近日,法國資料保護監管機構(French Data Protection Authority,簡稱CNIL)在對某本地網站進行資料傳輸調查後發表聲明,稱其使用谷歌分析(谷歌推出的網站流量分析工具)功能的行為違反了《通用資料保護條例》(GDPR)的相關規定,要求網站在一個月内停止使用該功能或采用替代分析工具。目前谷歌拒絕就CNIL的聲明發表評論。
CNIL對多個網站開展資料傳輸調查一事可追溯至2020年。2020年7月,歐盟法院宣布歐盟與美國之間的跨境資料傳輸協定“隐私盾”(Privacy Shield)無效,原因是歐盟法院認為該協定下美國情報機關仍有可能擷取使用者資訊,歐盟公民缺乏在美國獲得司法救濟的有效途徑,其個人資料無法得到足夠的保護。
然而,據報道,在“隐私盾”被宣布無效以後一個月,仍有許多公司使用谷歌分析等功能進行資料傳輸,谷歌等企業也依舊以“隐私盾”為資料傳輸的法律依據。
為此,在2020年8月,由奧地利律師、隐私活動家馬克斯·施雷姆斯(Max Schrems)創立的非盈利組織NOYB(Non Of Your Business)針對整個歐盟範圍内繼續使用谷歌等企業開發的網絡分析技術的網站向CNIL共發起101起投訴,指控該101名網站管理者涉嫌将歐盟公民的個人資料轉移到美國。
CNIL于近日釋出的聲明顯示,其在收到NOYB協會的投訴後便開展調查,并與多方合作對利用該功能收集資料并傳輸到美國的行為以及相關個人可能面臨的風險進行了分析。
CNIL認定,有這類行為的網站違反了GDPR的相關規定,要求網站管理者遵守GDPR,在一個月内進行整改,停止使用谷歌分析功能或采用替代技術。此外,該機構也已向其他網站營運商釋出類似通知,其後對網站資料傳輸的調查還将擴充至其他技術工具。
GDPR第44條規定,禁止将個人資料從歐盟内部傳輸到沒有同等隐私保護措施的“第三方國家”。在CNIL看來,美國的隐私保護水準相較于歐盟更為寬松,這讓歐盟使用者無從知曉其資料是否被收集、如何使用以及與誰共享。
CNIL得出的結論認為,向美國傳輸資料的行為目前并未受到充分監管。盡管谷歌已經采取了額外措施來規範谷歌分析功能下的資料傳輸行為,但這些并不足以排除美國情報機構通路其個人資料的可能。“是以,使用此服務并導出資料的法國網站将使使用者面臨風險。”聲明中寫道。
不過,CNIL也并未完全禁止谷歌分析功能。在閱聽人測量和分析服務中,網站可利用該功能生成匿名統計資料,并且隻要資料控制者不非法傳輸資料,還可獲得豁免同意。具體而言,CNIL目前已經啟動了一項評估計劃,以确定哪些情況下可免于同意。
事實上,法國并非第一個做出此決定的國家。同樣是基于NOYB協會的投訴,今年1月,一家奧地利網站因持續使用谷歌分析功能而被奧地利資料監管機構判定為違反了GDPR。
“從長遠來看,要麼我們在美國得到适當的保護,要麼(谷歌)最終為美國和歐盟提供不同的産品。”施雷姆斯在回應CNIL的聲明時表示,“我個人更希望美國提供更好的保護,但這取決于美國立法者——而非歐洲的任何人。”
編譯/綜合:南都見習記者 樊文揚
![裁員一萬轉身擁抱AI,Meta又要改名了[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)