欧盟委员会周一宣布,它通过了一项 关于欧盟与美国之间数据传输的新的充分性决定。
在此之前,该计划的第一版已被取消。 隐私保护 由欧洲联盟法院于 2020 年 7 月 16 日批准。
因此,欧洲和美国已就新的数据保护框架达成一致。原则上,这项新协议为欧盟公民提供了更大的安全保障和更多的补救机会。
这将为合法使用 Google Analytics 4 (GA4) 以及受该法规影响的许多其他工具铺平道路。
新协议引入了额外的保障措施,特别是限制美国情报机构获取欧盟公民的数据。新协议还设立了一个新的法院--数据保护审查法院(DPRC),欧盟公民可以向该法院就数据保护问题提出质疑。
不过,这一决定还不是永久性的,不能保证这两个实体之间所有数据传输的安全。
协议的持久性提出了问题
这项新协议是欧盟与美国之间一系列协议的一部分,其中两项协议曾被欧盟法院(CJEU)宣布无效。那么问题来了,这项新协议是否会遭遇与前几项协议类似的命运?
鉴于其中涉及的经济和政治利害关系,达成一项协议的愿望是非常现实的。欧盟委员会主席乌苏拉-冯德莱恩强调了这一决定的重要性,她说:"新的欧盟-美国数据保护框架将确保欧洲人的数据安全流动,并为大西洋两岸的企业提供法律确定性。
然而,也有一些人谴责该协议是对第一版隐私保护协议的不充分复制,例如由 Max Schrems 领导的组织 Noyb.eu,该组织曾成功地使第一版隐私保护协议被废除,该组织在其文章中指出 欧盟委员会给予欧盟美国数据传输第三轮欧盟法院裁决 认为"新的跨大西洋协议是之前已失效的《隐私保护协议》的翻版。这一方向的改变没有法律依据,只有政治逻辑。."... "美国根据《外国情报监视法》第 702 条进行大规模监视的根本问题尚未解决。美国仍然认为只有美国人才应享有宪法权利,这就把非美国人排除在这些保护之外"。 该组织正计划采取法律行动,在欧盟法院对这一决定提出质疑。该组织认为,这一新的协议尝试并没有解决根本问题,也没有尊重欧洲公民的权利。
只涉及某些组织
该决定并未不加区别地授权所有数据传输。它只涉及数据隐私框架中列出的组织、 其名单由 CNIL 提供
数据隐私框架是美国和欧盟之间的一项协议,旨在保护转移到美国的欧洲公民的个人数据。该协议以一系列美国组织必须遵守的原则为基础。
因此,具体到 Google Analytics,我们需要确认它将出现在本计划所列的组织中。
我们的建议:拭目以待
法国和欧洲的趋势显然不是放松个人数据保护标准。尽管 GA4 肯定会符合 RGPD 的要求,但截止日期尚不可知,其 "经典 "配置至今仍不符合要求(12/07/2023)。
2023 年 10 月 27 日更新:Google Analytics 已被列入授权实体名单,从而符合 GA4 (始终以用户同意为前提)
两个最有趣的备选方案
- 选择 Matomo Analytics Matomo 是 CNIL 推荐的产品,无需征得同意即可进行跟踪(接受 Cookie)。
- 通过代理服务器使用 Google Analytics 4:避免互联网用户终端与测量工具服务器(此处为 Google)之间的任何直接接触。正如 CNIL 在其文章中所建议的 谷歌分析和数据传输:如何使受众测量工具符合 RGPD?
