数据执法|法国数据监管机关：对谷歌分析工具的整改不会让它变得合法

编译|

北京师范大学 孙广泽

法国数据监管机关：对谷歌分析工具的整改不会让它变得合法

法国数据监管机关CNIL在一份周二（6月7日）发布于其网站上的问答中表示，尽管谷歌提供了保证以及网站发布者在使用谷歌的网络分析工具时可以采取的预防措施，但使用该工具并不符合欧盟数据保护法的通用数据保护条例 (GDPR)。

今年2月，在认定通过谷歌分析将数据传输到美国的行为非法之后，CNIL向一系列公司发出了正式通知，并发表了这项声明。

CNIL在2月的这项决定是在奥地利相关机构做出相似决定后一个月给出的。起因是2020年7月，欧盟法院宣布所谓的“隐私护盾”（欧盟与美国之间关于数据处理的协议）无效。

根据卢森堡法官的说法，该协议违反了欧盟的高数据保护标准，因为美国情报机构有可能访问跨大西洋传输的个人数据。

虽然宣布了更换协议的决定，但这项工作仍有很长的路要走。

当地时间6月7到9日，在里尔举办的国际网络安全论坛上，欧盟委员会副主席玛格丽特·维斯塔格证实，谈判已经“敲定”。

她补充说，在技术方面“还有很多工作要做”，并拒绝透露今年是否可以实现。

一个明确的“不”

与此同时，法国的数据保护机构一直热衷于摆明自身态度。

在回答“是否有可能以不将个人数据传输到欧盟以外的方式配置谷歌分析工具”的问题时，CNIL 明确回答“否”。谷歌向法国机构证实，谷歌分析收集的所有数据确实都托管在美国本土。

CNIL还表示，“即使在没有转移的情况下，使用非欧洲区域公司提供的服务也可能在数据访问方面造成困难。”

谷歌提出了匿名和加密等额外保证，但 CNIL 认为没有一个是令人满意。

在匿名化方面，CNIL 承认 Google 提供了 IP 地址匿名化功能。尽管如此，它并不适用于所有的数据传输，而且谷歌无法证明这种匿名化是在转移到美国之前完成的。

根据 CNIL 的说法，使用唯一标识符也不够，因为即使使用了这项技术，仍可以通过它们与其他数据的关联来识别身份。

众所周知，谷歌分析并不是谷歌向欧洲公司提供的唯一服务，CNIL指出，“这些在法国广泛使用的网络服务可能会交叉检查 IP 地址，从而追踪大量网站上的大多数互联网用户的浏览历史。”

CNIL还谈到了谷歌提出的加密解决方案，称它们是无效的，因为加密密钥由谷歌提供并保存，如果它愿意，它可以访问个人数据。

对于希望继续使用该工具的公司，则需要相关个人的明确同意。

不是长久之计

然而，CNIL 表示，这不是“长期的解决方案”，因为上文提到的这种豁免仅适用于非系统性数据传输。

CNIL还表示，也可以“考虑”使用代理来避免互联网用户的设备与谷歌服务器之间的任何直接接触。

但它也警告说，“这些描述的措施的实施可能既昂贵又复杂，并不总是能满足专业人士的运营需求。”