21世纪经济报道记者郭美婷广州报道
2月10日,法国国家信息与自由委员会(CNIL)表示,一家未具名的本地网站使用Google Analytics提供的服务,违反了欧盟的《通用数据保护条例》(GDPR)。
据悉,CNIL的决定缘起于欧洲数字权利中心(NOYB)的几起投诉。Google Analytics由Alphabet的谷歌开发,是全球使用最广泛的网络分析服务,可通过用户唯一的标识符衡量网站的访问次数。而该唯一标识符(已构成个人数据)和其他相关数据在被谷歌转移到美国。根据GDPR第44条规定,禁止将个人数据从欧盟内部传输到没有同等隐私保护措施的“第三方国家”,美国就在未能达到门槛的国家之列。
“尽管谷歌已针对Google Analytics采取额外措施来监管数据传输,但这些措施仍不足以排除美国情报机构获取这些数据的可能性。”CNIL在声明中写到,使用Google Analytics服务并将其数据导出法国网站可能会让用户蒙受风险。
因此,CNIL要求上述网站在一个月期限内改进,以遵守欧盟法规,并且向其他网站运营商也发出了类似命令。就网站的受众监测和分析服务而言,CNIL建议仅将Google Analytics这类工具用于生成匿名统计数据,如果数据控制者确保不存在非法传输,将被获准享有豁免权。为此,CNIL已启动了一项针对这类工具的评估方案。
谷歌拒绝就CNIL的决定置评。该公司此前曾表示,Google Analytics不会追踪互联网上的人,使用该工具的企业可以控制他们收集的数据。
事实上,受到欧盟最高法院裁定,美国针对数据传输的《隐私盾》(Privacy Shield)协议无效的影响,包括CNIL在内的欧洲监管机构在过去两年一直在调查与上述案例类似的投诉。仅在上个月,同样是来自NOYB的投诉,使得德国一家使用Google Analytics的出版商网站被奥地利政府判定违反了GDPR。
《隐私盾》的取消,让跨大西洋个人数据传输的合法性一直笼罩在不确定性之中,包括谷歌和Meta在内的几家大公司都在呼吁尽快达成一项新的跨大西洋数据传输协议。
“从长远来看,要么美国提供更好的数据保护措施,要么单独为美国和欧盟提供产品。”NOYB创始人Max Schrems表示,“我个人更希望是前者,但这取决于美国立法者。”
(作者:郭美婷编辑:李润泽子)