意大利數(shù)據(jù)監(jiān)管機構(gòu)對Google Analytics的使用提出新一輪警告

在歐洲使用Google Analytics的用戶又遭遇一次打擊，意大利數(shù)據(jù)保護機構(gòu)發(fā)現(xiàn)，當?shù)匾患揖W(wǎng)絡(luò)出版商使用流行的分析工具不符合歐盟數(shù)據(jù)保護規(guī)則，因為用戶數(shù)據(jù)被轉(zhuǎn)移到了美國--一個缺乏同等法律框架來保護信息不被訪問的國家。

Garante發(fā)現(xiàn)網(wǎng)絡(luò)出版商使用Google Analytics導(dǎo)致收集了許多類型的用戶數(shù)據(jù)，包括設(shè)備IP地址、瀏覽器信息、操作系統(tǒng)、屏幕分辨率、語言選擇，以及網(wǎng)站訪問的日期和時間，這些數(shù)據(jù)被轉(zhuǎn)移到美國，而沒有采取足夠的補充措施來提高保護水平，使其達到必要的歐盟法律標準。

它補充說，Google應(yīng)用的保護措施不足以解決風險，這與其他幾個歐盟DPA的結(jié)論一致，他們也發(fā)現(xiàn)在數(shù)據(jù)出口問題上，使用Google Analytics違反了集團的數(shù)據(jù)保護規(guī)則。

意大利的DPA已經(jīng)給了有問題的出版商（一家名為Caffeina Media Srl的公司）90天的時間來解決違規(guī)問題。但這一決定具有更廣泛的意義，因為它還警告其他正在使用Google Analytics的本地網(wǎng)站注意并檢查自己的合規(guī)性，它在一份新聞稿中寫道。

"該局提請意大利所有公共和私營網(wǎng)站的管理人員注意，通過GA[Google Analytics的縮寫]向美國傳輸信息是非法的，同時考慮到該局收到的大量報告和問題，并請所有數(shù)據(jù)控制者核實其網(wǎng)站上使用的cookies和其他跟蹤工具的使用方法是否符合關(guān)于保護個人數(shù)據(jù)的立法，特別注意Google Analytics和其他類似服務(wù)。"

本月早些時候，法國的數(shù)據(jù)保護監(jiān)管機構(gòu)發(fā)布了最新的指導(dǎo)意見，對Google Analytics的非法使用提出警告--在2月份發(fā)現(xiàn)一個本地網(wǎng)站在使用該軟件時存在類似的錯誤。

CNIL的指導(dǎo)意見表明，位于歐盟的網(wǎng)站所有者只有非常狹窄的可能性合法使用Google的分析工具--要么通過應(yīng)用額外的加密，其中密鑰由數(shù)據(jù)出口商本身或在提供足夠保護水平的地區(qū)建立的其他實體獨家控制；要么通過使用代理服務(wù)器來避免用戶的終端和Google的服務(wù)器之間的直接接觸。

奧地利的DPA在1月份也支持了對一個網(wǎng)站使用Google Analytics的類似投訴。

而歐洲議會在今年年初發(fā)現(xiàn)自己在同樣的核心問題上陷入困境。所有這些對Google Analytics的打擊都與歐洲隱私運動組織noyb在2020年8月提出的一系列戰(zhàn)略投訴有關(guān)--該組織針對101個網(wǎng)站的區(qū)域運營商，確定其通過Google Analytics和/或Facebook連接集成向美國發(fā)送數(shù)據(jù)。

這些投訴是在2020年7月集團最高法院作出里程碑式的裁決后進行的--該裁決使歐盟和美國之間的數(shù)據(jù)傳輸協(xié)議（稱為"隱私保護"）無效，并明確指出，DPA有責任介入并暫停數(shù)據(jù)流向他們懷疑歐盟公民的信息處于風險之中的第三國。

所謂的"Schrems II"裁決是以noyb的創(chuàng)始人和長期的歐洲隱私運動者Max Schrems命名的，他對Facebook的歐盟-美國數(shù)據(jù)轉(zhuǎn)移提出了投訴，引用了NSA告密者Edward Snowden披露的監(jiān)控行為，最終通過法律轉(zhuǎn)介，提交到歐盟法院。(Schrems之前的挑戰(zhàn)也導(dǎo)致之前的歐盟-美國數(shù)據(jù)傳輸安排在2015年被法院駁回）。

在最近的發(fā)展中，隱私保護的替代方案正在進行中。3月，歐盟和美國宣布他們已經(jīng)就此達成了協(xié)議。

然而，計劃中的數(shù)據(jù)傳輸框架的法律細節(jié)仍需最后確定--擬議的機制由歐盟機構(gòu)審查和通過--然后才能投入使用。這意味著對歐盟客戶來說，使用基于美國的云服務(wù)仍然籠罩在法律風險之中。

該集團的立法者建議，替代協(xié)議可能在今年年底前完成，但在此期間，Google Analytics的歐盟用戶沒有簡單的法律補丁可以使用。

此外，美國監(jiān)控法和歐盟隱私法之間的差距在某些方面繼續(xù)擴大--而且絕不能確定談判達成的替代協(xié)議將足夠強大，能夠經(jīng)受住不可避免的法律挑戰(zhàn)。

對這種權(quán)利和優(yōu)先事項的基本沖突進行簡單的法律修補，看起來是一個很高的標準，如果不對現(xiàn)有法律進行實質(zhì)性的改革，這是不可能的。