瑞典隐私保护局(IMY)于 2023 年 7 月 3 日认定 CDON、Coop、Dagens Industri、Tele2 四家企业通过 Google Analytics 将用户个人数据传输至美国违反 GDPR,对 Tele2 罚款 1200 万瑞典克朗(约 110 万美元)、对 CDON 罚 30 万瑞典克朗(约 3 万美元),并裁令仍在使用该工具的企业停用。关键认定是:即便签署了标准合同条款(SCC),在美国法律保护不足的情况下,仍需在 SCC 之外采取额外保障措施。
TL;DR
事件起因是 IMY 接到欧洲数字权利组织 NOYB(None of Your Business)的投诉,指控这些企业违法向美国传输个人数据。IMY 审计后认为,通过 Google Analytics 传输到美国的数据可关联识别到个体,属个人数据;四家企业虽以签署 SCC 为由进行传输,但在 SCC 之外还需额外保障措施。据此,IMY 对 Tele2、CDON 处以罚款,其中 Tele2 已主动停用 Google Analytics,IMY 同时裁令其余三家停用。谷歌回应称 Google Analytics 无法识别或跟踪线上个人,其用途仅限于帮助网站了解访问者情况。
IMY 的调查可追溯至 2020 年欧盟法院的 Schrems II 判决——该判决因美国情报机关可能获取用户数据、且欧盟公民在美国缺乏有效司法救济,宣布用于欧美跨境传输的“隐私盾”无效。尽管隐私盾失效,许多公司仍以其为依据继续传输,NOYB 随即在 27 个欧盟成员国及另外 3 个欧洲经济区国家向 101 个数据控制者提出投诉。
按 GDPR 第五章,跨境转移须满足充分性认定(第 45 条)或适当保障措施(第 46 条)等条件。由于安全港的充分性认定被判无效,无法以第 45 条为依据向美国传输;Schrems II 虽未否定 SCC 作为转移工具,但指出 SCC 在对第三国当局没有约束力时,无法在实践中确保充分保护。因此,若评估认为工具应达到的保护水平在实践中无法维持,数据出口方必须暂停传输,或采取合同、技术、组织层面的额外保障措施。负责本案的法律顾问 Sandra Arvidsson 表示,这一决定为所有使用 Google Analytics 的组织敲响了警钟。同一年,Meta 因仅靠 SCC 转移欧盟数据被罚 12 亿欧元 也印证了同样的逻辑。
欧盟各监管机构对 Google Analytics 的态度趋同:2022 年初,法国监管机构以本地网站使用 Google Analytics 违反 GDPR 为由要求其停用或改用替代工具;更早前一家奥地利网站也因此被认定违规;丹麦和挪威的数据保护局也表明可能持类似立场。对仍打算在欧洲经济区使用该工具的运营商,可考虑的措施包括:
Cookie 同意的具体执法标准,可参考法国 CNIL 对谷歌 Cookie 同意的处罚 ;NOYB 对中国企业的类似跨境投诉,见NOYB 投诉六家中国公司的数据跨境违规 ;转移影响评估的操作,参考CNIL 的数据转移影响评估(TIA)指南 。
2023 年 7 月 10 日,欧盟委员会通过实施决定,规定参与欧盟-美国数据隐私框架(EU-US DPF)的美国商业实体可接收来自欧盟/欧洲经济区的个人数据,为欧美跨境传输提供了新的合规路径。但企业能否据此自由传输、还需配套哪些措施,取决于是否加入框架清单及后续实施情况——详见欧盟-美国数据隐私框架 DPF 正式生效 。