近日,瑞典隐私保护局(简称IMY)在对四家企业进行数据传输调查后发布公告,称其使用谷歌推出的网站流量分析工具——谷歌分析导致用户个人数据传输到美国的行为违反了《通用数据保护条例》(GDPR)的相关规定,对其中两家企业处以罚款,并警告其他公司不得使用谷歌分析功能。谷歌回应称,谷歌分析功能无法识别或跟踪网上个人,其用途仅限于帮助网站了解和处理访问者情况。
IMY开展数据传输调查一事可追溯至2020年。彼时,欧盟法院宣布欧盟与美国之间的跨境数据传输协议“隐私盾”(Privacy Shield)无效,原因是欧盟法院认为该协议下美国情报机关仍有可能获取用户信息,欧盟公民缺乏在美国获得司法救济的有效途径,其个人数据无法得到足够的保护。
然而,据了解,在“隐私盾”被宣布无效以后,仍有许多公司使用谷歌分析等功能进行数据传输,谷歌等企业也依旧以“隐私盾”为数据传输的法律依据。为此,非营利组织None of Your Business(NOYB)针对此事向欧洲监管机构发起数十起投诉,指控这些公司违反法律将个人数据传输到美国。
根据GDPR,如果欧盟委员会认为某个国家或地区拥有足够高的个人数据保护水平,能与欧盟地区给予的保护水平相当,则允许个人数据被传输到第三方国家或地区。然而,在“隐私盾”相关裁决中,美国的隐私保护水平被欧盟认定为无法给予所传输数据足够的保护。
IMY公告显示,其发现谷歌对发送到美国进行处理的欧洲用户数据采取的保护措施无法达到欧盟的法律标准。据悉,比如,被调查的瑞典企业之一无法证明谷歌是在其传输数据到美国之前还是之后采取的一种数据匿名化措施,因此不排除谷歌通过谷歌分析功能获取了更多额外个人数据的嫌疑。
此外,被调查的四家企业都是基于标准合同条款,做出利用谷歌分析功能传输个人数据的决定,此举违反了GDPR,且企业采取的技术安全措施也不够。于是,IMY决定对其中两家企业分别处以1200万和30万瑞典克朗的行政罚款,并命令其他企业停止使用谷歌分析功能。
对此,谷歌方面回应称,谷歌分析功能可以帮助网站建设者了解和处理访问者的相关情况,无法识别或跟踪网络人群动态,同时坚称谷歌的各类功能都有很高的隐私设计标准。
负责此次数据传输调查的法律顾问桑德拉·阿维德森(Sandra Arvidsson)表示,IMY的这一决定不仅对四家企业造成影响,还为其他使用谷歌分析功能的组织群体敲响了警钟。值得一提的是,这也是欧盟相关隐私监管机构自2020年以来收到大量有关谷歌分析功能的隐私起诉之后首次作出的罚款处罚。
南都此前报道,2022年初,法国数据保护监管机构同样以本地网站使用谷歌分析功能违反了GDPR为由,要求网站在一个月内停止使用该功能或采用替代分析工具。更早之前,一家奥地利网站也因持续使用谷歌分析功能而被数据监管机构判定为违反了GDPR。
事实上,欧盟与美国之间新的数据传输协议也正在酝酿。据报道,去年12月,欧盟与美国拟制定《欧盟-美国数据隐私框架》,拟允许欧洲人的个人信息合法存储在美国境内,从而避免监管机构对上千家定期传输此类信息的企业采取行动。目前该协议尚待欧盟委员会批准。
