编译 | 夏律 宋佳凯
来源:CNIL官网 & Data Guidance
法国数据保护局(CNIL)于2022年6月7日公布了有关CNIL对Google Analytics 使用的执法行动的FAQs,以及关于使用户分析工具符合GDPR的指导。
CNIL认为,法国网站运营商使用Google Analytics 导致个人数据转移到美国,而没有为欧洲数据主体提供足够的保障,根据Schrems II案的要求,违反了GDPR第五章的要求。此外,在常见问题解答中,CNIL重申,仅仅与谷歌有限责任公司签订标准合同条款(SCCs)不足以满足GDPR的要求,并进一步指出需要额外的法律、组织和技术措施,而谷歌实施的措施是不够的。除这些结论外,常见问题和指导意见还涉及CNIL对潜在解决方案的立场,以便继续使用Google Analytics 和其他受众测量工具。
关联阅读:法国CNIL认定Google Analytics违法,如何破局?
常见问题和指导意见还涉及CNIL对潜在解决方案的立场,以便继续使用Google Analytics 和其他受众测量工具。
CNIL认为无效的解决方案:
(1) 调整Google Analytics 工具中的设置配置
CNIL认为既不可能将Google Analytics 工具配置为不将个人数据传输到欧盟之外,也不可能将其配置为只将匿名数据传输到美国。
(2) 数据加密
CNIL强调,虽然加密在理论上是防止美国情报部门访问的充分技术措施,因此符合Schrems II案的要求,但它只是在数据出口商对加密有独家控制的情况下才是充分的保障。CNIL进一步强调,在Google Analytics的案例中,Google自己对有关的个人数据进行了加密,并可以在透明的情况下访问数据,这使得这种加密不足以防止美国的情报访问。
CNIL认为,潜在的有效解决方案是:
(1) 在符合条件的情况下,使用代理服务器
CNIL指出,为了防止非欧洲当局访问数据的问题,并合法地使用有美国总部或附属服务器的受众测量解决方案,首先必须打破欧洲用户的终端设备和服务器之间的联系点。因此,CNIL建议使用代理服务器作为潜在的解决方案,但同时指出,这种服务器必须符合欧洲数据保护委员会(EDPB)在其第01/2020号建议中提出的标准,该建议涉及补充传输工具的措施,以确保只有无法归属于已识别或可识别的自然人的假名个人数据被传输到欧盟境外。
CNIL概述了执行代理的服务器将必须实施措施,以确保以下几点:
不将IP地址转移到测量工具的服务器上。
由代理服务器替换用户标识符。
删除网站外部的参考网站信息。
删除收集的URL中包含的任何参数(例如,允许网站内部路由的UTM和URL参数)。
重新处理可参与生成指纹的信息,如 "用户代理",以删除可导致重新识别的最罕见的配置。
不收集任何跨网站的标识符;以及
删除任何可能导致重新识别的其他数据。
CNIL强调,还必须确保代理服务器是在保证其处理的数据不会被转移到欧盟以外的条件下托管,据控制者将被要求进行分析评估,以确保上述措施和保证得到有效实施,并监督它们随着产品的发展而得到维持。
(2) 使用位于欧盟的用户分析工具
CNIL承认上述措施的实施可能是昂贵而复杂的,并强调通过使用不将个人数据转移到欧盟以外的解决方案可以避免这些困难。
主编介绍
王捷
执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。
联系方式:
欢迎扫码加入全球数据合规讨论群
(敬请备注:姓名 + 单位 + 专业领域 + 沟通意向)
资讯编写
夏律、宋佳凯
垦丁律师事务所W&W国际法律团队律师助理。
协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。
互联网出海法律实务群
为您提供独家出海资讯、最新信息动态
与同行们一起交流时事热点、分享经典案例
尽享互联网出海法律干货
快添加主理人(jie-72)加入我们吧!
近期更新:
《美国数据隐私和保护法案》草案——首个获得两党、两院支持的美国综合隐私立法草案出炉
重磅发布 | 元宇宙与NFT合规问答手册
重磅发布 | 元宇宙产业及元规则体系合规蓝皮书
重磅发布 | NFT业务模式与关键法律问题研究
活动回顾 | 垦丁广州开放日暨元宇宙合规分享会
数据抓取 | hiQ与领英案重审判决,抓取公开数据并不违法
元宇宙时代下的隐私风险——AR虚拟试穿遭到数据隐私诉讼
新大西洋数据隐私框架协议及声明将对欧美数据跨境传输带来什么新变化?
欧盟重磅法案 | 为什么《数据治理法》对数据共享很重要?
全球数据合规资讯周报 | 欧盟议会发布实施《数字市场法案》
英国计划要求科技公司提供身份验证工具以应对匿名恶意用户
EDPB公布了作为数据传输工具的行为准则的指南定稿
欧盟重磅法律草案下载 | 为什么欧盟需要《数据法》?
Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务
快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任
垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》
冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对
越南发布新跨境广告法令下的跨境广告服务商的合规要求
大数据杀熟-互联网法律人的周末私享会
佛罗里达州众议院通过了《佛罗里达隐私保护法》
重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比
个人信息保护:
十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定
十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务
十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求
十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求
十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求
十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利
十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求
十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求
十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项
十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力
精品解读:
美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式
印度封杀中国APP,谈谈出海印度企业的风险应对策略
针对印度政府禁止59款中国APP最完全版解读
【如何做一块安全的饼干】之cookies的用户告知与法律基础
民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利
从印度“删除中国APPs”被Google Play下架谈谈平台合规
游戏出海:
实务|Adjust手游出海指南-东南亚篇
目录
干货|Google移动游戏东南亚出海策略
【游戏出海】国产手游厂商如何应对韩国游戏分级?
游戏出海如何进行合规?听听垦丁律所海外业务负责人王捷怎么说
游戏出海三人游—日本篇
游戏出海三人游-韩国篇(下)
游戏出海三人游-韩国篇(上)
网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考
跨境电商:
「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)
【值得收藏】中国跨境电商的商业模式与生态链条剖析
「大咖观点」电子商务法立法专家姚志伟|跨境电子商务零售进口中的“中文标签”问题
重磅」《跨境电子商务零售进口法规案例汇编》发布
「大咖观点」 “全球购骑士特权”法总叶意 | 海外支付法律问题分析