日前有消息显示,由于意大利监管机构Garante裁定禁止使用谷歌数据分析工具(Google Analytics)将数据传至美国,欧盟方面再次对谷歌方面展开相关调查。据了解,Garante的相关裁决是在近日做出,该监管机构密切关注了使用谷歌数据分析工具的网站运营商,并发现该网站收集了各种信息。
其中,意大利当地一家网络出版商Caffeina Media Srl在使用谷歌数据分析工具时不符合欧盟的《通用数据保护条例》(GDPR),该工具收集了诸多类型的用户数据,其中包括设备IP地址、浏览器信息、操作系统、屏幕分辨率、语言选择以及访问网站的时间,并且这些用户数据会被传送至美国。对此,该监管机构指出,这是一个“没有足够数据保护水平的国家”,并且“这种行为是非法的,谷歌采用的整合传输工具的措施目前并不能完全保证对用户个人数据的充分保护。”
目前,意大利该监管机构要求Caffeina Media Srl在90天时间里将其账户从谷歌数据分析工具转移,同时也警告了其他正在使用该工具的网站检查合规性。
事实上在今年早些时候,奥地利监管机构 (DPA)裁定,一家德国公司使用谷歌数据分析工具的做法违反GDPR。不久后,法国监管机构国家信息与自由委员会 (CNIL)也颁布了相同的禁令,禁止部分欧洲公司使用谷歌这一分析工具,否则将面临违反GDPR的处罚。
在CNIL的指导意见中指出,位于欧盟的网站所有者只有非常狭窄的可能性合法使用谷歌这一分析工具,即要么通过应用额外的加密,其中密钥由数据出口商本身或在提供足够保护水平的地区建立的其他实体独家控制,要么通过使用代理服务器来避免用户的终端与谷歌服务器之间的直接接触。
然而,谷歌对这些禁令提出的辩护均被予以驳回,因为其无法让监管机构相信在将用户数据传输到美国前,会对来自欧洲的用户数据进行匿名处理。
而谷歌方面此前曾声称,这一数据分析工具只是一种帮助了解用户如何使用网站的服务,而不是作为跟踪用户的一种手段。为此,该公司还曾发布关于该工具隐私控制方面的长文指导。然而,欧盟方面并未就此放弃对其数据安全的质疑。
目前在公开资料中显示,当前美国的相关法律,包括《外国情报监视法》(FISA)中就已明确表示,不保护美国以外所持有的数据。而此前在2020年,欧洲法院(ECJ)作出的裁决,也使得欧盟-美国隐私盾无效。并且在信息技术与创新基金会(ITIF)发布的《“SCHREMS II”——欧盟-美国“隐私盾协议”失效对大西洋贸易和创新的影响》中,也曾就ECJ的裁决作出分析,其中指出,“欧洲法院发现美国的数据监管法律和对数据处理者的合规性要求,无法确保数据一旦转移,在美国的用户数据将获得与欧盟同等程度的保护。”
据了解,有关美国与欧盟隐私保护的替代方案正在拟定过程中。此前在3月,欧盟方面宣布与美国就恢复跨大西洋数据流动协议达成原则性协议,但计划中的数据传输框架法律细节仍需最后确定,并由欧盟机构审查和通过才能正式生效。
【本文图片来自网络】