意大利數據監管機構對Google Analytics的使用提出新一輪警告
在歐洲使用Google Analytics的用戶又遭遇一次打擊,意大利數據保護機構發現,當地一家網絡出版商使用流行的分析工具不符合歐盟數據保護規則,因為用戶數據被轉移到了美國–一個缺乏同等法律框架來保護信息不被訪問的國家。
Garante發現網絡出版商使用Google Analytics導致收集了許多類型的用戶數據,包括設備IP地址、瀏覽器信息、操作系統、屏幕分辨率、語言選擇,以及網站訪問的日期和時間,這些數據被轉移到美國,而沒有採取足夠的補充措施來提高保護水平,使其達到必要的歐盟法律標準。
它補充說,Google應用的保護措施不足以解決風險,這與其他幾個歐盟DPA的結論一致,他們也發現在數據出口問題上,使用Google Analytics違反了集團的數據保護規則。
意大利的DPA已經給了有問題的出版商(一家名為Caffeina Media Srl的公司)90天的時間來解決違規問題。但這一決定具有更廣泛的意義,因為它還警告其他正在使用Google Analytics的本地網站注意並檢查自己的合規性,它在一份新聞稿中寫道。
“該局提請意大利所有公共和私營網站的管理人員注意,通過GA[Google Analytics的縮寫]向美國傳輸信息是非法的,同時考慮到該局收到的大量報告和問題,並請所有數據控制者核實其網站上使用的cookies和其他跟踪工具的使用方法是否符合關於保護個人數據的立法,特別注意Google Analytics和其他類似服務。”
本月早些時候,法國的數據保護監管機構發布了最新的指導意見,對Google Analytics的非法使用提出警告–在2月份發現一個本地網站在使用該軟件時存在類似的錯誤。
CNIL的指導意見表明,位於歐盟的網站所有者只有非常狹窄的可能性合法使用Google的分析工具–要么通過應用額外的加密,其中密鑰由數據出口商本身或在提供足夠保護水平的地區建立的其他實體獨家控制;要么通過使用代理服務器來避免用戶的終端和Google的服務器之間的直接接觸。
奧地利的DPA在1月份也支持了對一個網站使用Google Analytics的類似投訴。
而歐洲議會在今年年初發現自己在同樣的核心問題上陷入困境。所有這些對Google Analytics的打擊都與歐洲隱私運動組織noyb在2020年8月提出的一系列戰略投訴有關–該組織針對101個網站的區域運營商,確定其通過Google Analytics和/或Facebook連接集成向美國發送數據。
這些投訴是在2020年7月集團最高法院作出里程碑式的裁決後進行的–該裁決使歐盟和美國之間的數據傳輸協議(稱為”隱私保護”)無效,並明確指出,DPA有責任介入並暫停數據流向他們懷疑歐盟公民的信息處於風險之中的第三國。
所謂的”Schrems II”裁決是以noyb的創始人和長期的歐洲隱私運動者Max Schrems命名的,他對Facebook的歐盟-美國數據轉移提出了投訴,引用了NSA告密者Edward Snowden披露的監控行為,最終通過法律轉介,提交到歐盟法院。(Schrems之前的挑戰也導致之前的歐盟-美國數據傳輸安排在2015年被法院駁回)。
在最近的發展中,隱私保護的替代方案正在進行中。3月,歐盟和美國宣布他們已經就此達成了協議。
然而,計劃中的數據傳輸框架的法律細節仍需最後確定–擬議的機制由歐盟機構審查和通過–然後才能投入使用。這意味著對歐盟客戶來說,使用基於美國的雲服務仍然籠罩在法律風險之中。
該集團的立法者建議,替代協議可能在今年年底前完成,但在此期間,Google Analytics的歐盟用戶沒有簡單的法律補丁可以使用。
此外,美國監控法和歐盟隱私法之間的差距在某些方面繼續擴大–而且絕不能確定談判達成的替代協議將足夠強大,能夠經受住不可避免的法律挑戰。
對這種權利和優先事項的基本衝突進行簡單的法律修補,看起來是一個很高的標準,如果不對現有法律進行實質性的改革,這是不可能的。