在欧洲使用谷歌分析的另一次打击:意大利数据保护机构发现当地网络出版商使用流行的分析工具不符合欧盟数据保护规则,因为用户数据被转移到美国——美国缺乏同等的法律框架来保护信息不被美国间谍访问。
Garante发现网络发布者使用 Google Analytics 收集了多种类型的用户数据,包括设备 IP 地址、浏览器信息、操作系统、屏幕分辨率、语言选择以及网站访问的日期和时间,这些数据已被转移在没有采取足够的补充措施将保护水平提高到必要的欧盟法律标准的情况下向美国出口。
它补充说,谷歌应用的保护措施不足以解决风险,这与其他几个欧盟 DPA 的结论相呼应,他们也发现使用谷歌分析违反了欧盟在数据导出问题上的数据保护规则。
意大利的 DPA 已给予相关出版商(一家名为 Caffeina Media Srl 的公司)90 天的时间来纠正违规行为。但该决定具有更广泛的意义,因为它还警告其他使用谷歌分析的本地网站注意并检查自己的合规性,并在新闻稿中写道[从意大利语翻译成机器翻译]:
“[T] 当局提请所有意大利公共和私人网站管理人员注意通过 GA [Google Analytics] 向美国转移的非法性,同时考虑到收到的大量报告和问题由办公室,并邀请所有数据控制者验证其网站上使用的 cookie 和其他跟踪工具的使用方法是否符合保护个人数据的立法,特别注意谷歌分析和其他类似服务。 ”
本月早些时候,法国数据保护监管机构发布了关于非法使用谷歌分析的最新指导警告——继2 月份当地网站使用该软件时发现了类似的错误。
CNIL 的指导建议欧盟网站所有者合法使用谷歌分析工具的可能性非常小——要么通过应用额外的加密,其中密钥由数据出口商本身或在提供足够级别的领土内建立的其他实体持有保护;或者通过使用代理服务器来避免用户终端和谷歌服务器之间的直接联系。
奥地利的 DPA 也在1 月份支持了有关网站使用 Google Analytics 的类似投诉。
而欧洲议会在年初发现自己在同一核心问题上陷入困境。
所有这些针对 Google Analytics 的攻击都与 欧洲隐私权运动组织 noyb 于 2020 年 8 月针对 101 个网站,其区域运营商已确定通过 Google Analytics 和/或 Facebook Connect 集成向美国发送数据。
这些投诉是在欧盟最高法院于2020 年 7 月做出具有里程碑意义的裁决之后发生的——该裁决使欧盟和美国之间的一项名为隐私保护的数据传输协议无效,并明确表示 DPA 有义务介入并暂停数据流向第三方他们怀疑欧盟公民的信息处于危险之中的国家。
所谓的“Schrems II”裁决是以 noyb 创始人和长期欧洲隐私权活动家 Max Schrems 的名字命名的,他以美国国家安全局举报人爱德华·斯诺登披露的监视做法为由,对 Facebook 的欧盟-美国数据传输提出了投诉,最终结果是——通过法律转介——在 CJEU 面前。 (施雷姆斯先前的挑战还导致之前的欧盟-美国数据传输安排在 2015 年被法院驳回。)
在最近的发展中,Privacy Shield 的替代品即将推出: 3 月,欧盟和美国宣布已就此达成政治协议。
然而,计划中的数据传输框架的法律细节仍需最终确定——欧盟机构审查和采用的拟议机制——才能投入使用。这意味着对欧盟客户而言,使用美国云服务仍面临法律风险。
欧盟立法者表示,替代协议可能会在今年年底前敲定——但与此同时,谷歌分析的欧盟用户无法获得简单的法律补丁。
此外,在某些方面,美国监控法和欧盟隐私法之间的差距继续扩大——而且无法确定协商的替代方案是否足够强大,能够经受住不可避免的法律挑战。
为这种权利和优先事项的根本冲突提供一个简单的法律补丁看起来像是一个很高的标准——未能对现有法律进行实质性改革(双方似乎都不愿意提供)。
因此,我们已经开始看到某些美国云巨头的软件级响应——为欧洲客户提供对数据流的更多控制——以寻找一种方法来规避数据传输的法律风险。
原文: https://techcrunch.com/2022/06/23/google-analytics-italy-eu-data-transfers/