法国数据保护监管机构 CNIL 在今年早些时候做出决定,发现当地网站使用该工具违反欧盟法律后,发布了有关使用 Google Analytics 的最新指南。
它还确认,此后已向其他组织发出正式通知,以使其对 Google Analytics 的使用符合规定。
法律问题——不仅影响法国流行分析工具的使用,而且影响整个欧盟的使用——取决于用户数据被转移到美国以供谷歌处理——个人数据的出口缺乏足够的法律保护欧洲最高法院 2020 年的一项裁决,该裁决因美国情报机构非法访问欧洲人数据的风险而宣布一项旗舰数据传输协议(又名欧盟-美国隐私盾)无效。
此后,欧盟和美国宣布( 3 月)就替代转移机制达成政治协议。
但是,正如 CNIL 指出的那样,他们的联合声明不是一个法律框架,美国云服务的用户不能依赖这些云服务,这些云服务在欧盟正式采用实际替代协议之前将欧洲人的数据进行处理——这委员会建议可能要到今年年底才会发生。 (它也几乎肯定会面临新的法律挑战,以测试该交易是否与数据保护专家怀疑的之前的交易一样存在缺陷。)
因此,最重要的是,欧盟网站可以更改其对 Google Analytics 的使用或风险监管执法——这可能包括修改其流程的命令和对违规行为的经济处罚。而且,由于有关该问题的监管指导越来越详细,因此违规罚款的风险可能正在增加,因为这意味着没有做出必要更改的合理借口越来越少。
“所有使用谷歌分析的数据控制者都必须以与 [已通知] 组织类似的方式使用谷歌分析,现在必须将这种使用视为 GDPR 下的非法行为。因此,他们必须求助于提供足够的合规性保证的服务提供商,”CNIL 在指南中警告说[我们已经用机器翻译从法语翻译了该指南]。
任何从监管机构收到有关其使用 Google Analytics 的正式通知的网站都有一个月的时间来遵守 – 有可能再延长一个月。
CNIL 关于使用谷歌分析的常见问题继续表明,欧盟组织基本上不可能在不采用自己的某些额外保护措施的情况下使用该工具。
“作为正式通知的一部分,向 CNIL 提供的任何额外保证都不会阻止美国情报机构在单独使用谷歌分析工具时访问欧洲用户的个人数据或使其无效,”它在回答问题时写道是否有可能依赖谷歌声称它适用于该工具的额外保护措施。
标准合同条款也不足以弥合数据出口的法律空白,CNIL 还强调——指出无法配置谷歌分析,使其不会将欧洲人的个人数据转移到欧盟之外,并进一步警告:“即使在由于没有转移,使用受非欧洲司法管辖区管辖的公司提供的解决方案可能会在访问数据方面造成困难。事实上,第三国当局可能要求组织披露托管在欧盟服务器上的个人数据。”
根据常见问题解答,基于欧盟的 Google Analytics 用户可能能够在不违反法律的情况下申请使用该工具的其他保护措施仅限于: 加密(但仅限于密钥由数据导出者或在提供充分保护的领土内设立的其他实体);或代理服务器(避免互联网用户终端与测量工具服务器之间的任何直接联系)。
监管机构建议,获得用户对数据传输的明确同意也可能成立——但仅在特殊情况下,因为 CNIL 指出,减损不能用于系统传输(本质上是谷歌分析数据流)。因此,即使您认为通过这样的请求干扰每个访问者是个好主意,明确同意也不是一个可行的解决方案。
CNIL 之前发布了一份替代分析工具列表,它已确定可以配置为避免在处理数据时通常需要获得用户同意。但是它警告说,该列表没有考虑到国际转移问题——因此,网站所有者仍然需要自己做一些工作来确定是否有替代分析工具,比如由一家欧盟软件制造商提供,该软件制造商在全球范围内执行所有处理。欧盟,可能会提供比谷歌分析更小的法律风险选择。
其他欧盟数据保护机构(例如奥地利的)也一直在发布网站,其中包含有关不合规使用 Google Analytics 的决定。
早在2020 年 8 月,欧盟隐私权倡导组织noyb 就针对 Google Analytics 和 Facebook Connect 提出了一系列投诉,随后进行了监管审查。因此,虽然 Google 的分析工具一直是 DPA 决策的首选,但问题不仅限于 Google,也不仅限于分析工具,而且可能会影响更多在美国为欧盟客户提供的服务。
谷歌被联系以回应 CNIL 的指导。
原文: https://techcrunch.com/2022/06/08/google-analytics-gdpr-breach-cnil/