奥地利 DPA 发现在欧盟境外使用 Google Analytics构成违反 GDPR 的行为

Posted 宛如清风

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了奥地利 DPA 发现在欧盟境外使用 Google Analytics构成违反 GDPR 的行为相关的知识,希望对你有一定的参考价值。

 

前言:Google Analytics(分析)是一种用于分析网站访问量以及用户最常参与的内容的流行工具,对于收集欧盟(EU)网络用户数据的外国组织来说,它可能是禁止的。根据Schrems II裁决设定的条款,奥地利数据保护机构(DPA)已确定其收集的数据足以识别个人身份,因此构成违反通用数据保护条例(GDPR)。

Google Analytics被认为是一个匿名工具,被奥地利DPA发现不足。Schrems II的裁决规定,欧盟居民的个人数据不能转移到国外,除非这些国家的数据隐私法被认为等同于GDPR提供的保护。

谷歌分析收集许多特定于个人的粒度数据点,例如,他们可能使用哪些搜索字词来访问网页,或者他们在访问时点击了哪一系列页面。但是,Google Analytics面板不应告诉网站管理员任何可识别这些用户的信息(除了非常一般的位置之外)。因此,人们普遍认为使用它不会构成违反GDPR的风险。

但是,奥地利 DPA 发现 Cookie 数据中的 IP 地址和标识符具有足够的个人性,足以构成违反 GDPR 的行为。IP地址可以匿名化,但这必须主动请求由谷歌分析用户。奥地利DPA表示,它正在检查的网站是一家位于奥地利的名为 netdoktor.at 的健康网站,虽然试图启用匿名化,但没有得到正确的配置。

Cookie也是一个问题,因为它们是谷歌分析用户在网站上的多个会话,识别单个用户的一种选择。他们无权访问 Google 存储的其他标识符,也无法使用此信息在其他网站或设备上跟踪用户,但从其网站收集的 Cookie 信息会传递给美国并由 Google 使用。

由于所有这些信息都传输到海外的Google,因此奥地利DPA认定违反了GDPR。虽然欧盟的个人网站无法通过使用Google Analytics提供的信息来识别个人用户,但他们传递给Google海外的信息构成了"拼图",可以由科技巨头组合在一起以识别某人。

展望未来,CMP,静态加密和其他数据隐私法的解决方法不会削减它。企业只有一种方法可以保证访问者的隐私并避免昂贵的罚款:了解在您的网站上执行的代码,不断扫描违规行为,并审查您的第三方的数据隐私实践。

谷歌并不是唯一一家处理这个问题的公司,许多公司已经尝试了法律解决方法(例如"静态加密"方案和假名化)。奥地利DPA检查了谷歌使用的方法,并表示这些方法不充分。所有措施都无效,因为总部位于美国的谷歌本身最终能够以纯文本形式合并和查看所有这些数据。美国一项特定的法律,即《外国情报监视法》(FISA)第702条,允许政府广泛访问科技巨头以这种方式存储的外国当事人的数据。然而,尽管谷歌最终被视为将数据置于风险之中,但不将其转移给他们的责任在于使用Google Analytics的个人网站。

Schrems II的裁决于2020年从欧盟最高法院生效,欧洲和美国仍在努力解决如何满足新的法律要求。海外数据传输仍在继续,但参与方通常必须敲定特殊类型的合同保证使用方法防止适用的数据提供给第三方(通常通过加密或匿名化)。这些安排也受到区域数据当局的审查。一些组织只是将数据处理转移到欧盟,因为缺乏更好的选择来避免重复违反GDPR。

这个问题唯一可靠的答案是美国通过一项相当于GDPR的数据保护法,这似乎在国会中断断续续地开始,但从未设法实现。对Google Analytics等工具的法律测试将继续进行,因为Schrems II决定背后的隐私组织仍然有很多起关于GDPR违规的投诉。

美国和外国隐私政策之间的法律冲突一直在持续。尽管我们在美国看到了更多的隐私问题,CPRA和2021年拟议的联邦立法等证明了这一点。安全和隐私之间的重叠意味着更多的商业模式需要考虑这一点,特别是那些从用户数据中获利的公司。这再次提醒我们,安全和隐私不等于合规性,收集个人信息的公司需要超越最低限度的要求。

奥地利DPA的裁决遵循欧洲数据保护监督员(EDPS)最近的类似裁决,该裁决确定欧洲议会使用Google Analytics违反了GDPR。(本文出自SCA安全通信联盟,转载请注明出处。)

以上是关于奥地利 DPA 发现在欧盟境外使用 Google Analytics构成违反 GDPR 的行为的主要内容,如果未能解决你的问题,请参考以下文章

奥地利 DPA 发现在欧盟境外使用 Google Analytics构成违反 GDPR 的行为

奥地利对苹果亚马逊等互联网巨头征收“科技税”

GDPR 和个人信息保护的小知识

谷歌欧盟收费策略出炉;PostgreSQL 11 发布

Google 和 Meta 正在接受欧盟和英国反垄断监管机构对”Jedi Blue”的调查

Android - 欧盟Cookie法