這個國家裁定,使用谷歌的分析工具非法
David Meyer
2022-01-18
歐洲的《通用數據保護條例》(General Data Protection Regulation)實施已近四年,一直以來,社會普遍認為,只有那些大型科技企業才需要關心這項嚴苛的歐洲監管規定,而現在,所有使用美國云服務的歐洲組織都必須正視這個問題,從零售商到政府機構,概莫能外。
1月13日,歐洲的隱私維權人士宣稱其在奧地利一起案件中取得了部分勝利。在這起案件中,當事人訪問的健康相關網站使用了Google Analytics服務。Google Analytics是目前全球范圍內使用最為廣泛的企業級網站數據分析工具,能夠幫助網站運營方追蹤訪客的瀏覽方式。
據奧地利數據保護局(Austrian Data Protection Authority)稱,該網站的運營方將用戶個人數據轉移到美國谷歌公司(Google)的服務器上的行為違反了《通用數據保護條例》的有關規定。根據歐盟最高法院在2020年做出的一項權威裁決,在無法保證數據不會被美國情報機構獲取的情況下,相關公司向美國公司發送個人數據屬于非法行為。而根據美國的《外國情報監視法》(Foreign Intelligence Surveillance Act),沒有一家美國公司可以提供這樣的保證。
這項規定或將產生廣泛影響。除了前述涉及到網站發布者的案件,專“叮”科技巨頭的“牛虻”馬克斯·施雷姆斯還帶領隱私保護組織NOYB(“不關你的事”)發起了其他100起訴訟。在這種大規模攻勢的影響之下,歐盟的數據保護部門或將對應對措施進行整合,也就是說,其他100起訴訟非常可能也將收到相似的處理結果。
如果此事成真,那么在如此強烈的抑制因素刺激之下,那些在歐洲運營的網站將很可能停止使用Google Analytics和其他美國公司的云服務。
“多米諾骨牌”
施雷姆斯于1月13日在接受《財富》雜志采訪時表示:“我們在幾乎所有(歐盟)成員國發起了這101項訴訟。有關部門成立了特別工作組,因此我們預計其他數據保護機構也將做出類似裁決。相關裁決或將像多米諾骨牌一樣在一個個國家逐個落地。”
奧地利監管機構的該項裁決并未支持NOYB的全部訴求。盡管這家未具名網站發布者(據《財富》雜志了解,該出版商目前為一家德國媒體公司所有)被判敗訴,但NOYB針對谷歌的部分訴訟也被監管機構駁回,理由是《通用數據保護條例》的相關規定僅對數據輸出公司所需承擔的法律義務做出了規定。
由于完整的裁決尚未公布,目前尚不清楚該網站發布者是否受到了罰款或任何其他處罰。
雖然奧地利是首個就上述101起訴訟做出裁決的國家,但在此之前,對歐盟頂級機構擁有管轄權的歐洲數據保護監督機構(European Data Protection Supervisor)已經于上周早些時候發布過一項類似裁決。該監督機構對歐洲議會(European Parliament)在內部網站上使用Google Analytics和Stripe支付服務安排新冠肺炎PCR測試的做法進行了處罰。
其他選項
谷歌在一份聲明中表示,使用Google Analytics的公司和組織“能夠控制該工具的數據收集目標和使用方式。”
該聲明稱:“谷歌可以通過提供一系列安全保障、控件和資源幫助客戶滿足合規要求。”,同時表示該工具包不會識別個人信息或跟蹤個人用戶在網絡上的行為。
至于歐洲企業和組織現在應該如何行動,目前有幾個潛在的解決方案。其一,停止使用美國公司提供的云服務。其二,美國進行實質性的監控改革,讓美國云服務提供商能夠保證他國個人用戶的數據安全,就目前而言,這種情況幾乎不可能在短期內發生。
其三,美國云服務提供商與當地公司進行合作,建立歐洲數據中心,然后由這些公司控制服務器上個人數據的訪問權限。谷歌最近便宣布將攜手當地IT巨頭T-Systems為德國的企業客戶提供此類服務。(財富中文網)
譯者:梁宇
審校:夏林
歐洲的《通用數據保護條例》(General Data Protection Regulation)實施已近四年,一直以來,社會普遍認為,只有那些大型科技企業才需要關心這項嚴苛的歐洲監管規定,而現在,所有使用美國云服務的歐洲組織都必須正視這個問題,從零售商到政府機構,概莫能外。
1月13日,歐洲的隱私維權人士宣稱其在奧地利一起案件中取得了部分勝利。在這起案件中,當事人訪問的健康相關網站使用了Google Analytics服務。Google Analytics是目前全球范圍內使用最為廣泛的企業級網站數據分析工具,能夠幫助網站運營方追蹤訪客的瀏覽方式。
據奧地利數據保護局(Austrian Data Protection Authority)稱,該網站的運營方將用戶個人數據轉移到美國谷歌公司(Google)的服務器上的行為違反了《通用數據保護條例》的有關規定。根據歐盟最高法院在2020年做出的一項權威裁決,在無法保證數據不會被美國情報機構獲取的情況下,相關公司向美國公司發送個人數據屬于非法行為。而根據美國的《外國情報監視法》(Foreign Intelligence Surveillance Act),沒有一家美國公司可以提供這樣的保證。
這項規定或將產生廣泛影響。除了前述涉及到網站發布者的案件,專“叮”科技巨頭的“牛虻”馬克斯·施雷姆斯還帶領隱私保護組織NOYB(“不關你的事”)發起了其他100起訴訟。在這種大規模攻勢的影響之下,歐盟的數據保護部門或將對應對措施進行整合,也就是說,其他100起訴訟非常可能也將收到相似的處理結果。
如果此事成真,那么在如此強烈的抑制因素刺激之下,那些在歐洲運營的網站將很可能停止使用Google Analytics和其他美國公司的云服務。
“多米諾骨牌”
施雷姆斯于1月13日在接受《財富》雜志采訪時表示:“我們在幾乎所有(歐盟)成員國發起了這101項訴訟。有關部門成立了特別工作組,因此我們預計其他數據保護機構也將做出類似裁決。相關裁決或將像多米諾骨牌一樣在一個個國家逐個落地。”
奧地利監管機構的該項裁決并未支持NOYB的全部訴求。盡管這家未具名網站發布者(據《財富》雜志了解,該出版商目前為一家德國媒體公司所有)被判敗訴,但NOYB針對谷歌的部分訴訟也被監管機構駁回,理由是《通用數據保護條例》的相關規定僅對數據輸出公司所需承擔的法律義務做出了規定。
由于完整的裁決尚未公布,目前尚不清楚該網站發布者是否受到了罰款或任何其他處罰。
雖然奧地利是首個就上述101起訴訟做出裁決的國家,但在此之前,對歐盟頂級機構擁有管轄權的歐洲數據保護監督機構(European Data Protection Supervisor)已經于上周早些時候發布過一項類似裁決。該監督機構對歐洲議會(European Parliament)在內部網站上使用Google Analytics和Stripe支付服務安排新冠肺炎PCR測試的做法進行了處罰。
其他選項
谷歌在一份聲明中表示,使用Google Analytics的公司和組織“能夠控制該工具的數據收集目標和使用方式。”
該聲明稱:“谷歌可以通過提供一系列安全保障、控件和資源幫助客戶滿足合規要求。”,同時表示該工具包不會識別個人信息或跟蹤個人用戶在網絡上的行為。
至于歐洲企業和組織現在應該如何行動,目前有幾個潛在的解決方案。其一,停止使用美國公司提供的云服務。其二,美國進行實質性的監控改革,讓美國云服務提供商能夠保證他國個人用戶的數據安全,就目前而言,這種情況幾乎不可能在短期內發生。
其三,美國云服務提供商與當地公司進行合作,建立歐洲數據中心,然后由這些公司控制服務器上個人數據的訪問權限。谷歌最近便宣布將攜手當地IT巨頭T-Systems為德國的企業客戶提供此類服務。(財富中文網)
譯者:梁宇
審校:夏林
Europe's tough General Data Protection Regulation (GDPR) has mainly been seen as a problem for Big Tech, over the nearly four years in which it has been in effect. Now it's becoming a real problem for European customers of U.S. cloud services, from retailers to governments.
On January 13, European privacy campaigners claimed partial victory in an Austrian case involving someone who visited a health-related website that uses Google Analytics, the world's most widely deployed toolkit for website owners to track how people use their site.
According to the Austrian Data Protection Authority, the website's operators violated the GDPR by transferring the user's personal data to Google in the U.S. As established in a bombshell 2020 ruling by the EU's top court, sending personal data to a company in the U.S. is illegal if that company can't guarantee the data's safety from U.S. intelligence services. And thanks to the U.S.'s Foreign Intelligence Surveillance Act (FISA), no American company can provide that guarantee.
The implications could prove wide-reaching. While this complaint involved one website publisher, it was one of 101 complaints lodged at the same time, a year and a half ago, by Big Tech gadfly Max Schrems and his NOYB ("None of your business") privacy-advocacy group. That mass offensive prompted the EU's data protection authorities to coordinate their responses, so there is a strong likelihood that as many as 100 similar decisions are incoming.
If so, the upshot would be that websites operating in Europe have a strong disincentive to stop using Google Analytics and other U.S.-based cloud services.
“Dominoes falling”
"We have filed 101 complaints in basically every [EU] member state," Schrems told Fortune on January 13. "They formed a task force, so we expect the other [data protection authorities] to now come forward with similar decisions. This may be dominoes falling country by country now."
The ruling did not go entirely in NOYB's favor, because while the Austrian regulator decided against the unnamed website publisher—which Fortune understands is now owned by a German media house—it dismissed the part of the complaint targeting Google itself, reasoning that the relevant part of the GDPR placed legal obligations only on the company exporting the data.
It is also still unclear whether the website publisher received a fine or any other sanctions; the full decision has not yet been published.
While the Austrian decision is the first to address one of those 101 complaints, it follows a similar decision released earlier last week by the European Data Protection Supervisor (EDPS), which specifically has jurisdiction over top EU institutions. The watchdog sanctioned the European Parliament for using Google Analytics and the payments service Stripe on an internal website for arranging COVID-19 PCR tests.
Remaining options
Google said in a statement that the companies and organizations using Google Analytics "control what data is collected with these tools, and how it is used."
"Google helps by providing a range of safeguards, controls and resources for compliance," it said, adding that the toolkit does not identify individuals or track them across the web.
As for what European companies and organizations should do now, there are a few potential solutions. One is to stop using U.S. cloud services. Another would be for the U.S. to pass meaningful surveillance reforms that allow American cloud providers to guarantee the safety of foreigners' personal data—there is little sign of this happening anytime soon.
The other option would be for U.S. cloud providers to set up ring-fenced European data centers in partnership with local companies that then control access to the personal data held on the servers. As it happens, Google recently announced such a service for enterprise customers in Germany, with local IT giant T-Systems as its partner.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
