在从欧洲向美国传输个人数据的一系列挑战中,奥地利数据保护机构 DSB 发现,奥地利网站对 Google Analytics 的使用不符合欧盟数据保护法。
DSB 做出这一决定的依据是,谷歌分析的使用涉及将个人数据传输到美国,它发现在美国不会受到美国情报机构监视的充分保护。
DSB 得出的结论是,为保护个人数据而采取的措施(例如加密)不足以解决该风险。
这是总部位于维也纳的隐私非营利组织 NOYB 向包括爱尔兰数据保护委员会在内的多个欧洲数据保护机构提出的 101 项投诉后首次发布该决定。
这些投诉称,在美国向 Google 和 Facebook 传输个人数据违反了广泛报道的Schrems II 案中规定的欧盟数据保护法。
什么是谷歌分析?
谷歌分析是一种工具,网站运营商可以使用它来监控访问者如何使用他们的网站。例如,它可用于生成关于访客人数、访客浏览器参数、他们使用的设备等的报告。它通过在用户的设备上放置一个 cookie(一小段代码)来执行此操作,该设备分配一个唯一的标识号。
Google Analytics 还可以将此唯一标识符与其他信息(例如访问者的 IP 地址)结合起来,以其他方式跟踪访问者。例如,如果访问者登录了他们的 Google 帐户,他们的访问将与该帐户相关联。
DSB 发现这会产生可用于识别个人的“数字足迹”。这种数字足迹不仅由网站运营商使用。谷歌还收集这些信息并将其传输到其在美国的服务器。
国际数据传输
包括 GDPR 在内的欧盟数据保护法允许个人数据在 EEA 内以及在 EEA 与某些其他被认为可以为个人数据提供充分保护的国家(例如加拿大和日本)之间自由流动。
否则,只能使用 GDPR 中规定的某些机制将个人数据传输到 EEA 以外(包括美国)。
一种这样的机制是使用标准合同条款。该机制要求数据输出方和输入方签订合同,要求输入方确保个人数据在 EEA 之外得到充分保护。
然而,根据欧盟法院在 Schrems II 案中的裁决,仅标准合同条款是不够的。
数据出口商还必须评估个人数据将在目的地国家/地区获得的保护水平,如果低于 EEA 提供的水平,则采取补充措施来解决这些缺陷。
DSB的决定
DSB 的决定是在一位访问者对名为 NetDoktor 的奥地利网站的投诉之后做出的。由于该网站使用谷歌分析,访问者的个人数据,包括唯一的用户识别号、IP 地址和浏览器参数,被检索并发送到谷歌在美国运营的服务器。
网站运营商和谷歌签订了标准合同条款,谷歌实施了某些额外的合同、技术和组织措施,以确保对出口到美国的欧盟个人数据提供足够的保护。这包括数据加密。
然而,DSB 发现所采取的措施不足以确保遵守 GDPR 关于在 EEA 以外传输个人数据的规则。
作为美国法律规定的电子通信服务提供商,Google 必须遵守美国情报机构提出的监视要求。谷歌透露,它已收到美国当局的此类询问。
因此,在没有额外措施的情况下,DSB 认定,美国情报机构可能会以侵犯数据主体权利的方式访问转移到美国的个人数据。
接下来,DSB 考虑了现有的附加措施,例如加密,但发现它们不足以解决风险。
例如,DSB 提到了欧洲数据保护委员会 (EDPB) 的建议,该建议指出,如果个人数据的接收者拥有加密密钥并且可能有义务将该密钥移交给相关部门,则加密不是充分的措施。当局。
因此,DSB 决定网站运营商没有遵守 GDPR 关于在 EEA 以外传输个人数据的规则。
谷歌的回应
应该指出的是,DSB 没有发现谷歌有任何不当行为——数据传输的主要法律责任在于数据控制者;在这种情况下,网站运营商。
尽管如此,谷歌对该决定表示担忧。其全球事务总裁兼首席法务官 Kent Walker 在一篇博 文中指出,在提供谷歌分析工具的 15 年中,谷歌“从未收到过 [DSB] 推测的 [来自美国当局] 的那种需求” .
“如果数据访问的理论风险足以阻止数据流,那将对许多使用网络的出版商和小企业构成风险,并凸显整个欧美商业生态系统面临的国际数据流缺乏法律稳定性, “ 他说。
更广泛的影响
需要强调的是,DSB 的决定还不是最终决定,而且无论如何,它确实在奥地利以外地区产生了影响。与所有监管决定一样,它是针对其事实的。
没有人期望看到整个欧洲的网站会在一夜之间放弃 Google Analytics。然而,由于这是 NOYB 提出 101 起投诉后的第一个决定,因此在接下来的几个月中,我们可能会开始在整个欧洲看到类似的决定。
这些决定很可能会对各种工具的使用产生影响,而不仅仅是谷歌分析,这些工具涉及将个人数据传输到美国或欧洲经济区以外的其他地方。
EDPB 已成立一个工作组来协调和促进国家当局之间就这些投诉进行沟通。
据BuiltWith 称,截至 2021 年 11 月,有 2800 万个网站(包括全球最受欢迎的 10,000 个网站中的 70% 以上)正在使用谷歌分析工具。因此,将有大量企业、监管机构和律师非常仔细地审视这些决定。
这些决定是在欧盟和美国谈判代表试图制定一项新协议以促进跨大西洋继续共享数据的背景下做出的。
该交易旨在取代 2020 年 7 月被欧盟法院否决的隐私保护机制。这些讨论尚未产生任何具体的提议,除非预期符合 Schrems II 中规定的标准,否则谈判者不会批准任何交易决定及相关案件。
与此同时,在线运营的企业必须完全了解其所有国际数据流,了解他们使用的工具以及他们处理的个人数据,这一点很重要。
正如奥地利的决定所表明的那样,最终是网站运营商对保护其用户的个人数据负有法律责任。(翻译自:www.mondaq.com)
鲁公网安备 37130202372255号鲁ICP备2021025955号-2