奧地利數據保護局將 Google Analytics 的使用定為非法
已發表: 2022-01-22
奧地利數據保護局 (Datenschutzbehorde) 在奧地利網站運營商 netdoctor.at 上反對使用谷歌分析的具有里程碑意義的案件中裁定非營利組織 NOYB 勝訴。
雖然尚未具有約束力,但該決定可能會推動歐洲的隱私倡導者,他們希望讓數據飢渴的科技公司對其處理個人信息的責任負責。
NOYB 是一個致力於歐洲隱私權的非營利組織,由 Max Schrems(成功挑戰 Facebook 使用數據傳輸安排的人)領導。
這是 NOYB 為響應歐洲法院的 Schrems II 判決(已使隱私盾無效)而提交的 101 項示範投訴的第一個決定。 101 起投訴表明,歐洲公司繼續與大型科技公司共享訪問者數據,並且沒有為其用戶提供足夠水平的保護。 因此,雖然這一決定是同類決定中的第一個,但它可能不會是最後一個。
歐洲數據保護委員會 (EDPB) 於 2021 年成立了一個工作組來調查這一情況並確保所有歐洲數據保護機構之間的密切協調。
因此,預計 DPA 在其他歐盟成員國提出的監管行動將加速(例如,荷蘭數據保護局 (Autoriteit Persoonsgegevens)。
決定包括什麼?
DPA 在決定中認為:
GDPR 的適用性
作為特殊法律,指令 2002/58/EC(電子隱私指令)的適用要求——在奧地利更名為電信和遠程媒體數據保護法(TTDSG 2021)——優先於 GDPR(通用數據保護條例)。
另一方面,電子隱私指令沒有規定將個人數據轉移到其他國家,因此 GDPR 第五章適用於這種情況。
通過 GA 傳輸的數據是個人數據
奧地利數據保護局認為,通過結合傳輸的大量數據,理論上可以將傳輸的數據與自然人相關聯。 因此,可以建立與個人的鏈接(參見 GDPR 第 4 條第 1 款)並且適用 GDPR。
在這方面,值得注意的是,DPA 認為Google Analytics 的匿名功能不足以將 IP 地址和其他標識符轉移到 GDPR 範圍之外。 由於傳輸的歐盟數據量巨大,IP 地址與 GDPR 下將數據歸類為個人數據無關。
網站運營商是數據控制者
值得注意的是,奧地利 DPA 只關注數據處理活動,直到它們成功轉移到 Google。 當局未對谷歌后續數據處理髮表評論。
向美國傳輸數據不符合 GDPR
歐洲法院在 2020 年 7 月 16 日 (Schrems II) 的判決中認定歐盟-美國隱私護盾是非法的。
因此,GDPR 第 45 條不再適用作為數據傳輸的手段,並且 DPA 不認為存在“特定情況下的減損”(特別是因為在特定情況下未獲得同意)。
GDPR 第 46 條定義的“適當保護”是最終的合法轉移機制。 根據 GDPR 第 46(2)(c) 條,標準合同條款 (SCC) 可以作為適當的保障措施。 網站所有者已就手頭的問題與 Google 簽署了“舊”SCC(版本 2010/87/EU) 。 (2021 年 6 月,發布了一組修訂的 SCC。)
但是,在使用 Google Analytics 時,數據傳輸不能僅依賴於已完成的 SCC。 這是因為 Google 受制於美國監控法 (FISA 702),僅合同義務不足以約束“第三國”的當局。 只有在採取額外的技術和組織措施(“補充措施”)來彌補美國缺乏法律保護的情況下,數據傳輸才是合法的。 DPA 的結論是,谷歌在其結論中沒有提供足夠的“補充措施”證據。
那麼在這個具體案例中出了什麼問題?
從上面的分析可以清楚地看出,在這個特定的案例中,當時(08/14/2020)發生的 Google Analytics 集成存在缺陷:
- Google Analytics 的使用僅基於過時的 SCC。
- 未獲得數據處理同意。
- IP 地址匿名化未正確激活。
谷歌如何回應?
谷歌在訴訟中的辯護及其事後的初步反應並不令人放心。
谷歌確認在使用谷歌分析時確實在與美國交換個人數據,因為這是服務正常運行所必需的。 更一般地說,谷歌還表示,它努力使其服務對隱私友好。
在這種情況下,具體而言,谷歌表示它提供了根據 Schrems II 判決所要求的必要“額外保證”。 然而,DSB 裁定,這些“額外保證”在現實中並沒有多大意義。
作為回應,谷歌只能說用戶可以選擇在他們的賬戶中禁用“第三方數據共享”。 但是,第三方數據共享不是這裡的主要法律問題,問題是美國政府可能訪問敏感數據(當然,這不能在任何地方關閉)。
也就是說,谷歌暫時還沒有真正的答案。 谷歌說好的分析工具應該在全球範圍內發揮作用是正確的,而且人們也可以真誠地質疑美國政府對分析數據的潛在訪問是否真的對 99% 的歐洲網站構成真正的隱私威脅。
這個決定對你意味著什麼?
如果從本案中得出一個結論,那就是無視這些法院裁決並繼續使用 Google Analytics 不是一種選擇。
如果您在奧地利經營網站或向奧地利人提供服務,則應立即從您的網站中刪除 Google Analytics。
還強烈建議其他歐盟成員國的企業在當地數據保護機構開始針對更多企業之前採取行動。
作為一家歐洲公司,您不能再將敏感的用戶數據委託給像谷歌這樣的公司,這些公司故意無視歐洲隱私立法,並冒著對其歐洲商業客戶處以巨額罰款的風險。
繼續使用 Google Analytics 的可能解決方法
然而,歐洲各地的網站並不會突然停止使用 Google Analytics。
在此決定具有法律約束力之前,您仍然可以按照以下最嚴格的措施以符合 GDPR 的方式使用 GA:
- 接受 Google 的 DPA:為了反映標準合同條款的當前版本,Google 已針對所有 Google 產品 (DPA) 修訂了 Google 數據處理條款。 在 Google Analytics(分析)設置中,接受新的 Google DPA(2021 年 9 月最新版本)。
- 在數據保護法規中提及可能將數據傳輸到第三國。
- 獲得用戶同意:“這意味著只有在您獲得同意的情況下才能啟動 Google Analytics,並且還可以保存和提供有關它的信息。 同意管理平台 (CMP) 使此過程更容易。
- 使用正確的 Google Analytics 配置:根據最佳實踐,在設置期間不應有任何個人數據流入 Analytics。 因此,您應該使用 IP 匿名化。
- 切換到服務器端跟踪:服務器端跟踪不僅是延長第一方 cookie 的壽命和繞過某些跟踪阻止程序的合適解決方案,而且您還可以選擇在將數據發送到 Google Analytics 之前對其進行調整。 具體而言,這意味著,例如,在將數據發送到 Google Analytics 之前,用戶的 IP 地址將被完全刪除。
切換到其他隱私合規分析工具
由於隱私對全球消費者越來越重要,因此任何歐洲企業選擇優先保護其用戶隱私的服務都是合乎邏輯的步驟。
下面我們將介紹 GA 的兩個最有趣的替代方案,以防您想完全擺脫它。
似是而非的
如果您正在尋找 Google Analytics 的真正歐盟替代品,請嘗試一下 Plausible。 它們是位於愛沙尼亞的一個獨立的、自力更生的項目。 他們的團隊分散在愛沙尼亞和比利時之間。
他們收集的所有訪問者數據都存儲在德國一家德國公司 (Hetzner) 擁有的服務器上。 對於他們的全球 CDN,他們使用斯洛文尼亞擁有的提供商 (Bunny)。
更多關於他們在這個案子上的官方聲明在這裡。
間友
Matomo 是另一個有價值的 GA 替代品。
它是一個開源網絡分析平台,旨在為您提供完整的分析功能以及完整的數據所有權。
Matomo 最初是作為谷歌分析的開源替代品。 它還提供有關您的網站用戶及其與您網站的交互的重要報告,類似於 Google Analytics。 有趣的是,它將大部分注意力集中在數據所有權上,因此您的數據可以完全屬於您,並且用戶的隱私受到保護。
更多關於他們在這個案子上的官方聲明在這裡。
轉換用戶是否會受到此決定的影響?
從未在 Convert Experiences 中使用或存儲任何個人數據。 因此,您的體驗和訪客不會受到上述案例的影響。 此外,我們使用歐洲碳中和服務器來保存經驗和變化數據。
為了透明起見,以下是有關轉換體驗中數據使用的一些附加說明:
- 默認開啟
- 會話 cookie ID(cookie 和服務器緩存超時 20 分鐘)。 在我們對 GDPR/ePrivacy 指令和 ePrivacy 法規的解釋中,這目前屬於性能 cookie。
- 默認關閉
- 當客戶開啟跨瀏覽器定位時,我們會在 URL 中插入一個唯一的 cookie,以便在其他域中獲取(GDPR 可能會將其解釋為個人數據)。 作為我們“默認隱私”政策的一部分,此功能默認關閉。
- 當客戶提供唯一訪問者 ID 來替換會話 ID 時,這可能會被解釋為個人數據。 作為我們“默認隱私”政策的一部分,此功能默認關閉。
- 當使用地理定位時(默認情況下未啟用),我們可以將國家、地區和城市存儲在 CDN 或服務器緩存中以進行正確定位。
這一裁決的影響深遠,可能為公司如何使用數據開創先例。
請務必注意,此決定僅影響奧地利企業或與其有業務往來的其他公司使用 Google Analytics(分析),但其他國家/地區可能會效仿。
如果您使用的是 Google Analytics,請務必密切關注即將出台的法規,以確保您保持合規。 NOYB 和其他歐洲隱私權倡導者已經表明他們願意為在線用戶的權利而戰,因此我們可以期待未來會有更多類似的決定。