，其余国家也纷纷于去年就GDPR的推行问题开展了公开讨论或提出修订草案，一些已经进入了立法程序。

也就是在此背景之下，前述法国数据保护机构国家信息与自由委员会(CNIL)向谷歌开出了5000万欧元的罚单。此前，CNIL接到了来自NOYB和LQDN两家非营利性组织对谷歌的投诉。

在调查中，CNIL发现，在透明度问题上，谷歌将数据处理目的、数据存储周期及用于个性化广告的个人数据分类等关键信息分布在不同的页面，这造成用户不得不额外进行5-6次的点击操作才能够看到相关的完整信息。

在个性化广告处理上，根据CNIL的观察，谷歌也将相关信息分散在不同的文档中，这让用户无法了解到其使用程度；当用户创建账户时，不仅要通过点击“更多选择”的按钮才能够到配置页面，且其中展示个性化广告的按钮是默认已选的状态，此外，如果用户一旦勾选同意服务的选项即相当于同意谷歌进行所有处理操作，这有违GDPR要求须为每一个目的“具体”给出许可的规定。

相关报道: