法国的数据保护监督机构CNIL,在今年早些时候发现一个本地网站使用Google流量分析工具违反欧盟法律的决定后,发布了关于Google Analytics使用的最新指南。它还证实,它已经向其他组织发出了正式通知,以使其对该工具的使用符合规定。
这个法律问题不仅影响到法国,而且影响到整个欧盟对这个流行的分析工具的使用--它取决于用户数据被转移到美国供Google处理--在欧洲最高法院于2020年作出决定,宣布一项数据转移协议(又称欧盟-美国隐私保护)无效之后,这种个人数据的出口缺乏足够的法律保护,因为美国情报机构有可能非法获取欧洲人的数据。
此后,欧盟和美国(在3月)宣布了一项关于替代转移机制的政治协议。
但是,正如CNIL所指出的,他们的联合声明并不是一个法律框架,在欧盟正式通过一个实际的替代协议之前,将欧洲人的数据穿越大西洋带到美国云服务的做法不能援引该声明--欧盟委员会认为这可能要到今年年底才能实现,这几乎肯定会面临新的法律挑战,以测试该协议是否像先前的协议一样有缺陷,正如数据保护专家所怀疑的那样)。
因此,底线是欧盟网站要么改变他们对Google Analytics的使用,要么冒着监管执法的风险--这可能包括命令修改他们的流程和对违反规定的财务处罚。而且,由于监管部门对这个问题的指导越来越详细,不合规的罚款风险很可能会增加,因为这意味着没有做出必要改变的合理借口越来越少。
"所有以类似于[已经通知的]组织的方式使用Google Analytics的数据控制者现在必须考虑这种使用在GDPR下是非法的。因此,他们必须转向提供足够保证的服务提供商,"CNIL在指南中警告说。
任何收到监管机构关于其使用Google Analytics的正式通知的网站都有一个月的时间来遵守--经过申请后有可能再延长一个月。
CNIL关于使用Google Analytics的常见问题解答文本继续表明,欧盟的组织如果不采用自己的某些额外保障措施,基本上是不可能使用该工具的。
"作为正式通知的一部分,提交给CNIL的额外保障措施都不能阻止美国情报部门在单独使用Google Analytics工具时获取欧洲用户的个人数据,或使之无效。"它在回答是否有可能依靠Google声称它适用于该工具的额外保障措施时写道。
CNIL还强调,标准的合同条款也不足以弥补数据出口方面的法律空白,因为不可能对Google Analytics进行配置,使其不将欧洲人的个人数据转移到集团外,并进一步警告。"即使在没有转移的情况下,使用受非欧洲管辖的公司提供的解决方案也可能会在数据访问方面带来困难。事实上,第三国当局可能有义务披露托管在位于欧盟的服务器上的个人数据"。
位于欧盟的Google Analytics用户为使用该工具而不违反法律,可能采取的额外保障措施仅限于。加密(但只有在密钥由数据出口商或在提供适当保护水平的地区设立的其他实体独家控制的情况下);或代理服务器(以避免互联网用户的终端和测量工具的服务器之间的任何直接接触)。
监管机构建议,获得用户对数据转移的明确同意也可以成立--但只有在特殊情况下,因为CNIL指出,救济行为不能用于系统性转移(Google Analytics的数据流刚好够成这一点)。因此,网络服务运营方认为用这样的要求扰乱每个访问者是个好主意,获得明确同意也不是一个可行的解决办法。
CNIL之前公布了一份替代分析工具的清单,它认为可以通过配置的方式来避免在处理数据时获得用户同意的一般需要。然而,它警告说,该清单没有考虑到国际转移问题--因此,网站所有者仍然需要做自己的法律工作,以确定替代分析工具,例如由总部设在欧盟的软件制造商提供的、在欧盟进行所有处理的工具是否可以提供比Google Analytics更少的法律风险。
其他欧盟数据保护机构(如奥地利)也一直在向其管辖范围内的网站发出有关不符合规定使用Google Analytics的决定。
监管部门的审查是在欧盟隐私倡导组织noyb早在2020年8月提出的一系列投诉之后进行的--当时针对的是Google Analytics和Facebook连接。因此,虽然Google的分析工具已经成为DPA决定的第一选择,但这个问题并不限于Google,也不限于分析工具,可能会影响更多在欧盟有客户的美国服务。