谷歌分析在欧盟被宣布为非法
Google Analytics(https://analytics.google.com/),中文名称叫做谷歌分析,这是Google在2005年11月发布的一款网站分析工具。
Google Analytics并不是Google自己原创开发的,在2005年的时候,Google收购了一家叫做Urchin Software Corporation的软件公司(1999年改名,其前身是成立于1995年的Quantified Systems),Urchin是该公司开发的网站分析工具,而这款产品正是Google Analytics的前身。Urchin Software Corporation在2005年被Google收购之后,Urchin 就变成了 “Urchin from Google”,最后Google将其改名为Google Analytics。
但最近它在欧洲被认为是不可用的。
据报道,近日成功起诉 Facebook 侵犯欧洲公民隐私权的律师 Max Schrems 再次取得胜利,这次是针对谷歌:在一项具有里程碑意义的法院裁决中,奥地利数据保护机构裁定在欧洲网站上使用谷歌分析是非法的。
谷歌分析在欧洲定为非法
当2020 年隐私盾立法无效时,这对在欧洲运营的美国互联网服务产生了深远的影响:它们不再被允许将欧洲公民的数据传输到美国,因为这会使欧洲公民的数据容易受到美国的影响和监控 - 这明显违反欧洲 GDPR。
然而,硅谷科技行业在很大程度上忽视了这一裁决。NOYB说:
“虽然这(=Privacy Shield 失效)给科技行业带来了冲击,但美国供应商和欧盟数据传输商在很大程度上忽略了这个案子。就像微软、Facebook 或亚马逊一样,谷歌依赖于所谓的“标准合同条款”继续数据传输并安抚其欧洲商业伙伴。”
现在,奥地利数据保护局在宣布隐私保护无效时与欧洲法院产生了同样的共鸣:它已决定使用谷歌分析违反了通用数据保护条例 (GDPR)。
谷歌“受到美国情报机构的监视,并可能被命令向他们披露欧洲公民的数据”。因此,欧洲公民的数据不应跨大西洋传输。
主要的原因
2020 年 8 月 14 日,一名谷歌用户访问了一个关于健康问题的奥地利网站。该网站使用谷歌分析,有关用户数据被传输给谷歌。根据这些数据,谷歌能够推断出他或她是谁。
2020年8月18日,谷歌用户在数据保护组织NOYB的帮助下向奥地利数据保护机构投诉。
现在,奥地利法院正式宣布这种数据传输非法。
目前的问题是,由于美国云法案,美国政府当局能够要求谷歌、Facebook 和其他美国供应商提供个人数据,即使它们在美境外运营,例如在欧洲。
因此,Google 无法根据 GDPR 第 44 条提供足够水平的隐私保护——这明显违反了欧洲数据保护保证。网站运营商援引的标准合同条款无济于事,正如欧洲法院 (ECJ) 于 2020 年在其关于“隐私护盾”(Schrems II) 的裁决中所承认的那样。
对谷歌分析的使用进行法律评估的决定性因素不是美国情报机构是否真的获得了数据,或者谷歌是否真的识别了用户。这在理论上是可能的,这一事实已经违反了 GDPR。
但是,谷歌用户可以在他们的谷歌账户中进行设置,以阻止谷歌详细评估他们对第三方网站的使用。但是,此功能的存在证明 Google 能够将使用数据与个人合并。
NOYB的最大成功
此裁决是数据保护组织 NOYB 迄今为止最大的成功之一。因此,NOYB 和 Max Schrems 对奥地利法院的裁决感到非常高兴:
“这是一个非常合理的决定。底线是:公司不能再在欧洲使用美国的云服务。距离欧洲法院第二次确认,这一点已经过去了 1.5 年,所以这不仅仅是时间法律也得到执行。”
这一裁决是施雷姆斯的非营利NOYB 在欧盟大多数成员国提起的 101 起诉讼中的第一个。现在预计德国、荷兰和其他欧盟成员国也会做出类似的决定。
移除谷歌分析?
但现在,欧洲的许多公司必须扪心自问,是否应该将 Google Analytics 从其网站中删除,否则可能会因违反 GDPR 而受到处罚。
从长远来看,将有两种选择:要么美国改变其监控法律以加强其科技业务,要么美国互联网提供商将不得不在欧洲建立IDC以托管欧洲用户的数据。
荷兰个人数据管理局 (AP) - 关于使用谷歌分析的两项决定仍在等待中 - 现在已经更新了自己关于“谷歌分析的隐私友好设置”的指南。
随着法院信息的更新,美联社发出警告:
“请注意:可能很快就不再允许使用 Google Analytics。”
荷兰个人数据管理局计划在 2022 年初对未决的 Google Analytics 案件做出决定。然后,美联社将就在欧洲使用 Google Analytics 是否非法发表明确声明。
结论
虽然硅谷的科技公司们一定会找到一种方法,仍然在欧洲提供他们的服务——一种或多种方式,一些隐私护盾失效后采取的方法。欧洲企业已经发出几个危险信号:
作为一家欧洲公司,不再可能将敏感的用户数据信任给像谷歌这样故意无视欧洲隐私立法并冒着对其欧洲商业客户巨额罚款的公司。
相反——随着隐私对世界各地的消费者们越来越重要——任何企业选择专注于保护用户隐私的服务都是合乎逻辑的一步。
作者:万能的大雄
相关阅读:
百度回应 “Pandownload” 作者被捕:严厉打击侵犯用户数据隐私的犯罪行为
“只要3分钟,我就能扒光你的隐私!” | 互联网时代,14亿中国人都在裸奔