近日,Google Analytics 受到欧盟数据监管机构的关注。
上周,法国数据监管机构国家信息与自由委员会 (Commission Nationale de l’informatique et des libertés , CNIL) 下令三个法国网站停止使用受众分析网站 Google Analytics(谷歌分析),认为该网站在《通用数据保护条例》(General Data Protection Regulation) 下是非法的。这些网站被要求在 30 天内整改,否则将面临高达 2000 万欧元或年营业额 4% 的巨额罚款。而有分析师认为,法国网站被勒令停止使用谷歌分析仅仅是个开始。
该警告是在法国监管机构收到一些投诉后发出,这些投诉是2020年欧洲数字权利中心 (European Center for Digital Rights, NOYB) 对关于美国和欧盟之间数据传输的担忧,该中心是一个非盈利组织,由隐私维权人士 Max Schrems 担任主席。NYOB 将这些投诉发送给多个地区数据保护机构 (Data Protection Authorities, DPA),包括奥地利和法国的 DPA。法国监管机构也因此被联系,以寻求回应。
“大约一半的投诉针对 Google Analytics 的使用,另一半针对 Facebook Connect 的使用,”提供隐私保护解决方案的非营利组织 Future of Privacy Forum 的全球隐私维权副总裁 Gabriela Zanfir-Fortuna 说。
无数网站依靠 Google Analytics 来了解更多关于其受众的信息。随着隐私法的收紧,尤其是在欧洲,跨大西洋数据流的坚实框架仍在被敲定,违反 GDPR 的服务数量将会曝光。在全球经济中,人们担心的是未来提供给欧盟和美国的产品会需要有所不同。
根据欧洲数据保护监督员 (European Data Protection Supervisor , EDPS) 的 2016 年指南,“跟踪 cookie ,例如 Stripe 和 Google Analytics 的cookie, 它们被视为个人数据,即使被跟踪用户的传统身份参数未知或已被收集被跟踪器删除,也依旧会被视为个人数据。”
这意味着总部设在欧洲的使用谷歌分析的公司(该分析会读取人们访问网站时放置在浏览器上的 cookie,以判断他们是新用户还是老用户)正在将人们的个人信息发送到美国。
Schrems II 中补充措施的限制和不足
根据Schrems II的判决,欧盟公司将数据传输到美国的公司必须遵守“补充措施”(supplemental measures),这些措施旨在鼓励更严格的数据安全,防止监视的可能性,这是继上一次之后于 2020 年制定的指导方针跨大西洋数据交易被又被自己本身推翻。
该措施的一个例子可能是允许欧盟公司质疑美国政府要求的每一次数据访问的条款。或者,该措施在本质上也可能更具技术性,例如加密部署,因此没有人可以访问它。
Zanfir-Fortuna 表示,DPA 评估了这些补充措施的有效性,并得出结论,目前使用的措施不足以保护数据隐私。
“这就是为什么他们认为此类数据传输是非法的,”她补充说。
因此,奥地利 DPA 在 1 月初发布了第一个决定,随后 CNIL 在 2 月初做出了决定。
多米诺骨牌效应
预计在接下来的几个月中,包括德国、西班牙、葡萄牙和波兰在内的欧洲 DPA 将做出类似的决定——打击美国和欧盟之间的非法个人数据传输。
“如果当局发现数据传输没有足够的保障措施,这实际上意味着公司必须停止使用谷歌分析,”Zanfir-Fortuna 说。
她补充说,尽管美国政府和欧盟委员会最近宣布了一项政治协议,但在一个引导跨大西洋数据流的合法框架出现之前,DPA“有法律义务关注并解决每个投诉”。
这些决定将不仅限于谷歌分析,还包括区域之间的任何数据传输,例如云服务。
“从长远来看,我们要么在美国需要适当的保护,要么最终为美国和欧盟提供单独的产品,”NYOB Schrems 主席说。“我个人更喜欢在美国提供更好的保护,但这取决于美国立法者,而不是欧洲的任何人。”
领取专属 10元无门槛券
私享最新 技术干货