2020年7月16日，欧洲法院宣布“隐私盾”（Privacy Shield）——欧盟-美国间的数据传输协议无效。即使欧盟委员会和美国于2022年3月，宣布欧盟和美国已就跨大西洋数据流动的新框架达成 “原则性共识”。然而由于这在现阶段只是一个政治声明，因此不构成组织可以依赖的向美国传输数据的法律框架。

　　在发现一个本地网站使用Google Analytics工具违反欧盟法律后，法国数据保护监督机构CNIL发布了关于Google Analytics使用的最新指南。

　　简单来说，欧盟对Google Analytics工具的使用是否合法，取决于相关用户数据是否被转移到美国境内访问与处理。而在隐私盾失效后，欧盟个人数据的传输缺乏足够的法律保护，美国情报机构有可能非法获取欧洲人的数据。因此，欧盟网站要么改变他们对Google Analytics的使用，要么承担监管执法的风险。

　　根据CNIL的通知文件，任何使用Google Analytics的网站在收到监管机构通知后，都有一个月的时间来整改。此外，文件阐述了CNIL对于如何使用Google Analytics的常见问题解答。

　　1、应该在CNIL发布的正式通知中记住什么？

　　只有制定额外的技术、法律和组织保护措施防止境外访问后，才能允许数据传输。

　　2020年8月，NOYB协会（None of YourBusiness）向各欧洲数据保护机构提出了101起投诉，涉及使用广泛的受众分析工具Google Analytics。在2022年2月10日发布的正式通知中，CNIL认为谷歌采取的措施不足以排除美国访问欧洲居民数据的可能性，欧洲互联网用户的数据可以通过该工具被非法传输。

　　2、使用标准合同条款和附加保证后，是否允许使用谷歌分析？

　　CNIL强调，标准的合同条款也不足以弥补数据传输方面的法律空白，因为不可能对Google Analytics进行配置，使其不将欧洲人的个人数据转移到集团外。

　　收到正式通知的组织如果已经与谷歌建立了标准合同条款。这些标准合同条款本身不能确保在外国当局要求访问欧盟用户数据时提供足够的保护，特别是当地法律规定了访问权限的时候。虽然谷歌在回应CNIL的要求时表示已经采取额外的技术措施，但这些措施被认为不足以有效保护所传输的个人数据，特别是针对美国情报部门的数据访问请求。

　　3、是否可以设置Google Analytics工具，以免将个人数据传输到欧盟以外？

　　谷歌表示通过Google Analytics收集的所有数据都托管在美国。即使没有转移，使用受非欧盟管辖的公司提供的解决方案也可能在获取数据方面造成困难。事实上，第三国当局可能会要求各组织披露托管在位于欧盟的服务器上的个人数据。

　　4、是否可以将Google Analytics设置为仅将匿名数据传输到美国？

　　在正式通知中，谷歌表示使用了假名化而不是匿名化措施。谷歌确实提供了IP地址的匿名化，但这并不适用于所有传输。此外，从谷歌提供的证据来看，并不清楚这种匿名化是否在转移到美国之前发生。

　　此外，使用独特的标识符来区分个人，可以使数据具有可识别性，特别是当与其他信息（如浏览器和操作系统元数据）相结合时。这些数据某些情况下可以跨多个单独的设备精确跟踪用户。

　　最后，将Google Analytics与其他谷歌服务（特别是营销服务）联合使用，可能会增加跟踪风险。事实上，在法国广泛使用的服务可以让IP地址被交叉检查，从而追踪大量互联网用户在网站上的浏览记录。

　　5、加密是否足以成为额外的保证？

　　位于欧盟的Google Analytics用户为使用该工具而不违反法律，可能采取的额外保障措施仅限于加密（但只有在密钥由数据出口商或在提供适当保护水平的地区设立的其他实体独家控制的情况下）或代理服务器。

　　在某些条件下，加密可以成为额外的保证。但事实证明，谷歌实施数据加密的技术措施不充分。由于谷歌保留了在明确的情况下访问个人数据的可能性，在这种情况下，这种技术措施不能被视为有效。因此，如果受美国当局要求的机构能够以明确的文本访问个人数据，则该加密不足以提供额外的保证。

　　6、是否可以在个人明确同意的情况下继续传输数据？

　　监管机构建议，在个人明确同意的情况下传输数据只能是非系统性传输，不能构成持久和长期的解决方案。

　　*来源：CNIL

　　CYBER RESEARCH INSTITUTE