瑞典隐私保护局(Swedish Authority for Privacy Protection,IMY)周一(7/3)宣布,已要求境内4家企业停止使用谷歌的网站流量分析工具谷歌 Analytics,同时针对其中的两家业者Tele2及CDON,分别祭出1,200万瑞典克朗及30万瑞典克朗的罚款,原因是这些企业透过谷歌 Analytics把瑞典民众的数据传输至美国,违反了欧盟隐私法GDPR。
谷歌 Analytics是谷歌在2005年推出的工具,为谷歌营销平台(谷歌 Marketing Platform)的其中一项功能,可用来追踪网站上的各式活动,例如停留时间、网页浏览数量、用户跳出率(Bounce rate),以及流量来源等。
IMY的审计行动源自于非营利的欧洲数字权利中心NOYB(None of Your Business)的投诉,因为欧盟法院已于2020年废除了欧盟与美国之间的《隐私盾》(Privacy Shield)数据传输保护协议,NOYB指控CDON、Coop、Dagens Industri与Tele2等4家瑞典企业违反该裁决, 将个人资料传送至美国。
IMY指出,根据欧盟隐私法GDPR的规定,个人数据得以传输到第三方国家的前提是,对方与欧盟拥有一致的个人资料保护法令,但欧盟法院的上述裁决已排除了美国。
而IMY的审计也发现,藉由谷歌 Analytics传送到美国的数据为个人资料,且这些瑞典业者所采取的技术安全措施皆不足以达到欧盟的标准,其中,Tele2与CDON更未采取与另两家业者同样的广泛保护,因而处以行政罚款。
目前Tele2已主动停用谷歌 Analytics,IMY亦要求其它3家业者不再使用该工具。 负责执行此一稽核行动的第三方顾问Sandra Arvidsson则说,此一决定可能会影响其它采用谷歌 Analytics的瑞典业者。
瑞典并不是第一个认为谷歌 Analytics违反GDPR的国家,先前奥地利也曾出现类似的判例。
