作为 2018 年 GDPR 准备工作的一部分,谷歌将其爱尔兰实体(Google Ireland Limited)指定为“数据控制者”,对 EEA 和瑞士用户的信息负有法律责任。
该公司公告称:
最初,谷歌认为这一法律变化将有助于他们确保遵守 GDPR,因为“从法律上讲”设立了一个欧洲实体来负责欧洲数据。
然而,实际上,EEA 消费者隐私盾无效裁定 的数据 whatsApp 号码数据 仍然主要在美国传输和处理——谷歌的大多数数据中心都位于美国。直到 2020 年,由于“隐私护盾”框架的存在,此类跨境数据传输才被视为合法。
但2020年7月,欧盟法院裁定,该框架未能为数字传输数据提供充分的数据保护,使其免受美国监控法的侵害。因此,像谷歌这样的公司将无隐私盾无效裁定 法再使用该框架。瑞士联邦数据保护和信息专员办公室(FDPIC)在2020年9月也得出了同样的结论。
隐私盾框架的失效让谷歌陷入了困境。
GDPR 第 14 条 f 款明确规定: 控制者(公司)如果打算将个人数据传输给第三国或国际组织的接收者(分析解决方案),必须向其用户提 些功能可以帮助您保持领先地位 供有关其数据处理和存储地点的信息”。
隐私护盾框架失效,禁止谷歌将隐私盾无效裁定 数据转移到美国。与此同时,GDPR条款规定谷歌必须披露正确的数据位置。
但是 Google Analytics(与许多其他产品一样)没有以下机制:
- 保障欧盟内部数据存储
- 选择指定的区域存储位置
- 告知用户欧盟以外的数据存储位置或数据传输
这些因素使得 Google Analytics 直接违反了 GDPR,并且该规定到 2022 年仍然有效。
2020-2022 年: Google GDPR 违规行为及罚款
2020 年的裁决使谷歌面临来自特定国家数据监管机构的 GDPR 诉讼。
尤其是 Google Analytics 正处于严重停火之中。
- 瑞典于 2020 年首次对谷歌处 马来西亚号码 以隐私盾无效裁定 罚款,原因是该公司未能履行要求数据移除的义务,违反了 GDPR。
- 法国拒绝承认谷歌分析4的IP地址匿名功能足以保护跨境数据传输。即便如此,美国情报机构仍然可以访问用户IP地址和其他个人身份信息(PII)。法国宣布谷歌分析非法,并处以1.5亿欧元罚款。
- 奥地利还认定谷歌分析(Google Analytics)不符合《通用数据保护条例》(GDPR),并宣布该服务“非法”。该机构目前也寻求对其处以罚款。
荷兰数据保护局和 挪威数据保护局也发现 Google Analytics 违反了 GDPR,并试图限制 Google Analytics 的使用。
Google Analytics 4 中的新隐私控制并不能解决根本问题——不受监管、未经同意的欧盟-美国数据传输。