谷歌分析是一種可以與線上銷售網站等網站整合的服務,以衡量網際網路使用者的訪問次數。在此上下文中,為每個訪問者分配了一個唯一的識別符號。該識別符號(構成個人資料)和相關資料由 Google 傳輸到美國。
法國資料保護監管機構CNIL 收到了來自 NOYB 協會的幾項投訴,涉及使用 Google Analytics 訪問網站期間收集的資料傳輸到美國。NOYB 總共在 27 個歐盟成員國和其他三個歐洲經濟區 (EEA) 國家提出了 101 起投訴,指控 101 名資料控制者涉嫌將個人資料轉移到美國。
CNIL 與其歐洲同行合作,分析了透過使用 Google Analytics 收集的資料傳輸到美國的條件以及相關個人所面臨的風險。目的是共同得出歐盟法院 2020 年 7 月 16 日“Schrems II”判決的後果,該判決使隱私護盾無效。CJEU 強調了如果轉移沒有得到適當監管,美國情報機構將訪問轉移到美國的個人資料的風險。
CNIL 的結論是,向美國的轉移目前還沒有得到充分的監管。事實上,如果沒有關於向美國傳輸資料的充分性決定(這將確定該國家在 GDPR 方面提供了足夠水平的資料保護),則只有在提供適當保證的情況下才能進行資料傳輸尤其是這個流量。
然而,CNIL 發現情況並非如此。事實上,儘管谷歌已經採取了額外的措施來規範谷歌分析功能範圍內的資料傳輸,但這些還不足以排除美國情報機構對這些資料的可訪問性。
因此,使用此服務並匯出資料的法國網站使用者存在風險。
CNIL 指出,網際網路使用者的資料因此被傳輸到美國違反了GDPR第 44 條及以下條款。GDPR 的規定。因此,CNIL 要求網站管理員在必要時透過停止使用谷歌分析功能(在當前條件下)或使用不涉及歐盟以外轉移的工具來使這種處理符合 GDPR。有問題的網站運營商有一個月的時間來遵守。
關於網站受眾測量和分析服務,CNIL 建議這些工具只能用於生成匿名統計資料,從而在資料控制者確保不存在非法轉移的情況下允許免於同意。CNIL 已經啟動了一項評估計劃,以確定哪些解決方案免於同意。
CNIL 已釋出其他命令以遵守使用 Google Analytics 的網站運營商。
CNIL 及其同行的調查還延伸到網站使用的其他工具,這些工具導致歐洲網際網路使用者的資料傳輸到美國。近期可能會採取這方面的糾正措施。