歐洲一般資料保護規範(GDPR,德語為 DSGVO,法語為 RGPD)生效已有四年了。
這是獲得合規的充足時間,特別是對於像 Google 這樣規模龐大、富有創新精神的組織。或者是嗎?
如果您想知道 GDPR 如何影響 Google Analytics 4 以及目前的合規狀態如何,請參閱以下內容。
Google Analytics 4 是否符合 GDPR 規定?
不可以。儘管增加了額外的注重隱私的功能,但 GA4 在歐洲監管機構中的地位仍然不明朗。 2020年隱私權盾框架失效後,Google尚未對歐盟-美國資料保護進行監管。目前,該公司未能充分保護歐盟公民和居民的數據免受美國監控法的侵害。這直接違反了 GDPR。
Google Analytics 與 GDPR:複雜的關係
自 2018 年 GDPR 生效以來,歐洲監管機構一直在審查Google。
儘管該公司採取了措施為 GDPR 條款做好準備,但它並未完全遵守有關用戶資料儲存、傳輸和安全的重要法規。
在歐盟法院 (CJEU)宣布隱私權盾(Google用於歐盟-美國資料傳輸的迴旋餘地)無效後,Google與歐盟監管機構之間的關係變得更加緊張。 2020 年之後,針對Google的 GDPR 訴訟接踵而至。
這篇文章總結了這個故事的主要里程碑,並解釋了對 Google Analytics 用戶的影響。
2018:Google Analytics 符合 GDPR
2018 年,歐盟通過了《一般資料保護規範》(GDPR) ——一套涵蓋所有成員國的隱私和資料安全法律。每個與歐盟公民和/或居民互動的企業都必須遵守。
GDPR 統一了成員國的資料保護法,並對敏感個人資訊(或 PII)的構成製定了額外規定。廣義上,PII 包括任何有關個人的資料:
- 種族或民族血統
- 就業狀況
- 宗教或政治信仰
- 健康狀況
- 遺傳或生物辨識數據
- 財務記錄(例如付款方式資料)
- 地址和電話號碼
未經明確同意(甚至在某些情況下即使獲得明確同意),企業不得收集此類資訊。如果收集,此類敏感資訊也將受到如何儲存、保護、傳輸和使用的嚴格要求。
GDPR 7 項主要原則解釋
GDPR 第 5 條規定了個人資料和隱私權保護的七項 GDPR 主要原則:
- 合法、公平和透明-數據必須合法取得、徵得同意並遵守法律。
- 目的限制-所有個人資訊的收集必須用於指定、明確和合法的目的。
- 數據最小化-公司必須僅收集必要且充分的數據,並與既定目的保持一致。
- 準確性-必須始終確保數據準確性。公司必須建立及時刪除或修正不準確數據的機制。
- 儲存限制-資料的儲存期限必須符合規定的目的。儘管資料儲存沒有時間上限。
- 完整性和保密性(安全性) ——公司必須採取措施確保資料儲存安全並防止非法或未經授權的存取。
- 問責制-公司必須能夠證明遵守上述原則。
谷歌聲稱已採取措施在截止日期前使其所有產品符合 GDPR 要求。但實際上,情況並非總是如此。
2018 年 3 月,一群出版商警告 Google 沒有提供他們足夠的 GDPR 合規工具:
「您拒絕向出版商提供有關如何收集、分享和使用資料的任何具體資訊。如果不向發布者提供足夠的透明度或根據 GDPR 獲得必要的具體、詳細和知情同意所需的具體信息,將獲得新同意的全部責任交給發布者是站不住腳的。
建議的 Google Analytics GDPR 同意書很難實施,而且缺乏客製化選項。事實上,谷歌就如何儲存和使用收集的數據「做出單方面決定」。
使用者無法了解或控制人們資料的所有預期用途,這使得遵守第二條變得不可能。
毫不奇怪,Google是第一批面臨GDPR 訴訟的公司之一(與 Facebook 一起)。
到 2019 年,法國資料監管機構 CNIL 成功辯稱 Google 沒有充分揭露其跨產品的資料收集情況,因此違反了 GDPR。上訴失敗後,谷歌不得不支付5000 萬歐元的罰款,並承諾會做得更好。
2019:Google Analytics 4 公告
在整個 2019 年,Google 理所當然地嘗試解決所有產品(包括 Google Universal Analytics (UA))中的一些 GDPR 缺陷。
他們為線上追蹤添加了更明顯的同意機制,並提供了額外的合規提示供用戶遵循。在此背景下,Google也對其資料處理機制進行了技術變革,以符合法規的要求。
儘管谷歌解決了一些問題,但他們忽略了其他問題。 2019 年的一項獨立調查發現,Google即時競價 (RTB) 廣告拍賣仍在未經同意的情況下使用歐盟公民和居民的數據,這要歸功於一個名為「推送頁面」的漏洞。但在指控提交法庭之前,他們設法迅速解決了這個問題。
2019年11月,Google發布了新產品版本的測試版-Google Analytics 4,即將取代Universal Analytics。
GA4 附帶了一組新的注重隱私的功能,可滿足 GDPR 要求,例如:
- 資料刪除機制。用戶現在可以請求透過新介面從分析伺服器中提取某些資料。
- 資料保存期限較短。現在您可以將預設保留期預設縮短至 2 個月(而不是 14 個月)或新增自訂限制。
- IP 匿名化。預設情況下,GA4 不記錄或儲存 IP 位址。
谷歌分析還更新了其資料處 英國手機號碼數據 理條款並對其隱私權政策進行了更改。
儘管 Google 取得了一些進展,但Google Analytics 4 仍然存在許多限制,並且不符合 GDPR。
2020:隱私權護盾無效裁決
作為 2018 年 GDPR 準備工作的一部分,Google指定其愛爾蘭實體(Google Ireland Limited)為“資料控制者”,對歐洲經濟區和瑞士用戶的資訊負有法律責任。
該公司公告稱:
來源:Google
最初,谷歌認為這項法律變化將有助於他們確保 GDPR 合規性,因為“從法律上講”,歐洲實體負責歐洲數據。
但實際上,歐洲經濟區消費者的數據仍然主要在美國傳輸和處理——大多數谷歌資料中心都位於美國。直到 2020 年,由於隱私權護盾框架,此類跨境資料傳輸才被視為合法。
但 2020 年 7 月,歐盟法院裁定,該框架未能為 選擇經過認證的 bd 投注網站 — 1xbet 數位傳輸資料提供足夠的資料保護,違反美國監控法。因此,像谷歌這樣的公司不能再使用它。瑞士聯邦資料保護和資訊專員 (FDPIC)於 2020 年 9 月得出了同樣的結論。
隱私盾框架的失效使谷歌陷入了困境。
GDPR 第 14.f 條明確規定:
「打算將個人資料傳輸給第三國或 台灣數據 國際組織的接收者(Analytics 解決方案)的控制者(公司)必須向其使用者提供有關其資料處理和儲存地點的資訊」。
隱私保護框架的失效禁止谷歌將資料轉移到美國。同時,GDPR 條款要求他們必須揭露正確的資料位置。
但 Google Analytics(與許多其他產品一樣)沒有以下機制:
- 保證歐盟內部資料存儲
- 選擇指定的區域儲存位置
- 告知用戶歐盟以外的資料儲存位置或資料傳輸
這些因素使得 Google Analytics 直接違反了 GDPR——截至 2022 年,這一領域仍然存在。
2020-2022: Google GDPR 違規和罰款
2020 年的裁決使Google面臨來自特定國家資料監管機構的 GDPR 訴訟。
谷歌分析尤其受到嚴格停火。
- 瑞典首先因谷歌違反 GDPR 未履行 2020 年要求資料下架的義務而對谷歌處以罰款。
- 法國拒絕將 Google Analytics 4 IP 位址匿名化功能視為保護跨境資料傳輸的充分措施。即使有了它,美國情報部門仍然可以存取用戶 IP 和其他 PII。法國宣布 Google Analytics 非法,並處以 1.5 億歐元罰款。
- 奧地利還發現 Google Analytics 不符合 GDPR,並宣布該服務「非法」。當局現在也尋求罰款。
荷蘭資料保護局和 挪威資料保護局也認定 Google Analytics 違反了 GDPR,並尋求限制 Google Analytics 的使用。
Google Analytics 4 中的新隱私控制並沒有解決根本問題——不受監管、未經共識的歐盟-美國資料傳輸。
Google Analytics GDPR 不合規實際上會使任何追蹤或分析歐洲訪客的網站面臨法律迫害。
事實上,這已經發生了。 noyb 是一家專注於歐洲隱私的非政府組織,已經針對使用 Google Analytics 的歐洲網站提起了100 多起訴訟。
2022 年:隱私權護盾 2.0。談判
谷歌並不是唯一一家受到隱私保護框架失效影響的美國公司。該裁決使數千家數位公司面臨不合規的風險。
為了解決這個問題,美國和歐盟當局於 2022 年春季開始「和平談判」。
歐盟委員會主席烏蘇拉·馮德萊恩表示,他們正在與拜登政府合作制定新協議,該協議將“實現歐盟和美國之間可預測且值得信賴的數據流動,保護隱私和公民自由。”