这个国家裁定,使用谷歌的分析工具非法
欧洲的《通用数据保护条例》(General Data Protection Regulation)实施已近四年,一直以来,社会普遍认为,只有那些大型科技企业才需要关心这项严苛的欧洲监管规定,而现在,所有使用美国云服务的欧洲组织都必须正视这个问题,从零售商到政府机构,概莫能外。
1月13日,欧洲的隐私维权人士宣称其在奥地利一起案件中取得了部分胜利。在这起案件中,当事人访问的健康相关网站使用了Google Analytics服务。Google Analytics是目前全球范围内使用最为广泛的企业级网站数据分析工具,能够帮助网站运营方追踪访客的浏览方式。
据奥地利数据保护局(Austrian Data Protection Authority)称,该网站的运营方将用户个人数据转移到美国谷歌公司(Google)的服务器上的行为违反了《通用数据保护条例》的有关规定。根据欧盟最高法院在2020年做出的一项权威裁决,在无法保证数据不会被美国情报机构获取的情况下,相关公司向美国公司发送个人数据属于非法行为。而根据美国的《外国情报监视法》(Foreign Intelligence Surveillance Act),没有一家美国公司可以提供这样的保证。
这项规定或将产生广泛影响。除了前述涉及到网站发布者的案件,专“叮”科技巨头的“牛虻”马克斯·施雷姆斯还带领隐私保护组织NOYB(“不关你的事”)发起了其他100起诉讼。在这种大规模攻势的影响之下,欧盟的数据保护部门或将对应对措施进行整合,也就是说,其他100起诉讼非常可能也将收到相似的处理结果。
如果此事成真,那么在如此强烈的抑制因素刺激之下,那些在欧洲运营的网站将很可能停止使用Google Analytics和其他美国公司的云服务。
“多米诺骨牌”
施雷姆斯于1月13日在接受《财富》杂志采访时表示:“我们在几乎所有(欧盟)成员国发起了这101项诉讼。有关部门成立了特别工作组,因此我们预计其他数据保护机构也将做出类似裁决。相关裁决或将像多米诺骨牌一样在一个个国家逐个落地。”
奥地利监管机构的该项裁决并未支持NOYB的全部诉求。尽管这家未具名网站发布者(据《财富》杂志了解,该出版商目前为一家德国媒体公司所有)被判败诉,但NOYB针对谷歌的部分诉讼也被监管机构驳回,理由是《通用数据保护条例》的相关规定仅对数据输出公司所需承担的法律义务做出了规定。
由于完整的裁决尚未公布,目前尚不清楚该网站发布者是否受到了罚款或任何其他处罚。
虽然奥地利是首个就上述101起诉讼做出裁决的国家,但在此之前,对欧盟顶级机构拥有管辖权的欧洲数据保护监督机构(European Data Protection Supervisor)已经于上周早些时候发布过一项类似裁决。该监督机构对欧洲议会(European Parliament)在内部网站上使用Google Analytics和Stripe支付服务安排新冠肺炎PCR测试的做法进行了处罚。
其他选项
谷歌在一份声明中表示,使用Google Analytics的公司和组织“能够控制该工具的数据收集目标和使用方式。”
该声明称:“谷歌可以通过提供一系列安全保障、控件和资源帮助客户满足合规要求。”,同时表示该工具包不会识别个人信息或跟踪个人用户在网络上的行为。
至于欧洲企业和组织现在应该如何行动,目前有几个潜在的解决方案。其一,停止使用美国公司提供的云服务。其二,美国进行实质性的监控改革,让美国云服务提供商能够保证他国个人用户的数据安全,就目前而言,这种情况几乎不可能在短期内发生。
其三,美国云服务提供商与当地公司进行合作,建立欧洲数据中心,然后由这些公司控制服务器上个人数据的访问权限。谷歌最近便宣布将携手当地IT巨头T-Systems为德国的企业客户提供此类服务。(财富中文网)
译者:梁宇
审校:夏林
欧洲的《通用数据保护条例》(General Data Protection Regulation)实施已近四年,一直以来,社会普遍认为,只有那些大型科技企业才需要关心这项严苛的欧洲监管规定,而现在,所有使用美国云服务的欧洲组织都必须正视这个问题,从零售商到政府机构,概莫能外。
1月13日,欧洲的隐私维权人士宣称其在奥地利一起案件中取得了部分胜利。在这起案件中,当事人访问的健康相关网站使用了Google Analytics服务。Google Analytics是目前全球范围内使用最为广泛的企业级网站数据分析工具,能够帮助网站运营方追踪访客的浏览方式。
据奥地利数据保护局(Austrian Data Protection Authority)称,该网站的运营方将用户个人数据转移到美国谷歌公司(Google)的服务器上的行为违反了《通用数据保护条例》的有关规定。根据欧盟最高法院在2020年做出的一项权威裁决,在无法保证数据不会被美国情报机构获取的情况下,相关公司向美国公司发送个人数据属于非法行为。而根据美国的《外国情报监视法》(Foreign Intelligence Surveillance Act),没有一家美国公司可以提供这样的保证。
这项规定或将产生广泛影响。除了前述涉及到网站发布者的案件,专“叮”科技巨头的“牛虻”马克斯·施雷姆斯还带领隐私保护组织NOYB(“不关你的事”)发起了其他100起诉讼。在这种大规模攻势的影响之下,欧盟的数据保护部门或将对应对措施进行整合,也就是说,其他100起诉讼非常可能也将收到相似的处理结果。
如果此事成真,那么在如此强烈的抑制因素刺激之下,那些在欧洲运营的网站将很可能停止使用Google Analytics和其他美国公司的云服务。
“多米诺骨牌”
施雷姆斯于1月13日在接受《财富》杂志采访时表示:“我们在几乎所有(欧盟)成员国发起了这101项诉讼。有关部门成立了特别工作组,因此我们预计其他数据保护机构也将做出类似裁决。相关裁决或将像多米诺骨牌一样在一个个国家逐个落地。”
奥地利监管机构的该项裁决并未支持NOYB的全部诉求。尽管这家未具名网站发布者(据《财富》杂志了解,该出版商目前为一家德国媒体公司所有)被判败诉,但NOYB针对谷歌的部分诉讼也被监管机构驳回,理由是《通用数据保护条例》的相关规定仅对数据输出公司所需承担的法律义务做出了规定。
由于完整的裁决尚未公布,目前尚不清楚该网站发布者是否受到了罚款或任何其他处罚。
虽然奥地利是首个就上述101起诉讼做出裁决的国家,但在此之前,对欧盟顶级机构拥有管辖权的欧洲数据保护监督机构(European Data Protection Supervisor)已经于上周早些时候发布过一项类似裁决。该监督机构对欧洲议会(European Parliament)在内部网站上使用Google Analytics和Stripe支付服务安排新冠肺炎PCR测试的做法进行了处罚。
其他选项
谷歌在一份声明中表示,使用Google Analytics的公司和组织“能够控制该工具的数据收集目标和使用方式。”
该声明称:“谷歌可以通过提供一系列安全保障、控件和资源帮助客户满足合规要求。”,同时表示该工具包不会识别个人信息或跟踪个人用户在网络上的行为。
至于欧洲企业和组织现在应该如何行动,目前有几个潜在的解决方案。其一,停止使用美国公司提供的云服务。其二,美国进行实质性的监控改革,让美国云服务提供商能够保证他国个人用户的数据安全,就目前而言,这种情况几乎不可能在短期内发生。
其三,美国云服务提供商与当地公司进行合作,建立欧洲数据中心,然后由这些公司控制服务器上个人数据的访问权限。谷歌最近便宣布将携手当地IT巨头T-Systems为德国的企业客户提供此类服务。(财富中文网)
译者:梁宇
审校:夏林
Europe's tough General Data Protection Regulation (GDPR) has mainly been seen as a problem for Big Tech, over the nearly four years in which it has been in effect. Now it's becoming a real problem for European customers of U.S. cloud services, from retailers to governments.
On January 13, European privacy campaigners claimed partial victory in an Austrian case involving someone who visited a health-related website that uses Google Analytics, the world's most widely deployed toolkit for website owners to track how people use their site.
According to the Austrian Data Protection Authority, the website's operators violated the GDPR by transferring the user's personal data to Google in the U.S. As established in a bombshell 2020 ruling by the EU's top court, sending personal data to a company in the U.S. is illegal if that company can't guarantee the data's safety from U.S. intelligence services. And thanks to the U.S.'s Foreign Intelligence Surveillance Act (FISA), no American company can provide that guarantee.
The implications could prove wide-reaching. While this complaint involved one website publisher, it was one of 101 complaints lodged at the same time, a year and a half ago, by Big Tech gadfly Max Schrems and his NOYB ("None of your business") privacy-advocacy group. That mass offensive prompted the EU's data protection authorities to coordinate their responses, so there is a strong likelihood that as many as 100 similar decisions are incoming.
If so, the upshot would be that websites operating in Europe have a strong disincentive to stop using Google Analytics and other U.S.-based cloud services.
“Dominoes falling”
"We have filed 101 complaints in basically every [EU] member state," Schrems told Fortune on January 13. "They formed a task force, so we expect the other [data protection authorities] to now come forward with similar decisions. This may be dominoes falling country by country now."
The ruling did not go entirely in NOYB's favor, because while the Austrian regulator decided against the unnamed website publisher—which Fortune understands is now owned by a German media house—it dismissed the part of the complaint targeting Google itself, reasoning that the relevant part of the GDPR placed legal obligations only on the company exporting the data.
It is also still unclear whether the website publisher received a fine or any other sanctions; the full decision has not yet been published.
While the Austrian decision is the first to address one of those 101 complaints, it follows a similar decision released earlier last week by the European Data Protection Supervisor (EDPS), which specifically has jurisdiction over top EU institutions. The watchdog sanctioned the European Parliament for using Google Analytics and the payments service Stripe on an internal website for arranging COVID-19 PCR tests.
Remaining options
Google said in a statement that the companies and organizations using Google Analytics "control what data is collected with these tools, and how it is used."
"Google helps by providing a range of safeguards, controls and resources for compliance," it said, adding that the toolkit does not identify individuals or track them across the web.
As for what European companies and organizations should do now, there are a few potential solutions. One is to stop using U.S. cloud services. Another would be for the U.S. to pass meaningful surveillance reforms that allow American cloud providers to guarantee the safety of foreigners' personal data—there is little sign of this happening anytime soon.
The other option would be for U.S. cloud providers to set up ring-fenced European data centers in partnership with local companies that then control access to the personal data held on the servers. As it happens, Google recently announced such a service for enterprise customers in Germany, with local IT giant T-Systems as its partner.
