法國的數據保護監督機構CNIL,在今年早些時候發現一個本地網站使用Google流量分析工具違反歐盟法律的決定后,發布了關於Google Analytics使用的最新指南。它還證實,它已經向其他組織發出了正式通知,以使其對該工具的使用符合規定。
這個法律問題不僅影響到法國,而且影響到整個歐盟對這個流行的分析工具的使用–它取決於用戶數據被轉移到美國供Google處理–在歐洲最高法院於2020年作出決定,宣布一項數據轉移協議(又稱歐盟-美國隱私保護)無效之後,這種個人數據的出口缺乏足夠的法律保護,因為美國情報機構有可能非法獲取歐洲人的數據。
此後,歐盟和美國(在3月)宣布了一項關於替代轉移機制的政治協議。
但是,正如CNIL所指出的,他們的聯合聲明並不是一個法律框架,在歐盟正式通過一個實際的替代協議之前,將歐洲人的數據穿越大西洋帶到美國雲服務的做法不能援引該聲明–歐盟委員會認為這可能要到今年年底才能實現,這幾乎肯定會面臨新的法律挑戰,以測試該協議是否像先前的協議一樣有缺陷,正如數據保護專家所懷疑的那樣)。
因此,底線是歐盟網站要麼改變他們對Google Analytics的使用,要麼冒着監管執法的風險–這可能包括命令修改他們的流程和對違反規定的財務處罰。而且,由於監管部門對這個問題的指導越來越詳細,不合規的罰款風險很可能會增加,因為這意味着沒有做出必要改變的合理借口越來越少。
“所有以類似於[已經通知的]組織的方式使用Google Analytics的數據控制者現在必須考慮這種使用在GDPR下是非法的。因此,他們必須轉向提供足夠保證的服務提供商,”CNIL在指南中警告說。
任何收到監管機構關於其使用Google Analytics的正式通知的網站都有一個月的時間來遵守–經過申請後有可能再延長一個月。
CNIL關於使用Google Analytics的常見問題解答文本繼續表明,歐盟的組織如果不採用自己的某些額外保障措施,基本上是不可能使用該工具的。
“作為正式通知的一部分,提交給CNIL的額外保障措施都不能阻止美國情報部門在單獨使用Google Analytics工具時獲取歐洲用戶的個人數據,或使之無效。”它在回答是否有可能依靠Google聲稱它適用於該工具的額外保障措施時寫道。
CNIL還強調,標準的合同條款也不足以彌補數據出口方面的法律空白,因為不可能對Google Analytics進行配置,使其不將歐洲人的個人數據轉移到集團外,並進一步警告。”即使在沒有轉移的情況下,使用受非歐洲管轄的公司提供的解決方案也可能會在數據訪問方面帶來困難。事實上,第三國當局可能有義務披露託管在位於歐盟的服務器上的個人數據”。
位於歐盟的Google Analytics用戶為使用該工具而不違反法律,可能採取的額外保障措施僅限於。加密(但只有在密鑰由數據出口商或在提供適當保護水平的地區設立的其他實體獨家控制的情況下);或代理服務器(以避免互聯網用戶的終端和測量工具的服務器之間的任何直接接觸)。
監管機構建議,獲得用戶對數據轉移的明確同意也可以成立–但只有在特殊情況下,因為CNIL指出,救濟行為不能用於系統性轉移(Google Analytics的數據流剛好夠成這一點)。因此,網絡服務運營方認為用這樣的要求擾亂每個訪問者是個好主意,獲得明確同意也不是一個可行的解決辦法。
CNIL之前公布了一份替代分析工具的清單,它認為可以通過配置的方式來避免在處理數據時獲得用戶同意的一般需要。然而,它警告說,該清單沒有考慮到國際轉移問題–因此,網站所有者仍然需要做自己的法律工作,以確定替代分析工具,例如由總部設在歐盟的軟件製造商提供的、在歐盟進行所有處理的工具是否可以提供比Google Analytics更少的法律風險。
其他歐盟數據保護機構(如奧地利)也一直在向其管轄範圍內的網站發出有關不符合規定使用Google Analytics的決定。
監管部門的審查是在歐盟隱私倡導組織noyb早在2020年8月提出的一系列投訴之後進行的–當時針對的是Google Analytics和Facebook連接。因此,雖然Google的分析工具已經成為DPA決定的第一選擇,但這個問題並不限於Google,也不限於分析工具,可能會影響更多在歐盟有客戶的美國服務。