谷歌分析在欧盟是非法的吗?

在欧洲,以合法合规的方式使用谷歌分析仍然是可能的。在此,我们解释一下如何。

Google Analytics now banned in Europe.

曾成功起诉Facebook侵犯欧洲公民隐私的律师Max Schrems取得了另一场胜利,这次是针对谷歌。在两个具有里程碑意义的法院裁决中,奥地利的数据保护机构以及法国的隐私监督机构已经发现,在欧洲网站上使用谷歌分析是非法的。丹麦和挪威的数据保护机构现在已经解释了如何在欧盟以合法的方式使用谷歌分析。


2022年初,奥地利和法国的隐私监督机构已经宣布,由于侵犯隐私,使用谷歌分析对欧洲公司来说是非法的。现在,挪威和丹麦的数据保护局已经解释了公司如何以合法的方式继续使用谷歌分析。

挪威数据保护局解释说。

“自从我们的欧洲同事作出决定后,我们仔细研究了这个工具以及如果你想使用谷歌分析,你可以使用的具体设置。特别是在奥地利的第一个决定之后,谷歌已经开始对可以通过该工具收集的信息进行额外的设置。然而,结论仍然是该工具不能被合法使用”。

那么,谷歌分析在欧洲是非法的吗?

是的,也不是。欧洲公司 “按原样 “使用谷歌分析是非法的。通过应用假名化等技术措施,仍有可能在遵守GDPR的情况下使用谷歌分析。

如何在遵守GDPR的情况下使用GA?

在使用谷歌分析时,必须考虑到的一个可能的技术措施是假名化。根据欧洲GDPR的要求,谷歌必须不能发现他们看到的是谁的数据。这包括人们的IP地址,但也包括其他可以对一个人的身份得出结论的信息。

因此,为了在向谷歌发送数据之前对其进行清理,欧洲公司必须通过反向代理发送数据。

以下是法国CNIL关于如何通过代理将分析数据发送给谷歌的详细说明。

然而,这说起来容易,做起来难。CNIL(国家信息与自由委员会)描述的解决方案是一个复杂的技术混乱。

这个想法是,公司可以通过他们控制的位于欧盟的服务器,而不是将所有谷歌分析的流量直接发送到谷歌的服务器。

为了符合GDPR的隐私要求,欧盟公司还必须清除数据中的任何个人身份信息。

值得注意的是,CNIL的建议还指出,你需要擦除所有UTM查询参数,又称活动标识符。这一要求使谷歌分析的使用变得毫无意义。如果一个公司不能使用数据来发现哪个广告活动运行良好,哪个没有,那么他们为什么要使用谷歌分析?

幸运的是,在欧洲有很多谷歌分析的替代品,例如Matomo、Piwik、Plausible或Econda。

奥地利和法国的决定

继2022年2月奥地利的裁决后,法国的隐私监督机构CNIL也宣布Google Analytics违反了GDPR,因此必须被禁止。CNIL发表了一份声明。

“CNIL与欧洲同行合作,分析了通过该服务[谷歌分析]收集的数据被转移到美国的条件。CNIL认为这些转移是非法的,并命令一家法国网站经理遵守GDPR,如果有必要,在目前的条件下停止使用这项服务。“

隐私盾牌失效

Is Google Analytics illegal in Europe? Is Google Analytics illegal in Europe?

隐私保护立法在2020年失效时,这对在欧洲运营的美国在线服务产生了深远的影响。他们不再被允许将欧洲公民的数据转移到美国,因为这将使欧洲公民的数据容易受到美国的大规模监控—这明显违反了欧洲GDPR。

然而,硅谷的科技行业在很大程度上忽视了这一裁决。这现在导致了谷歌分析在欧洲被禁止的裁决。NOYB说。

“虽然这(=验证隐私保护)给科技行业带来了冲击波,但美国的供应商和欧盟的数据出口商在很大程度上忽略了这个案子。就像微软、Facebook或亚马逊一样,谷歌依靠所谓的 “标准合同条款 “继续传输数据,并安抚其欧洲商业伙伴。“

现在,奥地利数据保护局在宣布 “隐私保护 “无效时,与欧洲法院达成了相同的共识。它决定,使用谷歌分析是非法的,因为它违反了《通用数据保护条例》(GDPR)。谷歌 “受到美国情报部门的监视,可以被命令向他们披露欧洲公民的数据”。因此,欧洲公民的数据不得在大西洋彼岸转移。

奥地利法院的原始决定

原始决定的机器翻译

该法院案件是关于什么的?

2020年8月14日,一个谷歌用户访问了一个关于健康问题的奥地利网站。该网站使用谷歌分析,有关该用户的数据被传送到美国的谷歌。根据这些数据,谷歌能够推断出他或她是谁。

2020年8月18日,谷歌用户在数据保护组织NOYB的帮助下,向奥地利数据保护机构提出申诉。

现在,奥地利法院已经宣布谷歌分析的这种数据传输在欧洲是非法的。

数据没有得到充分的保护

目前的问题是,由于美国的CLOUD法案,美国当局能够要求谷歌、Facebook和其他美国供应商提供个人数据,即使他们在美国以外的地方运营,例如在欧洲。

因此,谷歌不能根据GDPR第44条提供足够的保护水平—这明显违反了欧洲数据保护的保障。网站运营商援引的标准合同条款也无济于事,欧洲法院(ECJ)在2020年关于 “隐私保护”(Schrems II)的决定中承认了这一点。

不需要数据滥用的证据

对谷歌分析的使用进行法律评估的决定性因素不是美国情报机构是否真的获得了数据,或者谷歌是否真的识别了用户。仅仅是在理论上已经可以做到这一点,就已经违反了GDPR的规定。

不过,谷歌用户可以在其谷歌账户中进行设置,阻止谷歌对其使用第三方网站进行详细评估。但这个功能的存在,证明了谷歌能够将使用数据与个人合并。

NOYB的最大成功

这项裁决是数据保护组织NOYB迄今为止最大的成功之一。因此,NOYB和Max Schrems对奥地利法院的裁决非常高兴。

“这是一个非常详细和合理的决定。底线是。公司不能再在欧洲使用美国的云服务。自从法院第二次确认这一点以来,现在已经过去1年半了,所以现在是法律也得到执行的时候了”。

这项裁决是Schrems的非营利组织NOYB在欧盟大多数成员国提起的101项诉讼中的第一项。

现在,关于禁止谷歌分析的类似决定预计将在德国、荷兰和其他欧盟成员国下降。

删除谷歌分析?

Tutanota - 作为一个注重用户隐私的安全电子邮件服务,从未使用过谷歌分析。

但现在,欧洲的许多公司必须问自己,他们是否应该从他们的网站上删除谷歌分析,或冒着违反GDPR的处罚。

从长远来看,将有两个选择。要么美国改变其监控法律以加强其科技业务,要么美国供应商将不得不把欧洲用户的数据托管在欧洲。

荷兰个人数据管理局(AP)—关于谷歌分析使用的两项决定仍在等待中—现在已经更新了自己关于 “谷歌分析的隐私友好设置 “的指南。

随着更新,AP发出了一个警告。

“请注意:谷歌分析的使用可能很快就不再被允许了”。

虽然丹麦和挪威数据保护当局现在解释了如何在欧洲以合法的方式使用谷歌分析,但由于其令人难以置信的复杂性,提出的解决方案并不可行。

结论

虽然硅谷的科技公司会找到一种方法,仍然在欧洲提供他们的服务—不管是哪种方式—但他们在隐私保护失效后采取的方法必须向欧洲企业发出几面红旗。

作为一家欧洲公司,不可能再将敏感的用户数据托付给谷歌等公司,这些公司故意无视欧洲的隐私法规,并冒着对其欧洲企业客户的高额罚款。

在讨论的案例中,对奥地利健康网站的罚款还没有决定,但在最坏的情况下,罚款是2000万欧元或年销售额的4%。

由于隐私对世界各地的消费者越来越重要,任何欧洲企业选择注重保护其用户隐私的服务都是合乎逻辑的。

谷歌分析的欧洲替代品有Matomo、Piwik、Plausible或Econda—仅举几例。

如果你想取代其他谷歌服务,请查看我们的指南,通过大量的谷歌替代品,在网上夺回你的隐私

例如,一个伟大的Gmail替代品是Tutanota,这是一个安全的德国电子邮件提供商,完全符合GDPR