欧洲使用谷歌分析的用户又遭受了一次打击。意大利数据保护机构发现,当地一家在线出版商使用的流行分析工具不符合欧盟数据保护规则,因为用户数据被转移到了美国——一个缺乏相同法律框架来保护信息免遭访问的国家。
Garante发现,网络出版商使用谷歌分析导致了许多类型的用户数据的收集,包括设备IP地址、浏览器信息、操作系统、屏幕分辨率、语言选择以及网站访问的日期和时间。这些数据被转移到美国,而没有采取足够的补充措施来提高保护水平,并使其符合必要的欧盟法律标准。
它补充说,谷歌应用的保护措施不足以解决风险,这与其他几个欧盟DPA的结论是一致的。他们还发现,使用谷歌分析违反了该集团关于数据输出的数据保护规则。
意大利的德新社给了该出版商(一家名为Caffeina Media Srl的公司)90天的时间来解决这一问题。但这一决定具有更广泛的意义,因为它也警告其他使用谷歌分析的本地网站注意并检查他们的合规性,它在新闻稿中写道。
考虑到该局收到的大量报告和问题,该局提请意大利所有公共和私人网站的经理注意通过GA(谷歌分析的缩写)向美国传输信息的非法性,并要求所有数据控制者核实其网站上使用的cookies和其他跟踪工具的使用方法是否符合保护个人数据的法律,特别注意谷歌分析和其他类似服务。
本月早些时候,法国数据保护监管局发布了最新指导意见,对非法使用谷歌分析(Google Analytics)发出警告——今年2月,当地一家网站在使用该软件时被发现存在类似错误。
CNIL的指南显示,欧盟网站所有者合法使用谷歌分析工具的可能性非常小——要么通过应用额外的加密,其中密钥由数据出口商本身或在提供足够保护级别的地区建立的其他实体独家控制;要么使用代理服务器,避免用户终端与Google的服务器直接接触。
今年1月,奥地利的德新社也支持了对一家使用谷歌分析的网站的类似投诉。
今年年初,欧洲议会发现自己在同样的核心问题上陷入了困境。所有这些对谷歌分析的攻击都与欧洲隐私运动组织noyb在2020年8月提出的一系列战略性投诉有关,这些投诉针对101个网站的区域运营商,并确定他们通过谷歌分析和/或脸书连接整合向美国发送数据。
这些投诉是在该集团最高法院于2020年7月做出具有里程碑意义的裁决后提出的——该裁决使欧盟和美国之间的数据传输协议(称为“隐私保护”)无效,并明确指出DPA有责任干预并暂停向他们怀疑欧盟公民的信息面临风险的第三国的数据流动。
所谓的“Schrems II”裁决是以noyb的创始人马克斯施雷姆的名字命名的,他是一位长期的欧洲隐私活动家。他对脸书的EU-美国数据传输提出申诉,引用了美国国家安全局举报者爱德华斯诺登披露的监控行为,并最终通过法律将其提交给欧洲法院。(Schrems之前的挑战也导致之前的EU-美国数据传输安排在2015年被法院驳回)。
在最近的发展中,隐私保护的替代方案正在进行中。3月,欧盟和美国宣布已就此达成协议。
然而,计划中的数据传输框架的法律细节仍需最终确定——拟议中的机制将由欧盟机构审查和批准——才能投入使用。这意味着,对于欧盟客户来说,使用美国的云服务仍然笼罩在法律风险中。
该团体的立法者建议,替代协议可能在今年年底前完成,但在此期间,谷歌分析的欧盟用户没有简单的法律补丁可以使用。
此外,美国监控法和欧盟隐私法之间的差距在某些方面继续扩大——而且也绝不确定谈判达成的替代协议是否足够强大,足以承受不可避免的法律挑战。
对权利和优先权之间的基本冲突进行简单的法律救济似乎是一个非常高的标准,如果不对现有法律进行实质性改革,这是不可能的。
