瑞典隐私监管机构警告停止使用 Google Analytics，因此该机构将处以超过 100 万美元的罚款

导读：瑞典数据保护监管机构对通过谷歌分析导出欧洲用户数据的行为开出了几项罚款，该机构发现，由于美国政府监控带来的风险，谷歌分析违反了欧盟的隐私规则。

瑞典数据保护监管机构对通过谷歌分析导出欧洲用户数据的行为开出了几项罚款，该机构发现，由于美国政府监控带来的风险，谷歌分析违反了欧盟的隐私规则。它还警告其他公司不要使用谷歌的工具。

这些罚款——瑞典电信公司 Tele2 略高于 110 万美元，当地在线零售商 CDON 不到 3 万美元——引人注目，因为这是2020 年 8 月针对 Google Analytics（和 Facebook Connect）的一系列战略隐私投诉之后首次此类罚款。

监管机构发现，谷歌对欧洲用户发送到美国进行处理的数据采取的所谓补充措施不足以将保护水平提高到所需的法律标准。包括谷歌在 Tele2 案件中使用 IP 地址截断（匿名化措施）的情况，它表示该公司没有澄清截断是在将数据传输到美国之前还是之后进行的，因此未能证明“在最后一个八位字节被截断之前没有可能访问整个 IP 地址”。

该监管机构还发现，另外两家公司（Coop 和 Dagens Industries）使用 Google Analytics 的情况违反了欧盟关于向第三国传输数据的《通用数据保护条例》（GDPR）规则，但没有对这些案件处以罚款。“在审计中，IMY 瑞典 DPA 认为通过谷歌统计工具传输到美国的数据属于个人数据，因为这些数据可以与传输的其他独特数据相关联。监管机构还得出结论，这些公司采取的技术安全措施不足以确保基本上相当于欧盟/欧洲经济区所保证的保护水平，”监管机构在一份声明中写道。

“所有四家公司都根据标准合同条款做出了通过 Google Analytics 传输个人数据的决定。从 IMY 的审计来看，这些公司的额外技术安全措施似乎都不够充分。IMY 对 Tele2 处以 1,200 万瑞典克朗的行政罚款，对 CDON 处以 30 万瑞典克朗的行政罚款，后者没有采取与 Coop 和 Dagens Industri 相同的广泛保护措施。Tele2 最近主动停止使用该统计工具。IMY 命令其他三家公司停止使用该工具。”

在题为“公司必须停止使用Google Analytics”的博客文章中，监管机构补充说，这四项决定应被视为指导，并强调其更广泛的影响。

去年，包括法国和意大利监管机构在内的一些欧盟 DPA在发现一些用户不遵守欧盟国际数据传输规则后，警告不要使用谷歌的分析工具。然而，根据非政府组织 noyb 的说法，其他监管机构尚未发布财务制裁，该组织是最初投诉的幕后黑手，似乎倾向于以更温和的方式对如此熟悉的工具的用户执行 GDPR，尽管这些工具都存在相同的数据传输问题。

noyb 最初的 101 起战略投诉针对的是欧洲各地使用 Google Analytics 或类似 Facebook 服务的各种网站，此前欧盟法院于 2020 年 7 月做出了一项具有里程碑意义的裁决，该裁决在推翻其前身安全港协议几年后，一项名为“隐私盾”的欧盟与美国数据传输协议无效。

欧盟和美国正在敲定第三项数据传输安排，称为“欧盟-美国数据隐私框架”，预计将于本月晚些时候完成，至少在短期内将消除自欧盟法院驳回以来一直困扰欧盟-美国数据传输的法律不确定性。

尽管如此，预计即将出台的框架将面临法律挑战，而且各个欧洲机构都担心重新谈判安排的各个方面不足以解决法官的担忧。因此，欧盟隐私权与美国监控做法之间的冲突是否能得到高级别解决方案还有待观察。

在评论瑞典监管机构决定对非法使用 Google Analytics noyb 的数据保护律师 Marco Blocher 进行首次处罚时，他表示：“我们对瑞典 DPA 的进一步澄清感到非常高兴。同样重要的是要看到罚款——这是让其他公司遵守规定的唯一方法。”

文章翻译自：techcrunch；原文链接：https://techcrunch.com/2023/07/03/google-analytics-sweden-gdpr-fines/