瑞典數據保護監管機構對通過谷歌分析導出歐洲用戶數據的行為開出了幾項罰款，該機構發現，由于美國政府監控帶來的風險，谷歌分析違反了歐盟的隱私規則。它還警告其他公司不要使用谷歌的工具。

這些罰款——瑞典電信公司 Tele2 略高于 110 萬美元，當地在線零售商 CDON 不到 3 萬美元——引人注目，因為這是2020 年 8 月針對 Google Analytics（和 Facebook Connect）的一系列戰略隱私投訴之后首次此類罰款。

監管機構發現，谷歌對歐洲用戶發送到美國進行處理的數據采取的所謂補充措施不足以將保護水平提高到所需的法律標準。包括谷歌在 Tele2 案件中使用 IP 地址截斷（匿名化措施）的情況，它表示該公司沒有澄清截斷是在將數據傳輸到美國之前還是之后進行的，因此未能證明“在最后一個八位字節被截斷之前沒有可能訪問整個 IP 地址” 。

該監管機構還發現，另外兩家公司（Coop 和 Dagens Industries）使用 Google Analytics 的情況違反了歐盟關于向第三國傳輸數據的《通用數據保護條例》（GDPR）規則，但沒有對這些案件處以罰款。“在審計中，IMY 瑞典 DPA 認為通過谷歌統計工具傳輸到美國的數據屬于個人數據，因為這些數據可以與傳輸的其他獨特數據相關聯。監管機構還得出結論，這些公司采取的技術安全措施不足以確保基本上相當于歐盟/歐洲經濟區所保證的保護水平，”監管機構在一份聲明中寫道。

“所有四家公司都根據標準合同條款做出了通過 Google Analytics 傳輸個人數據的決定。從 IMY 的審計來看，這些公司的額外技術安全措施似乎都不夠充分。IMY 對 Tele2 處以 1,200 萬瑞典克朗的行政罰款，對 CDON 處以 30 萬瑞典克朗的行政罰款，后者沒有采取與 Coop 和 Dagens Industri 相同的廣泛保護措施。Tele2 最近主動停止使用該統計工具。IMY 命令其他三家公司停止使用該工具。”

在題為“公司必須停止使用Google Analytics”的博客文章中，監管機構補充說，這四項決定應被視為指導，并強調其更廣泛的影響。

去年，包括法國和意大利監管機構在內的一些歐盟 DPA 在發現一些用戶不遵守歐盟國際數據傳輸規則后，警告不要使用谷歌的分析工具。然而，根據非政府組織 noyb 的說法，其他監管機構尚未發布財務制裁，該組織是最初投訴的幕后黑手，似乎傾向于以更溫和的方式對如此熟悉的工具的用戶執行 GDPR，盡管這些工具都存在相同的數據傳輸問題。

noyb 最初的 101 起戰略投訴針對的是歐洲各地使用 Google Analytics 或類似 Facebook 服務的各種網站，此前歐盟法院于 2020 年 7 月做出了一項具有里程碑意義的裁決，該裁決在推翻其前身安全港協議幾年后，一項名為“隱私盾”的歐盟與美國數據傳輸協議無效。

歐盟和美國正在敲定第三項數據傳輸安排，稱為“歐盟-美國數據隱私框架”，預計將于本月晚些時候完成，至少在短期內將消除自歐盟法院駁回以來一直困擾歐盟-美國數據傳輸的法律不確定性。

盡管如此，預計即將出臺的框架將面臨法律挑戰，而且各個歐洲機構都擔心重新談判安排的各個方面不足以解決法官的擔憂。因此，歐盟隱私權與美國監控做法之間的沖突是否能得到高級別解決方案還有待觀察。

在評論瑞典監管機構決定對非法使用 Google Analytics noyb 的數據保護律師 Marco Blocher 進行首次處罰時，他表示：“我們對瑞典 DPA 的進一步澄清感到非常高興。同樣重要的是要看到罰款——這是讓其他公司遵守規定的唯一方法。”

文章翻譯自：techcrunch；原文鏈接：https://techcrunch.com/2023/07/03/google-analytics-sweden-gdpr-fines/