谷歌又遇巨额索赔：网站和第三方插件的合规警示

在起诉书的事实指控部分^[1]，原告指出当网站经营者使用Google Analytics这一工具时，谷歌会要求网站在其网页代码中嵌入Google Analytics的自定义代码。当用户访问网站时，用户的浏览器会向网站发送一个请求（HTTP GET），网站服务器使用计算机代码脚本响应该请求，以显示网站的内容。当用户的浏览器加载网站内容时，就会同时读取网页代码和Google Analytics的自定义代码。并且，谷歌将Google Analytics代码设计成当它运行时就会导致用户的浏览器就会向谷歌发送用户ID地址、URL地址、正在浏览网站的具体页面，以及其它用户设备和浏览器信息，以响应用户从网站获取信息的请求。而这一切是在用户完全不知情的情况下进行的。谷歌也没有要求网站事先向访问者披露谷歌正在收集他们的信息，谷歌也未告知它的用户哪些网站安装了Google Analytics。对于用户来说，其无法采取一个有效方式来阻止Google Analytics收集他/她的个人信息。

除了Google Analytics，Google Ad Manager也以同样的方式运行和收集网站访问者的个人信息，此外，Google Ad Manager的代码还告诉用户浏览器应该在网站内容中显示何种谷歌广告，而这些广告是代表谷歌的广告客户提供的。

但谷歌却在其隐私政策里，多次保证用户可以“控制”与谷歌共享的信息，并且可以匿名形式上网，与网站之间的通信不会被“窃听”。谷歌在隐私政策^[2]里明确表明“您也可以选择通过使用无痕模式的谷歌浏览器（Chrome）匿名浏览网页。在我们的服务中，您可以通过调整您的隐私设置来控制我们收集和如何使用您的个人信息。”

原告称，尽管谷歌在隐私政策里表示用户可以控制谷歌可以跟踪和收集的信息，但谷歌的各种跟踪工具，包括Google Analytics和Google Ad Manager，实际上是设计用来在用户访问网页时进行跟踪的，无论用户选择什么隐私设置。即使用户使用浏览器无痕模式浏览网页也是如此。

起诉状称，原告和集团诉讼成员在使用无痕模式的浏览器时对隐私有合理的期待，期待谷歌不会窃听、收集、记录、披露和以其它方式违法使用他们的个人通信信息（用户与网站之间的通信信息）。

原告认为谷歌在用户使用无痕模式浏览器浏览网页时跟踪和窃听用户通信信息是故意的，违反《联邦窃听法》。同时原告认为谷歌未经用户授权和同意在用户使用无痕模式浏览器浏览网页时跟踪和窃听用户网络通信的行为侵犯了用户隐私，违反《加州侵犯隐私法案》和加州宪法。

无独有偶，2019年德国德累斯顿地方法院也曾就Google Analytics作出一项判决^[3]。但与美国原告将矛头指向谷歌不同的是，德国这个案例中用户将使用Google Analytics的网站作为被告告上了法庭。

在汉堡数据保护和信息自由公署发布的《2019年数据保护行动报告》^[4]（以下简称为“报告”）中就如何使用Google Analytics和类似工具进行了说明。

首先，报告对德累斯顿法院案例进行了回应，指出即便对IP地址进行了匿名化也不能排除GDPR的适用。GDPR前言第30条指出，自然人可以通过他们的设备、应用程序、工具和互联网协议地址等提供的网络标识符、cookie标识符、以及其它标识符进行关联。这可能会留下痕迹，尤其是当与唯一标识符和其它服务器接收的信息相关联时，可用于创建自然人的个人资料并对其进行识别标识。据此报告指出，由于IP地址只是多个用户数据中的一个，单纯地通过缩短IP地址来实现匿名化并排除GDPR适用范围是不可能的。

其次，报告对网站运营者和谷歌之间属于委托处理关系、独立个人信息控制者还是共同个人信息控制者进行了分析说明。Google Analytics为网站运营者就用户访问行为进行数据分析，并要求网站运营者使用其推荐的标准设置，似乎网站运营者与谷歌之间为委托处理个人数据关系。但谷歌要求网站运营者与其签署的《控制方—控制方数据保护条款》^[5]却约定双方为独立的个人信息控制者，对各自独立的数据处理行为负责。报告对此进行了质疑，认为Google Analytics运行的技术过程即在用户访问页面时，网站在收集个人信息的同时也向谷歌传输个人数据，这个过程涉及的其实是同一个生活事实。

而且谷歌通过要求网站运营者使用推荐标准设置的方式与网站运营者（共同确定了Google Analytic的使用目的和方式）构成了GDPR第26条的“共同数据控制者”，即当两个或更多数据控制者共同确定个人信息处理的目的与方法时，它们为共同数据控制者。同时，GDPR第26条规定，共同数据控制者应通过合约方式确定各自在GDPR下的合规义务，特别是保障数据主体行使权利，以及根据GDPR第13条和第14条向数据提供与数据处理相关信息的义务。合约应充分反映共同数据控制者各自的职责和面对数据主体时共同数据控制者的关系，且共同数据控制者应告知数据主体该合约的实质内容。但不论前述合约安排的条款如何约定，数据主体都可以依据GDPR的有关规定向每一位数据控制者主张行使权利。

现行中国数据保护相关规定并未明确界定共同个人信息控制者的含义，但GB/T 35273—2020《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”）明确，如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如，网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口）， 且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。

《个人信息安全规范》要求，当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；如个人信息控制者（网站）未向个人信息主体明确告知第三方（Google Analytics）身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者（网站）应承担因第三方引起的个人信息安全责任。

《信息安全技术 个人信息告知同意指南（征求意见稿）》附录B “SDK收集使用个人信息场景下的告知同意”，虽然主要列举的是APP直接集成SDK情况下收集使用个人信息的告知同意情形，且尚处于征求意见状态，但对网站运营者在部署第三方插件时应如何获取用户的授权同意也具有重要的参考意义。

无论是基于美国相关法律规定还是GDPR相关规定抑或者国内相关法律法规、标准的规定，谷歌在与部署了Google Analytics等插件的网站运营者的合作过程中，都属于个人信息（/数据）控制者角色，应按照其所适用的相关法律法规、标准及其与用户的约定收集使用个人信息并保障个人信息主体权利的有效实施。而在欧盟GDPR及国内相关数据保护法律规定项下，部署了Google Analytics等插件的网站运营者与谷歌构成共同个人信息控制者，此时，网站运营者及谷歌不仅需要按照各方达成的合同约定各自或共同向个人信息主体告知个人信息收集使用的目的、范围，还应向个人信息主体告知另一方的身份以及各自在个人信息安全方面应分别承担的责任和义务等，并征得个人信息主体的同意，否则在欧美将面临高额民事索赔、罚款，在国内也将面临被点名通报以及被有关部门给予警告、责令改正、处以罚款等行政处罚风险（详见下文案例表）。

注释：

[1]起诉状原文：

https://www.bloomberglaw.com/public/desktop/document/BrownetalvGoogleLLCetalDocketNo520cv03664NDCalJun022020CourtDocke?1591132864.

[2]谷歌隐私政策：https://policies.google.com/privacy?hl=en-US#infochoices.

[3] LG Dresden, 11.01.2019 - 1a O 1582/18，https://www.datenschutz.eu/urteile/Rechtsverletzung-durch-Betrieb-von-Google-Analytics-ohne-anonymizeIP-Landgericht-Dresden-20190111/。

[4] Tätigkeitsbericht Datenschutz 2019, 

https://datenschutz-hamburg.de/assets/pdf/28._Taetigkeitsbericht_Datenschutz_2019_HmbBfDI.pdf.

[5] 《控制方—控制方数据保护条款》https://support.google.com/analytics/answer/9012600。