意大利数据监管机构对Google Analytics的使用提出新一轮警告
在欧洲使用Google Analytics的用户又遭遇一次打击,意大利数据保护机构发现,当地一家网络出版商使用流行的分析工具不符合欧盟数据保护规则,因为用户数据被转移到了美国--一个缺乏同等法律框架来保护信息不被访问的国家。
Garante发现网络出版商使用Google Analytics导致收集了许多类型的用户数据,包括设备IP地址、浏览器信息、操作系统、屏幕分辨率、语言选择,以及网站访问的日期和时间,这些数据被转移到美国,而没有采取足够的补充措施来提高保护水平,使其达到必要的欧盟法律标准。
它补充说,Google应用的保护措施不足以解决风险,这与其他几个欧盟DPA的结论一致,他们也发现在数据出口问题上,使用Google Analytics违反了集团的数据保护规则。
意大利的DPA已经给了有问题的出版商(一家名为Caffeina Media Srl的公司)90天的时间来解决违规问题。但这一决定具有更广泛的意义,因为它还警告其他正在使用Google Analytics的本地网站注意并检查自己的合规性,它在一份新闻稿中写道。
"该局提请意大利所有公共和私营网站的管理人员注意,通过GA[Google Analytics的缩写]向美国传输信息是非法的,同时考虑到该局收到的大量报告和问题,并请所有数据控制者核实其网站上使用的cookies和其他跟踪工具的使用方法是否符合关于保护个人数据的立法,特别注意Google Analytics和其他类似服务。"
本月早些时候,法国的数据保护监管机构发布了最新的指导意见,对Google Analytics的非法使用提出警告--在2月份发现一个本地网站在使用该软件时存在类似的错误。
CNIL的指导意见表明,位于欧盟的网站所有者只有非常狭窄的可能性合法使用Google的分析工具--要么通过应用额外的加密,其中密钥由数据出口商本身或在提供足够保护水平的地区建立的其他实体独家控制;要么通过使用代理服务器来避免用户的终端和Google的服务器之间的直接接触。
奥地利的DPA在1月份也支持了对一个网站使用Google Analytics的类似投诉。
而欧洲议会在今年年初发现自己在同样的核心问题上陷入困境。所有这些对Google Analytics的打击都与欧洲隐私运动组织noyb在2020年8月提出的一系列战略投诉有关--该组织针对101个网站的区域运营商,确定其通过Google Analytics和/或Facebook连接集成向美国发送数据。
这些投诉是在2020年7月集团最高法院作出里程碑式的裁决后进行的--该裁决使欧盟和美国之间的数据传输协议(称为"隐私保护")无效,并明确指出,DPA有责任介入并暂停数据流向他们怀疑欧盟公民的信息处于风险之中的第三国。
所谓的"Schrems II"裁决是以noyb的创始人和长期的欧洲隐私运动者Max Schrems命名的,他对Facebook的欧盟-美国数据转移提出了投诉,引用了NSA告密者Edward Snowden披露的监控行为,最终通过法律转介,提交到欧盟法院。(Schrems之前的挑战也导致之前的欧盟-美国数据传输安排在2015年被法院驳回)。
在最近的发展中,隐私保护的替代方案正在进行中。3月,欧盟和美国宣布他们已经就此达成了协议。
然而,计划中的数据传输框架的法律细节仍需最后确定--拟议的机制由欧盟机构审查和通过--然后才能投入使用。这意味着对欧盟客户来说,使用基于美国的云服务仍然笼罩在法律风险之中。
该集团的立法者建议,替代协议可能在今年年底前完成,但在此期间,Google Analytics的欧盟用户没有简单的法律补丁可以使用。
此外,美国监控法和欧盟隐私法之间的差距在某些方面继续扩大--而且绝不能确定谈判达成的替代协议将足够强大,能够经受住不可避免的法律挑战。
对这种权利和优先事项的基本冲突进行简单的法律修补,看起来是一个很高的标准,如果不对现有法律进行实质性的改革,这是不可能的。