法国隐私监察机构最新发现谷歌分析违反GDPR

法国数据保护监督机构CNIL，今天表示，一家未具名的本地网站使用谷歌分析不符合欧盟的《一般数据保护条例》（GDPR）——违反了第44条，该条涵盖了将欧盟以外的个人数据传输到所谓的第三国的行为，这些国家被认为没有实质上同等的隐私保护。

美国未能通过这项关键的等效性测试，是因为美国有全面的监控法，这些法律不向非美国公民提供任何途径，让他们知道自己的数据是否被获取、如何使用，或者为任何滥用寻求补救。

而欧盟的GDPR要求数据保护与公民信息一起作为合法出口的一项规定。

法国国家情报局（CNIL）一直在调查欧洲隐私倡导组织noyb于2020年8月提出的101项投诉中的一项——此前欧盟最高法院宣布欧盟-美国数据传输隐私保护协议无效。

从那时起（事实上，很久以前），跨大西洋个人数据传输的合法性一直笼罩在不确定性之中。

尽管欧盟监管机构花了一些时间对非法数据传输采取行动——尽管欧洲数据保护委员会在2020年7月欧盟法院裁决（又名“Schrems II”）后立即警告称没有宽限期——但现在终于开始做出决定。包括上个月由欧洲数据保护监管机构发布的另一份报告，也涉及谷歌分析。

在法国，CNIL已命令noyb投诉的目标网站遵守GDPR，并“如有必要，在当前条件下停止使用该服务”，给其一个月的期限来遵守。

与奥地利一样，CNIL对谷歌声称的补充措施的评估（它认为这确保了通过谷歌分析向美国提供的欧盟公民数据得到充分保护）发现这些措施不充分。

欧洲DPA巨头之一现在也对#GoogelAnalytics和我们的@NOYBeu投诉采取了立场。。https://t.co/tx01ZjVFY9

CNIL在宣布这一决定的新闻稿中写道：“尽管谷歌已采取额外措施，在谷歌分析功能的背景下监管数据传输，但这些措施不足以排除美国情报机构获取这些数据的可能性。”。

“因此，使用该服务并将其数据导出的法国网站用户存在风险。”

CNIL确实为继续使用谷歌分析打开了大门——但只有进行实质性更改，才能确保只传输“匿名统计数据”。（上个月，奥地利反对谷歌分析的决定对这种情况下的个人数据构成进行了广泛的解释，发现一个IP地址可以足够，因为它可以与谷歌持有的其他数据结合起来识别网站用户。）

法国监管机构还非常强调，在“当前条件”下，谷歌分析的使用是不符合规定的——因此可能需要停止使用，以便相关网站遵守GDPR。

CNIL还建议使用一种不涉及欧盟境外转移的替代分析工具来终止违约行为。

此外，它还表示，它已经启动了一个评估项目，以确定哪些网站的受众测量和分析服务可以免于获得用户同意（即，因为它们只生成匿名统计数据，可以根据GDPR合法导出）。这意味着CNIL可能会在未来发布指导意见，推荐符合GDPR的谷歌分析替代方案。

关于这一投诉的决定对目前使用谷歌分析（Google Analytics）的任何法国网站——或者实际上，任何其他在没有充分补充措施的情况下将个人数据传输到美国的工具——至少在短期内都有明显的影响。

首先，CNIL的决定指出，它已经向使用谷歌分析的网站运营商发出了“其他”合规命令（同样没有提及任何网站）。

然而，考虑到欧盟监管机构就这101项战略投诉开展的联合工作，其影响可能会波及整个欧盟。

CNIL还警告称，其调查——以及欧盟其他监管机构正在进行的平行调查——延伸到“导致欧洲互联网用户数据传输到美国的网站使用的其他工具”，并补充说：“可能在不久的将来采取这方面的纠正措施。”

我们已经询问了CNIL正在研究哪些其他工具，并将以任何回应更新本报告。

更新：监管机构告诉我们，法国网站经理使用Facebook Connect“也受到了CNIL的投诉，目前正在对其进行调查”。

谷歌也被联系，要求就CNIL的决定及其计划如何回应发表评论，但在撰写本文时，谷歌尚未回应。

noyb的创始人兼名誉主席马克斯·施雷姆斯在一份声明中评论了法国监管机构被打倒的消息，赛义德说：“有趣的是，不同的欧洲数据保护机构都得出了相同的结论：使用谷歌分析是非法的。有一个欧洲工作组，我们假设这一行动是协调的，其他机构也会做出类似的决定。”

可能改变这种情况的一个因素是欧盟和美国之间关于数据传输的新协议。

欧盟委员会和美国同行之间的谈判正在进行中，试图填补数据传输缺口，就像2015年欧盟击落安全港（又称Schrems I）后发生的那样，这意味着它很快被隐私屏蔽所取代，直到该屏蔽也很快失效。

这种导致（更快）罢工的投诉模式使得“快速解决”变得不可能——即使现在针对谷歌分析等主流工具的执法行动肯定会将注意力集中在布鲁塞尔和华盛顿，从而增加政治和经济紧迫性，以找到解决这一问题的方法。

欧盟委员会曾表示，它渴望与美国达成替代数据传输协议。然而，它也一再警告，任何此类协议都必须能够应对未来的法律挑战，这意味着它必须实质性地解决欧盟的担忧。如果不对美国的监视做法进行广泛改革，这看起来很困难。

不过，最近几周，有报道表明，欧盟和美国正在就一项新的数据传输安排达成协议——据Politico报道，最早可能在本月达成协议。Politico还表示，双方可能会在即将举行的贸易和技术理事会会议上，在5月份公布一项新协议。

不过，关于美国和欧盟将如何在数据传输（il）合法性圈中取得平衡的细节尚不多见。

根据Politico的说法，正在讨论的一个补救机制将允许欧盟公民直接（或通过其国家政府）向独立司法机构提交投诉，如果他们认为美国国家安全机构非法处理了他们的个人信息。

但这仍然留下很多问题。考虑到美国没有收到监控拦截通知，欧盟公民一开始就知道如何投诉。

美国还没有一部类似于欧盟GDPR的联邦隐私法，这意味着美国公民的信息缺乏全面的保护——这说明两个司法管辖区在这个问题上仍然存在很大的分歧。

尽管美国的一些州——比如加利福尼亚州——近年来已经自行处理了相关事宜，通过了法律，为居民提供了一些包装其信息的合法权利，但对美国公民的隐私保护充其量只是一个拼凑。有鉴于此，拜登政府可能很难为非美国公民提供更大的权利来抱怨美国的监视，而不是该国向本国公民提供的监视。

就在本周，Facebook/Meta Feel发布了一篇博文，拒绝了关于其财务申报的报告，该报告称，由于数据传输的不确定性，其披露相当于威胁将其服务撤出欧洲。

“我们希望看到欧盟用户的基本权利得到保护，我们希望互联网继续按照预期运行：没有摩擦，遵守适用法律——但不受国界限制，”这家科技巨头写道，并敦促在新政上取得进展。

不过，考虑到Meta的业务受到一项长期存在的数据传输投诉的影响，Meta确实有其迫切的理由要求进行新的“修复”——而其欧盟数据监管机构爱尔兰数据保护委员会（Irish data Protection Commission）承诺迅速解决该投诉已经一年多了。

相比之下，欧盟的平台有理由感到高兴，这些平台可以本地化并合法地防火墙用户数据，这些数据在欧盟受到GDPR的保护。

也就是说：上个月——在奥地利的裁决之后——一家总部位于波兰的谷歌分析竞争对手Piwik Pro告诉我们，Schrems II是联系它寻求谷歌分析替代方案的组织提出的主要担忧之一。

“就在Noyb的101投诉列表公布两周后，我们作为客户收购了其中列出的主要银行之一，”首席执行官Maciej Zawadziński说。“隐私和合规领域的所有发展直接影响到我们对产品和服务的兴趣。Schrems II的裁决去年对我们来说意义重大，就像奥地利DPA的裁决现在相当重大一样。

“我们预计，到2022年，完全消除离岸数据传输的本地欧盟数据存储将成为一个重要卖点。”

Zawadziński补充说，该公司为此开设了一个位于欧盟的数据中心，用于托管和处理客户数据，并指出：“该数据中心由一家欧盟公司管理，我们和我们的任何供应商都不受[美国]云法案的约束。”

施雷姆斯还预测，除非或直到美国改革其隐私方法，否则数字服务和欧盟专用产品供应将出现分裂。他在一份声明中补充说：“从长远来看，我们要么在美国需要适当的保护，要么最终为美国和欧盟提供单独的产品。我个人更希望在美国得到更好的保护，但这取决于美国立法者，而不是欧洲的任何人。”。