奥地利数据保护局将 Google Analytics 的使用定为非法
已发表: 2022-01-22
奥地利数据保护局 (Datenschutzbehorde) 在奥地利网站运营商 netdoctor.at 上反对使用谷歌分析的具有里程碑意义的案件中裁定非营利组织 NOYB 胜诉。
虽然尚未具有约束力,但该决定可能会推动欧洲的隐私倡导者,他们希望让数据饥渴的科技公司对其处理个人信息的责任负责。
NOYB 是一个致力于欧洲隐私权的非营利组织,由 Max Schrems(成功挑战 Facebook 使用数据传输安排的人)领导。
这是 NOYB 为响应欧洲法院的 Schrems II 判决(已使隐私盾无效)而提交的 101 项示范投诉的第一个决定。 101 起投诉表明,欧洲公司继续与大型科技公司共享访问者数据,并且没有为其用户提供足够水平的保护。 因此,虽然这一决定是同类决定中的第一个,但它可能不会是最后一个。
欧洲数据保护委员会 (EDPB) 于 2021 年成立了一个工作组来调查这一情况并确保所有欧洲数据保护机构之间的密切协调。
因此,预计 DPA 在其他欧盟成员国提出的监管行动将加速(例如,荷兰数据保护局 (Autoriteit Persoonsgegevens)。
决定包括什么?
DPA 在决定中认为:
GDPR 的适用性
作为特殊法律,指令 2002/58/EC(电子隐私指令)的适用要求——在奥地利更名为电信和远程媒体数据保护法(TTDSG 2021)——优先于 GDPR(通用数据保护条例)。
另一方面,电子隐私指令没有规定将个人数据转移到其他国家,因此 GDPR 第五章适用于这种情况。
通过 GA 传输的数据是个人数据
奥地利数据保护局认为,通过结合传输的大量数据,理论上可以将传输的数据与自然人相关联。 因此,可以建立与个人的链接(参见 GDPR 第 4 条第 1 款)并且适用 GDPR。
在这方面,值得注意的是,DPA 认为Google Analytics 的匿名功能不足以将 IP 地址和其他标识符转移到 GDPR 范围之外。 由于传输的欧盟数据量巨大,IP 地址与 GDPR 下将数据归类为个人数据无关。
网站运营商是数据控制者
值得注意的是,奥地利 DPA 只关注数据处理活动,直到它们成功转移到 Google。 当局未对谷歌后续数据处理发表评论。
向美国传输数据不符合 GDPR
欧洲法院在 2020 年 7 月 16 日 (Schrems II) 的判决中认定欧盟-美国隐私护盾是非法的。
因此,GDPR 第 45 条不再适用作为数据传输的手段,并且 DPA 不认为存在“特定情况下的减损”(特别是因为在特定情况下未获得同意)。
GDPR 第 46 条定义的“适当保护”是最终的合法转移机制。 根据 GDPR 第 46(2)(c) 条,标准合同条款 (SCC) 可以作为适当的保障措施。 网站所有者已就手头的问题与 Google 签署了“旧”SCC(版本 2010/87/EU) 。 (2021 年 6 月,发布了一组修订的 SCC。)
但是,在使用 Google Analytics 时,数据传输不能仅依赖于已完成的 SCC。 这是因为 Google 受制于美国监控法 (FISA 702),仅合同义务不足以约束“第三国”的当局。 只有在采取额外的技术和组织措施(“补充措施”)来弥补美国缺乏法律保护的情况下,数据传输才是合法的。 DPA 的结论是,谷歌在其结论中没有提供足够的“补充措施”证据。
那么在这个具体案例中出了什么问题?
从上面的分析可以清楚地看出,在这个特定的案例中,当时(08/14/2020)发生的 Google Analytics 集成存在缺陷:
- Google Analytics 的使用仅基于过时的 SCC。
- 未获得数据处理同意。
- IP 地址匿名化未正确激活。
谷歌如何回应?
谷歌在诉讼中的辩护及其事后的初步反应并不令人放心。
谷歌确认在使用谷歌分析时确实在与美国交换个人数据,因为这是服务正常运行所必需的。 更一般地说,谷歌还表示,它努力使其服务对隐私友好。
在这种情况下,具体而言,谷歌表示它提供了根据 Schrems II 判决所要求的必要“额外保证”。 然而,DSB 裁定,这些“额外保证”在现实中并没有多大意义。
作为回应,谷歌只能说用户可以选择在他们的账户中禁用“第三方数据共享”。 但是,第三方数据共享不是这里的主要法律问题,问题是美国政府可能访问敏感数据(当然,这不能在任何地方关闭)。
也就是说,谷歌暂时还没有真正的答案。 谷歌说好的分析工具应该在全球范围内发挥作用是正确的,而且人们也可以真诚地质疑美国政府对分析数据的潜在访问是否真的对 99% 的欧洲网站构成真正的隐私威胁。
这个决定对你意味着什么?
如果从本案中得出一个结论,那就是无视这些法院裁决并继续使用 Google Analytics 不是一种选择。
如果您在奥地利经营网站或向奥地利人提供服务,则应立即从您的网站中删除 Google Analytics。
还强烈建议其他欧盟成员国的企业在当地数据保护机构开始针对更多企业之前采取行动。
作为一家欧洲公司,您不能再将敏感的用户数据委托给像谷歌这样的公司,这些公司故意无视欧洲隐私立法,并冒着对其欧洲商业客户处以巨额罚款的风险。
继续使用 Google Analytics 的可能解决方法
然而,欧洲各地的网站并不会突然停止使用 Google Analytics。
在此决定具有法律约束力之前,您仍然可以按照以下最严格的措施以符合 GDPR 的方式使用 GA:
- 接受 Google 的 DPA:为了反映标准合同条款的当前版本,Google 已针对所有 Google 产品 (DPA) 修订了 Google 数据处理条款。 在 Google Analytics(分析)设置中,接受新的 Google DPA(2021 年 9 月最新版本)。
- 在数据保护法规中提及可能将数据传输到第三国。
- 获得用户同意:“这意味着只有在您获得同意的情况下才能启动 Google Analytics,并且还可以保存和提供有关它的信息。 同意管理平台 (CMP) 使此过程更容易。
- 使用正确的 Google Analytics 配置:根据最佳实践,在设置期间不应有任何个人数据流入 Analytics。 因此,您应该使用 IP 匿名化。
- 切换到服务器端跟踪:服务器端跟踪不仅是延长第一方 cookie 的寿命和绕过某些跟踪阻止程序的合适解决方案,而且您还可以选择在将数据发送到 Google Analytics 之前对其进行调整。 具体而言,这意味着,例如,在将数据发送到 Google Analytics 之前,用户的 IP 地址将被完全删除。
切换到其他隐私合规分析工具
由于隐私对全球消费者越来越重要,因此任何欧洲企业选择优先保护其用户隐私的服务都是合乎逻辑的步骤。
下面我们将介绍 GA 的两个最有趣的替代方案,以防您想完全摆脱它。
似是而非的
如果您正在寻找 Google Analytics 的真正欧盟替代品,请尝试一下 Plausible。 它们是位于爱沙尼亚的一个独立的、自力更生的项目。 他们的团队分散在爱沙尼亚和比利时之间。
他们收集的所有访问者数据都存储在德国一家德国公司 (Hetzner) 拥有的服务器上。 对于他们的全球 CDN,他们使用斯洛文尼亚拥有的提供商 (Bunny)。
更多关于他们在这个案子上的官方声明在这里。
间友
Matomo 是另一个有价值的 GA 替代品。
它是一个开源网络分析平台,旨在为您提供完整的分析功能以及完整的数据所有权。
Matomo 最初是作为谷歌分析的开源替代品。 它还提供有关您的网站用户及其与您网站的交互的重要报告,类似于 Google Analytics。 有趣的是,它将大部分注意力集中在数据所有权上,因此您的数据可以完全属于您,并且用户的隐私受到保护。
更多关于他们在这个案子上的官方声明在这里。
转换用户是否会受到此决定的影响?
从未在 Convert Experiences 中使用或存储任何个人数据。 因此,您的体验和访客不会受到上述案例的影响。 此外,我们使用欧洲碳中和服务器来保存经验和变化数据。
为了透明起见,以下是有关转换体验中数据使用的一些附加说明:
- 默认开启
- 会话 cookie ID(cookie 和服务器缓存超时 20 分钟)。 在我们对 GDPR/ePrivacy 指令和 ePrivacy 法规的解释中,这目前属于性能 cookie。
- 默认关闭
- 当客户开启跨浏览器定位时,我们会在 URL 中插入一个唯一的 cookie,以便在其他域中获取(GDPR 可能会将其解释为个人数据)。 作为我们“默认隐私”政策的一部分,此功能默认关闭。
- 当客户提供唯一访问者 ID 来替换会话 ID 时,这可能会被解释为个人数据。 作为我们“默认隐私”政策的一部分,此功能默认关闭。
- 当使用地理定位时(默认情况下未启用),我们可以将国家、地区和城市存储在 CDN 或服务器缓存中以进行正确定位。
这一裁决的影响深远,可能为公司如何使用数据开创先例。
请务必注意,此决定仅影响奥地利企业或与其有业务往来的其他公司使用 Google Analytics(分析),但其他国家/地区可能会效仿。
如果您使用的是 Google Analytics,请务必密切关注即将出台的法规,以确保您保持合规。 NOYB 和其他欧洲隐私权倡导者已经表明他们愿意为在线用户的权利而战,因此我们可以期待未来会有更多类似的决定。