《欧洲通用数据保护条例》(GDPR,德语称为DSGVO,法语称为RGPD)生效已经四年了。
这是足够的时间来遵守法规,特别是对于谷歌这样一个庞大而创新的组织来说。真的是这样吗?
如果你想知道GDPR如何影响谷歌Analytics 4,以及目前的合规状况,下面是详细情况。
谷歌Analytics 4是否符合GDPR ?
不。截至2022年年中,谷歌Analytics 4 (GA4)尚未完全符合GDPR。尽管增加了额外的以隐私为重点的功能,但GA4在欧洲监管机构的地位仍然不明朗。2020年Privacy Shield框架失效后,谷歌尚未对欧盟和美国的数据保护进行监管。目前,该公司没有充分保护欧盟公民和居民的数据不受美国监控法律的影响。这直接违反了GDPR。
分析和GDPR:复杂的关系
自2018年GDPR生效以来,欧洲监管机构一直在审查谷歌。
虽然该公司采取了措施为GDPR条款做准备,但它并没有完全遵守有关用户数据存储、传输和安全的重要规定。
谷歌与欧盟监管机构之间的关系在欧盟法院(CJEU)之后变得更加激烈。使隐私护盾失效-用于欧盟-美国数据传输的回旋余地谷歌。2020年之后,针对谷歌的GDPR诉讼随之而来。
这篇文章总结了这个故事中的主要里程碑,并解释了谷歌Analytics用户的后果。
2018:谷歌Analytics符合GDPR
2018年,欧盟通过了一般数据保护条例(GDPR)-一套涵盖所有成员国的隐私和数据安全法律。所有与欧盟公民和/或居民打交道的企业都必须遵守。
GDPR协调了各成员国的数据保护法律,并对构成数据保护的内容做出了额外规定敏感个人资料(或PII).一般来说,PII包括有关个人的任何数据:
- 种族或民族出身
- 就业状况
- 宗教或政治信仰
- 健康状况
- 遗传或生物特征数据
- 财务记录(如付款方式数据)
- 地址及电话
在没有明确同意的情况下(甚至在某些情况下),企业不得收集这些信息。如果收集到这些敏感信息,这些信息在如何存储、保护、转移和使用方面也会受到严格的要求。
7 GDPR主要原则解释
GDPR第5条列出了GDPR关于个人数据和隐私保护的7项主要原则:
- 依法、公平、透明-资料必须合法取得、经同意及遵守法例收集。
- 目的限制-所有个人资料必须为特定的、明确的和合法的目的收集。
- 数据最小化-公司必须只收集必要和充分的数据,与规定的目的相一致。
- 精度-在任何时候都必须确保数据的准确性。公司必须建立机制,毫不拖延地删除或纠正不准确的数据。
- 存储的限制-数据只可在指定用途所建议的时间内储存。虽然数据存储没有时间上限。
- 完整性和机密性(安全)-公司必须采取措施确保数据存储安全,防止非法或未经授权的访问。
- 问责制-公司必须能够证明遵守上述原则。
谷歌声称已采取措施使其所有产品在截止日期前符合GDPR。但在实践中,情况并非总是如此。
2018年3月,a出版商集团警告谷歌没有为他们提供足够的工具来遵守GDPR:
“你们拒绝向出版商提供有关你们将如何收集、共享和使用数据的任何具体信息。如果不向出版商提供提供足够透明度或根据GDPR获得必要的具体、细粒度和知情同意所需的具体信息,将获得新同意的全部负担放在出版商身上是站不住脚的。”
2019:谷歌Analytics 4公告
整个2019年,谷歌正确地试图在所有产品上解决其GDPR的一些缺点,包括谷歌通用分析(UA)。
他们增加了一个更明显的在线跟踪的同意机制并为用户提供了额外的合规提示。在后台,谷歌还对其数据处理机制进行了技术更改,以符合法规的要求。
虽然谷歌解决了一些问题,但他们忽略了其他问题。一个2019年独立调查发现谷歌实时竞价(RTB)广告拍卖仍在未经同意的情况下使用欧盟公民和居民的数据,这要归功于一个名为“推送页面”的漏洞。但在指控上法庭之前,他们设法迅速解决了这一问题。
2019年11月,谷歌发布了测试版的新产品版本-谷歌分析,将取代通用分析。
GA4附带了一系列以隐私为重点的新功能,用于勾选GDPR框,例如:
- 数据删除机制。用户现在可以通过一个新接口请求从Analytics服务器中提取特定数据。
- 更短的数据保留周期。您现在可以将默认保留期默认缩短为2个月(而不是14个月)或添加自定义限制。
- IP匿名化。缺省情况下,GA4不记录或存储IP地址。
谷歌Analytics也更新了它的数据处理术语并对其进行了修改隐私政策.
虽然谷歌取得了一些进展,谷歌Analytics 4仍然有许多局限性-并且不符合GDPR。
最初,谷歌认为这一法律变化将帮助他们确保符合GDPR,因为“从法律上讲”,欧洲实体负责欧洲数据。
然而,实际上,EEA消费者的数据仍然主要在美国传输和处理——大多数谷歌数据中心都位于美国。直到2020年,这种跨境数据传输都被认为是合法的隐私保护框架.
但在2020年7月,The欧盟法院裁定该框架没有为数字传输的数据提供足够的数据保护,以对抗美国的监控法律。因此,像谷歌这样的公司不能再使用它。瑞士联邦数据保护和信息专员(FDPIC)得出了同样的结论2020年9月。
隐私盾框架的失效使谷歌处于一个艰难的位置。
第十四条。f的GDPR显式地声明:
“意图将个人数据传输给第三国或国际组织的接收方(Analytics解决方案)的控制者(公司)必须向其用户提供处理和存储其数据的地点的信息”。
隐私盾框架的失效禁止谷歌将数据转移到美国。与此同时,GDPR条款要求他们必须披露正确的数据位置。
但谷歌Analytics(像许多其他产品一样)没有一个机制:
- 保障欧盟内部数据存储
- 选择指定的区域存储位置
- 告知用户欧盟以外的数据存储位置或数据传输
这些因素使得谷歌Analytics直接违反了GDPR -这是一个领域,直到2022年他们仍然存在。
2020 - 2022:谷歌违反GDPR和罚款
2020年的裁决使谷歌面临来自特定国家数据监管机构的GDPR诉讼。
尤其是Analytics,处于严重的停火之下。
- 瑞典首先,谷歌违反了GDPR,没有履行在2020年要求数据退市的义务。
- 法国拒绝谷歌Analytics 4 IP地址匿名化功能作为保护跨境数据传输的充分措施。即使有了它,美国情报机构仍然可以访问用户的ip地址和其他个人信息。法国宣布谷歌Analytics违法,并处以1.5亿欧元罚款。
- 奥地利还发现谷歌Analytics不符合GDPR规定,并宣布该服务“非法”。当局现在也在寻求罚款。
荷兰数据保护局而且挪威数据保护局还发现谷歌Analytics违反了GDPR,并试图限制谷歌Analytics的使用。
谷歌Analytics 4中的新隐私控制并没有解决根本问题——不受监管的、未经双方同意的欧盟-美国数据传输。
不遵守GDPR将导致任何跟踪或分析欧洲访问者的网站受到法律迫害。
事实上,这已经发生了。noyb,一个专注于隐私保护的欧洲非政府组织,已经提交了申请超过100起诉讼针对使用谷歌Analytics的欧洲网站。
首先,美国并不急于修改其监控法律,而主要是愿意让它们与欧盟的监控法律“成比例”。这些修改可能仍然不能满足CJEU -它有权阻止协议审查或再次使其无效。
虽然这些问题正在得到解决,但谷歌Analytics的用户收集有关欧盟公民和/或居民的数据仍然很棘手。只要他们使用GA4,他们就会受到与gdpr相关的诉讼。
总结一下
- 谷歌Analytics 4和谷歌Universal Analytics不符合GDPR,因为隐私盾将在2020年失效。
- 法国和奥地利的数据监管机构称谷歌Analytics的操作是“非法的”。瑞典、荷兰和挪威当局也声称这违反了GDPR。
- 任何使用GA收集欧洲公民和/或居民数据的网站都可能因违反GDPR而被告上法庭(这已经发生了)。
- 监管欧盟-美国数据传输的Privacy Shield 2.0框架讨论才刚刚开始,可能需要数年时间。即使被接受,新的框架也可能再次被当地数据监管机构宣布无效,就像过去已经发生过的那样。
是时候获得符合GDPR的谷歌分析替代方案了
保留100%数亚博电竞首页据所有权是符合GDPR的最佳途径。
通过选择一个透明的网络分析解决方案,提供100%的数据所有权,您可以放心,没有“幕后”的数据收集,处理或传输发生。亚博电竞首页
不像谷歌Analytics 4, Matomo提供所有您需要符合GDPR的功能:
- 完全数据匿名化
- 单一用途的数据使用
- 易于同意和选择退出机制
- 默认使用第一方cookie
- 简单的访问收集数据
- 快速数据移除
- 基于欧盟的数据存储Matomo云(或储存在您选择的国家与Matomo内亚博账号每天2000元出租部)
以隐私为中心的方式了解您的受众,保护您的业务免受不必要的法律曝光。
2020年亚博论坛 (不需要信用卡)看看完全符合gdpr的网站分析是如何工作的!
21天免费试用。不需要信用卡。
