突发新闻:法国数据保护机构 CNIL(国家信息与自由委员会)认定,根据《通用数据保护条例》(GDPR),使用 Google Analytics(谷歌分析)属于违法行为。CNIL 已开始向使用 Google Analytics(谷歌分析)的网站管理员发出正式通知。
此前,奥地利数据保护局于 2022 年 1 月决定宣布 Google Analytics(分析)根据 GDPR 属于非法使用。
Google Analytics GDPR 违规行为继续在欧盟蔓延
自从《隐私盾》框架(欧盟和美国之间达成的一项允许将数 viber 数据 据传输给经过认证的美国公司的协议)失效以来,CNIL 和其他欧盟数据保护机构已收到大量关于在使用 Google Anal法国裁定谷歌分析不符合ytics 访问网站期间收集数据传输的投诉。有趣的是,欧洲各数据保护机构竟然都得出了相同的结论:使用谷歌分析是非法的。欧洲已经成立了一个工作组,我们推测此次行动是协调一致的,其他机构也会做出类似的决定。
关于CNIL的决定
在这个典型案例中,CNIL 发现一个未具名网站对 Google Analytics 的使用不符合 GDPR,因为它违反了第 44 条,该条禁止将个人数据传输到欧盟以外,除非接收国能够证明其提供了足够的数据保护。
根据 GDPR,个人数据涵盖一系列标识符,包括电 螢幕閱讀器支援 子邮件地址、种族、性别、电话号码等等,但不太明显的标识符包括 IP 地址或 cookie ID 等。
CNIL 的决定是基于这样一个事实:由于美国监控法律的存在,美国的数据保护水平未能达到 GDPR 规定的充分水平。因此,该未具名网站使用 Google Analytics(谷歌分析)技术,导致其网站访问者的个人数据被输出到美国时面临风险。
截至本文撰写时
尚不清楚CNIL是否已就违反GDPR的行为开出罚单。不过,CNIL已责令该未具名网站的网站管理员遵守GDPR规定,并在必要时停止在现有条件下使用Google Analytics(谷歌分析)。我们可以肯定的是,这些决定将在整个欧盟乃至更广阔的范围内持续推行。其他国家/地区也在实施与GDPR高度相似的隐私法规,例如巴西的《通用数据保护法》(LGPD)、印度的《数据保护法案》、新西兰的《隐私法》以及加拿大的《个人信息保护和电子文件法》(PIPEDA)等等。Matomo 首席法国 比特币数据库美国 裁定谷歌分析不符合执行官兼联合创始人 Matthieu Aubry
CNIL 提供了一个评估程序,帮助网站管理员确定网络分析解决方案是否可以在用户通过同意屏幕同意加入之前免于收集数据。例如,Matomo 是领先的 Google Analytics 替代方案,已获得CNIL 的推荐,并且无需进行跟踪同意。