欧洲数据监管机构：使用Google Analytics向美国传输数据违反GDPR

欢迎点击上方 TMT法律论坛 关注我们

欧洲数据监管机构：使用Google Analytics向美国传输数据违反GDPR

奥地利数据保护局（DSB）、法国国家信息自由委员会（CNIL）分别于当地时间1月12日、2月10日发布通知，表示使用Google Analytics将收集的数据转移到美国违反了GDPR。

NOYB投诉

欧洲法院于2020年7月判定用于跨大西洋个人数据传输的《隐私盾》协定（Privacy Shield）无效，因美国情报部门可能会访问这些传输到美国的个人数据。然而由于欧盟与美国未能达成新的数据传输协议，欧洲法院的裁决未对美欧之间的数据传输方式产生明显影响。

Google Analytics是Google提供的一项云服务，可以集成在网站中以统计分析用户的访问量。Google Analytics为每个访问者分配一个唯一的标识符，此标识符和相关数据将传输到位于美国的Google。

2020年8月，奥地利律师、隐私活动家Max Schrems创建了非盈利组织NOYB（Non Of Your Business），成员包括欧洲内外在隐私保护、技术和消费者权利方面的专家和机构。

NOYB在27个欧盟成员国和其他三个欧洲经济区（EEA）国家，对101名数据控制者向美国传输个人数据提出了101项投诉。

DSB裁定

当地时间1月12日，DSB针对NOYB所提出的一项投诉作出裁定，这也是NOYB所提出的101项投诉中的第一项决定。

在本起投诉中，数据主体访问了一家奥地利网站，该网站使用了Google Analytics，该网站的隐私政策显示其与Google签订了标准合同条款，作为使用Google Analytics传输数据的基础。数据主体认为，该网站将数据传输给Google，而根据美国CLOUD法案（ Clarifying Lawful Overseas Use of Data Act），Google受到美国情报部门的监控，且美国情报部门可以要求Google提供所持有的个人数据。

DSB作出裁定，支持了数据主体的主张，认为奥地利网站与Google之间通过签订SCC并使用Google Analytics传输个人数据，无法为数据主体提供足够的保护。由于该奥地利网站已与一家德国公司合并，DSB将向该公司新总部所在地监管机构提出禁止数据传输的禁令。

但DSB驳回了对Google的投诉，DSB认为GDPR第五章“向第三国或国际组织传输数据”（Transfers of personal data to third countries or international organisations）仅对数据提供者施加了法律责任，而未对数据接收者施加法律责任。此外，DSB亦未对该网站与Google处以罚款。

DSB表示还将进一步调查Google违反GDPR的情况，并发布单独决定。

CNIL裁定

当地时间2月10日，CNIL针对NOYB所提出的投诉作出裁定。

CNIL同样认定，向美国传输数据的行为目前并未受到充分监管，尽管Google表示其采取额外措施以规范使用Google Analytics的数据传输，但依然无法排除美国情报部门对这些数据的可访问性。

CNIL要求网站在一个月内纠正数据传输行为，如停止使用Google Analytics或使用不涉及向欧盟境外传输数据的工具。

但CNIL并未完全禁止对Google Analytics的使用，网站可以将其应用于生成匿名统计数据，且在没有非法传输的情况下，还可以取得豁免同意。目前，CNIL已启动了一项评估计划，以确定哪些解决方案免于同意。

解决方案

Google并非唯一受到跨大西洋数据传输机制影响的企业。2月2日，Meta在其年度报告中指出，受制于缺乏有效的跨大西洋数据传输机制，Facebook与Instagram可能退出欧洲。

NOYB在其网站新闻稿中表示，预计其所提交投诉的其他监管机构也将作出类似决定。长远来看，这一问题主要有两种解决方案：

• 美国调整对外国人的保护；

• 美国企业在美国境外托管外国数据。
  

Max Schrems表示，他个人更倾向于美国为外国人提供更好的保护，“但这取决于美国立法者——而不是欧洲的任何人。”

本期编辑：陆杰 邱腾岳