大家好,我是 Eric。
日前開源追蹤軟體 Matomo 的部落格文章指出,奧地利的資料保護局正式聲明,對於在奧地利境內的網路服務提供者,或是針對奧地利居民提供服務的供應商,使用 Google Analytics (以下簡稱 GA) 是違反歐盟一般資料保護規則 (General Data Protection Regulation,以下簡稱 GDPR) 的。
儘管 Google 當時因應 GDPR 做出對隱私權管理的說明,但本次的判決仍然認為 GA 仍有違反 GDPR 規範的疑慮。
由於 GDPR 是歐盟針對個人資料保護的一般性規範,一旦會員國之一的奧地利認定違法,其他會員國將很有可能引用同樣的判決結果,進一步限制 GA 在歐盟地區的使用。如此一來,對於希望發展國際市場的非歐盟區廠商來說,將會帶來巨大的影響。
今天這篇文章,將與大家分享這次判決的形成背景、Google 的回應,以及身為網站站長該如何因應。希望能夠為關注網站隱私權政策議題的行銷人員帶來幫助。
判決背景:2020 歐盟 Schrems II 判決
造成本次判決的主要背景,是源於 2020 年的 Schrems II 判決。在該判決中,歐盟法院 (the Court of Justice of the European Union,簡稱 CJEU) 認為歐洲議會 (European Commission) 與美國作成的隱私護盾議決 (Privacy Shield Decision) 違法,因為美國的監管法規中指出,美國境內的企業有義務將個人資料提供予聯邦政府。
隱私權護盾是一個資料傳輸框架,允許歐盟國將資料傳送到美國公司。一直以來,這個框架是大型企業如 Facebook 與 Google 具有蒐集資料正當性的重要依據,然而 Schrems II 判決宣告這項議決違法。
在這次的案例中,由 noyb (My Privacy is None of Your Business) 這個機構注意到使用者的 IP 位址 (在 GDPR 中屬於個人資料) 經由 GA 的 Cookies 傳遞至美國。由於隱私權護盾已經宣告違法,因此這項資料傳輸並無正當性,因此奧地利的資料保護局決定,於奧國境內的網站,或是以奧地利國民作為服務對象的企業,不得使用 GA。
Google 回應:歐盟與美國應重新制訂資料傳輸框架
對此,Google 的首席法務長 (Chief Legal Officer,CLO) Kent Walker 指出,歐盟與美國應該重新制定資料傳輸的框架。
Walker 指出,Google 提供分析服務迄今已超過 15 年,而這 15 年間,從未發生過奧地利資料保護局所猜測的,向政府提供個人資料的情形。此外,歐盟的 Schrems II 判決,也並未針對這種僅僅因為「或許會發生」由政府要求而造成的資料曝光,強加任何硬性的標準。換句話說,Walker 認為奧地利資料保護局的判決,超譯了 Schrems II 判決,而他也認為 Google 已經做好合理的資料保護措施。
此外,Walker 在文章中也指出,資料傳輸可謂當代經濟的重要支柱,舉凡購物、協作、顧客管理等,現代人的生活與資料密不可分。對於此次的判決,Walker 認為歐美雙方,應該要重新商討隱私權護盾的替代方案,作為具有持續效力的資料傳輸框架。
結語:該注意什麼?下一步該怎麼做?
這次的判決意味著歐盟各國的資料保護局,可能會開始進一步檢視跨境資料傳輸是否符合 GDPR 的規範。如果網站服務 (伺服器) 設立於奧地利,或是你的網站有針對奧地利人提供服務,那麼根據這項判決,站長須立即移除網站的 GA。
有了這次的判決作為背書,noyb 下一步或許會針對歐盟的其他國家提出告訴,可以預見未來對於網站追蹤與隱私權保護之間,將會面臨更多的挑戰。
此外,作為 Google Analytics 競爭者,Matomo 也在文章中指出使用 Matomo Analytics 作為追蹤服務的替代方案。如果希望能夠更進一步掌握自己的使用者資料,想要架設、使用 Matomo Analytics 的話,也可以與我們聯繫,我們可以協助你建置屬於自己的 Matomo 資源。
參考資料
- Austria: DPA Finds Use of Google Analytics an Unlawful Transfer of Personal Data
- Google Analytics Now Illegal in Austria; Other EU Member States Expected to Follow
- Google calls for a secure ‘data transfer framework’ between the US and EU
- It’s time for a new EU-US data transfer framework
- The CJEU judgment in the Schrems II case
- Google Analytics (分析) 中的隱私權管理
從這裡聯絡 applemint!
