近日,法国数据保护监管机构(French Data Protection Authority,简称CNIL)在对某本地网站进行数据传输调查后发表声明,称其使用谷歌分析(谷歌推出的网站流量分析工具)功能的行为违反了《通用数据保护条例》(GDPR)的相关规定,要求网站在一个月内停止使用该功能或采用替代分析工具。目前谷歌拒绝就CNIL的声明发表评论。
CNIL对多个网站开展数据传输调查一事可追溯至2020年。2020年7月,欧盟法院宣布欧盟与美国之间的跨境数据传输协议“隐私盾”(Privacy Shield)无效,原因是欧盟法院认为该协议下美国情报机关仍有可能获取用户信息,欧盟公民缺乏在美国获得司法救济的有效途径,其个人数据无法得到足够的保护。
然而,据报道,在“隐私盾”被宣布无效以后一个月,仍有许多公司使用谷歌分析等功能进行数据传输,谷歌等企业也依旧以“隐私盾”为数据传输的法律依据。
为此,在2020年8月,由奥地利律师、隐私活动家马克斯·施雷姆斯(Max Schrems)创立的非盈利组织NOYB(Non Of Your Business)针对整个欧盟范围内继续使用谷歌等企业开发的网络分析技术的网站向CNIL共发起101起投诉,指控该101名网站管理者涉嫌将欧盟公民的个人数据转移到美国。
CNIL于近日发布的声明显示,其在收到NOYB协会的投诉后便开展调查,并与多方合作对利用该功能收集数据并传输到美国的行为以及相关个人可能面临的风险进行了分析。
CNIL认定,有这类行为的网站违反了GDPR的相关规定,要求网站管理员遵守GDPR,在一个月内进行整改,停止使用谷歌分析功能或采用替代技术。此外,该机构也已向其他网站运营商发布类似通知,其后对网站数据传输的调查还将扩展至其他技术工具。
GDPR第44条规定,禁止将个人数据从欧盟内部传输到没有同等隐私保护措施的“第三方国家”。在CNIL看来,美国的隐私保护水平相较于欧盟更为宽松,这让欧盟用户无从知晓其数据是否被收集、如何使用以及与谁共享。
CNIL得出的结论认为,向美国传输数据的行为目前并未受到充分监管。尽管谷歌已经采取了额外措施来规范谷歌分析功能下的数据传输行为,但这些并不足以排除美国情报机构访问其个人数据的可能。“因此,使用此服务并导出数据的法国网站将使用户面临风险。”声明中写道。
不过,CNIL也并未完全禁止谷歌分析功能。在受众测量和分析服务中,网站可利用该功能生成匿名统计数据,并且只要数据控制者不非法传输数据,还可获得豁免同意。具体而言,CNIL目前已经启动了一项评估计划,以确定哪些情况下可免于同意。
事实上,法国并非第一个做出此决定的国家。同样是基于NOYB协会的投诉,今年1月,一家奥地利网站因持续使用谷歌分析功能而被奥地利数据监管机构判定为违反了GDPR。
“从长远来看,要么我们在美国得到适当的保护,要么(谷歌)最终为美国和欧盟提供不同的产品。”施雷姆斯在回应CNIL的声明时表示,“我个人更希望美国提供更好的保护,但这取决于美国立法者——而非欧洲的任何人。”
编译/综合:南都见习记者 樊文扬
![裁员一万转身拥抱AI,Meta又要改名了[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)