意大利數(shù)據(jù)監(jiān)管機(jī)構(gòu)對(duì)Google Analytics的使用提出新一輪警告

在歐洲使用Google Analytics的用戶又遭遇一次打擊，意大利數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)現(xiàn)，當(dāng)?shù)匾患揖W(wǎng)絡(luò)出版商使用流行的分析工具不符合歐盟數(shù)據(jù)保護(hù)規(guī)則，因?yàn)橛脩魯?shù)據(jù)被轉(zhuǎn)移到了美國(guó)--一個(gè)缺乏同等法律框架來保護(hù)信息不被訪問的國(guó)家。

Garante發(fā)現(xiàn)網(wǎng)絡(luò)出版商使用Google Analytics導(dǎo)致收集了許多類型的用戶數(shù)據(jù)，包括設(shè)備IP地址、瀏覽器信息、操作系統(tǒng)、屏幕分辨率、語言選擇，以及網(wǎng)站訪問的日期和時(shí)間，這些數(shù)據(jù)被轉(zhuǎn)移到美國(guó)，而沒有采取足夠的補(bǔ)充措施來提高保護(hù)水平，使其達(dá)到必要的歐盟法律標(biāo)準(zhǔn)。

它補(bǔ)充說，Google應(yīng)用的保護(hù)措施不足以解決風(fēng)險(xiǎn)，這與其他幾個(gè)歐盟DPA的結(jié)論一致，他們也發(fā)現(xiàn)在數(shù)據(jù)出口問題上，使用Google Analytics違反了集團(tuán)的數(shù)據(jù)保護(hù)規(guī)則。

意大利的DPA已經(jīng)給了有問題的出版商（一家名為Caffeina Media Srl的公司）90天的時(shí)間來解決違規(guī)問題。但這一決定具有更廣泛的意義，因?yàn)樗€警告其他正在使用Google Analytics的本地網(wǎng)站注意并檢查自己的合規(guī)性，它在一份新聞稿中寫道。

"該局提請(qǐng)意大利所有公共和私營(yíng)網(wǎng)站的管理人員注意，通過GA[Google Analytics的縮寫]向美國(guó)傳輸信息是非法的，同時(shí)考慮到該局收到的大量報(bào)告和問題，并請(qǐng)所有數(shù)據(jù)控制者核實(shí)其網(wǎng)站上使用的cookies和其他跟蹤工具的使用方法是否符合關(guān)于保護(hù)個(gè)人數(shù)據(jù)的立法，特別注意Google Analytics和其他類似服務(wù)。"

本月早些時(shí)候，法國(guó)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)發(fā)布了最新的指導(dǎo)意見，對(duì)Google Analytics的非法使用提出警告--在2月份發(fā)現(xiàn)一個(gè)本地網(wǎng)站在使用該軟件時(shí)存在類似的錯(cuò)誤。

CNIL的指導(dǎo)意見表明，位于歐盟的網(wǎng)站所有者只有非常狹窄的可能性合法使用Google的分析工具--要么通過應(yīng)用額外的加密，其中密鑰由數(shù)據(jù)出口商本身或在提供足夠保護(hù)水平的地區(qū)建立的其他實(shí)體獨(dú)家控制；要么通過使用代理服務(wù)器來避免用戶的終端和Google的服務(wù)器之間的直接接觸。

奧地利的DPA在1月份也支持了對(duì)一個(gè)網(wǎng)站使用Google Analytics的類似投訴。

而歐洲議會(huì)在今年年初發(fā)現(xiàn)自己在同樣的核心問題上陷入困境。所有這些對(duì)Google Analytics的打擊都與歐洲隱私運(yùn)動(dòng)組織noyb在2020年8月提出的一系列戰(zhàn)略投訴有關(guān)--該組織針對(duì)101個(gè)網(wǎng)站的區(qū)域運(yùn)營(yíng)商，確定其通過Google Analytics和/或Facebook連接集成向美國(guó)發(fā)送數(shù)據(jù)。

這些投訴是在2020年7月集團(tuán)最高法院作出里程碑式的裁決后進(jìn)行的--該裁決使歐盟和美國(guó)之間的數(shù)據(jù)傳輸協(xié)議（稱為"隱私保護(hù)"）無效，并明確指出，DPA有責(zé)任介入并暫停數(shù)據(jù)流向他們懷疑歐盟公民的信息處于風(fēng)險(xiǎn)之中的第三國(guó)。

所謂的"Schrems II"裁決是以noyb的創(chuàng)始人和長(zhǎng)期的歐洲隱私運(yùn)動(dòng)者M(jìn)ax Schrems命名的，他對(duì)Facebook的歐盟-美國(guó)數(shù)據(jù)轉(zhuǎn)移提出了投訴，引用了NSA告密者Edward Snowden披露的監(jiān)控行為，最終通過法律轉(zhuǎn)介，提交到歐盟法院。(Schrems之前的挑戰(zhàn)也導(dǎo)致之前的歐盟-美國(guó)數(shù)據(jù)傳輸安排在2015年被法院駁回）。

在最近的發(fā)展中，隱私保護(hù)的替代方案正在進(jìn)行中。3月，歐盟和美國(guó)宣布他們已經(jīng)就此達(dá)成了協(xié)議。

然而，計(jì)劃中的數(shù)據(jù)傳輸框架的法律細(xì)節(jié)仍需最后確定--擬議的機(jī)制由歐盟機(jī)構(gòu)審查和通過--然后才能投入使用。這意味著對(duì)歐盟客戶來說，使用基于美國(guó)的云服務(wù)仍然籠罩在法律風(fēng)險(xiǎn)之中。

該集團(tuán)的立法者建議，替代協(xié)議可能在今年年底前完成，但在此期間，Google Analytics的歐盟用戶沒有簡(jiǎn)單的法律補(bǔ)丁可以使用。

此外，美國(guó)監(jiān)控法和歐盟隱私法之間的差距在某些方面繼續(xù)擴(kuò)大--而且絕不能確定談判達(dá)成的替代協(xié)議將足夠強(qiáng)大，能夠經(jīng)受住不可避免的法律挑戰(zhàn)。

對(duì)這種權(quán)利和優(yōu)先事項(xiàng)的基本沖突進(jìn)行簡(jiǎn)單的法律修補(bǔ)，看起來是一個(gè)很高的標(biāo)準(zhǔn)，如果不對(duì)現(xiàn)有法律進(jìn)行實(shí)質(zhì)性的改革，這是不可能的。