法國政府也宣布Google Analytics違反GDPR

繼奧地利政府後,法國資料保護主管機關也在上周判定,該國網站使用Google Analytics違反歐盟隱私法GDPR。

2020年歐洲法院判定使用美國供應商的追蹤技術違反GDPR,理由是美國監控法要求美國包括Google、臉書等平臺供應商必須將用戶個資提供給美國。在此判決中,歐盟法院也廢除了美國和歐盟之間的隱私盾(Privacy Shield)資訊傳輸保護協議,認為隱私盾協議不足以保護歐盟用戶的隱私。

在此判決後,隱私倡議組織NOYB在歐盟27國針對歐洲網站使用Google Analytics一事提出101項官司訴訟。上個月奧地利政府資料保護主管機關Datenschutzbehörde(DSB)率先判定一家德國網站使用Google Analytics違反歐洲隱私法。而法國則是同一批訴訟中的最新一項判決。

CNIL指出,Google Analytics整合在電商網站以量測網際網路用戶造訪行為,而每位網站造訪者組成個資的獨特識別碼及相關資料,將會被Google送給美國。在接獲Noyb投訴後,CNIL也著手調查Google Analytics將某個法國網站用戶資料傳輸到美國的資料種類及風險。

CNIL並未說明投訴案涉及的法國網站身分,只說調查結果顯示,雖然Google採用額外措施來規範Google Analytics傳輸的資料,但並未能排除美國情報單位存取這些資料的可能性。因此CNIL判斷該網站用戶資料可能曝險。

CNIL命令該網站主持人必須符合GDPR,必要時停用Google Analytics,或是使用歐盟國家自有工具。該網站必須在1個月內完成命令遵循。

CNIL要求法國網站只能使用產生匿名統計資料的工具,以便可取得豁免權,不再需要取得資料控管者(data controller)同意蒐集或處理資料。該組織也推出決定哪些工具具備豁免權的計畫。

除了Google Analytics外,CNIL也和其他歐盟國家主管機關也將注意力轉到其他也會把歐盟民眾個資傳給美國的工具,並表示很快就會提出矯正措施。CNIL並未說明是哪些,但極可能涵括臉書、或是其他美國服務。

除了這兩個國家,Noyb榮譽主席Max Schrems預期大部份歐盟會員國,將陸續出現類似判決。

歐盟判定隱私盾(Privacy Shield)協議失效,讓美國網站龍頭感到不安。Google大聲疾呼儘快建立新的資料傳輸框架,而Meta則認為再沒有資料傳輸協議,未來可能得被迫關閉在歐洲和英國的臉書或Instagram等服務。

原文來自 iThome Online