瑞典要求4家企業(yè)停止使用Google Analytics

瑞典隱私保護(hù)局（Swedish Authority for Privacy Protection，IMY）周一（7/3）宣布，已要求境內(nèi)4家企業(yè)停止使用Google的網(wǎng)站流量分析工具Google Analytics，同時(shí)針對(duì)其中的兩家企業(yè)Tele2及CDON，分別祭出1,200萬(wàn)瑞典克朗及30萬(wàn)瑞典克朗的罰款，原因是這些企業(yè)通過(guò)Google Analytics把瑞典人們的數(shù)據(jù)傳輸至美國(guó)，違反了歐盟隱私法GDPR。

Google Analytics是Google在2005年推出的工具，為Google營(yíng)銷平臺(tái)（Google Marketing Platform）的其中一項(xiàng)功能，可用來(lái)關(guān)注網(wǎng)站上的各式活動(dòng)，例如停留時(shí)間、網(wǎng)頁(yè)瀏覽數(shù)量、用戶跳出率（Bounce rate），以及流量來(lái)源等。

IMY的審核行動(dòng)源自于非營(yíng)利的歐洲數(shù)字權(quán)利中心NOYB（None of Your Business）的投訴，因?yàn)闅W盟法院已于2020年廢除了歐盟與美國(guó)之間的《隱私盾》（Privacy Shield）數(shù)據(jù)傳輸保護(hù)協(xié)議，NOYB指控CDON、Coop、Dagens Industri與Tele2等4家瑞典企業(yè)違反該裁決，將個(gè)人數(shù)據(jù)發(fā)送至美國(guó)。

IMY指出，根據(jù)歐盟隱私法GDPR的規(guī)定，個(gè)人數(shù)據(jù)得以傳輸?shù)降谌絿?guó)家的前提是，對(duì)方與歐盟擁有一致的個(gè)人數(shù)據(jù)保護(hù)法令，但歐盟法院的上述裁決已排除了美國(guó)。

而IMY的審核也發(fā)現(xiàn)，借由Google Analytics發(fā)送到美國(guó)的數(shù)據(jù)為個(gè)人數(shù)據(jù)，且這些瑞典企業(yè)所采取的技術(shù)安全措施皆不足以達(dá)到歐盟的標(biāo)準(zhǔn)，其中，Tele2與CDON更未采取與另兩家企業(yè)同樣的廣泛保護(hù)，因而處以行政罰款。

目前Tele2已主動(dòng)停用Google Analytics，IMY也要求其它3家企業(yè)不再使用該工具。負(fù)責(zé)執(zhí)行該審核行動(dòng)的第三方顧問(wèn)Sandra Arvidsson則說(shuō)，該決定可能會(huì)影響其它采用Google Analytics的瑞典企業(yè)。

瑞典并不是第一個(gè)認(rèn)為Google Analytics違反GDPR的國(guó)家，先前奧地利也曾出現(xiàn)類似的判例。