瑞典要求4家企業停止使用Google Analytics

瑞典隱私保護局（Swedish Authority for Privacy Protection，IMY）周一（7/3）宣布，已要求境內4家企業停止使用Google的網站流量分析工具Google Analytics，同時針對其中的兩家業者Tele2及CDON，分別祭出1,200萬瑞典克朗及30萬瑞典克朗的罰款，原因是這些企業透過Google Analytics把瑞典民眾的資料傳輸至美國，違反了歐盟隱私法GDPR。

Google Analytics是Google在2005年推出的工具，為Google行銷平臺（Google Marketing Platform）的其中一項功能，可用來追蹤網站上的各式活動，例如停留時間、網頁瀏覽數量、使用者跳出率（Bounce rate），以及流量來源等。

IMY的稽核行動源自於非營利的歐洲數位權利中心NOYB（None of Your Business）的投訴，因為歐盟法院已於2020年廢除了歐盟與美國之間的《隱私盾》（Privacy Shield）資料傳輸保護協議，NOYB指控CDON、Coop、Dagens Industri與Tele2等4家瑞典企業違反該裁決，將個人資料傳送至美國。

IMY指出，根據歐盟隱私法GDPR的規定，個人資料得以傳輸到第三方國家的前提是，對方與歐盟擁有一致的個人資料保護法令，但歐盟法院的上述裁決已排除了美國。

而IMY的稽核也發現，藉由Google Analytics傳送到美國的資料為個人資料，且這些瑞典業者所採取的技術安全措施皆不足以達到歐盟的標準，其中，Tele2與CDON更未採取與另兩家業者同樣的廣泛保護，因而處以行政罰款。

目前Tele2已主動停用Google Analytics，IMY亦要求其它3家業者不再使用該工具。負責執行此一稽核行動的第三方顧問Sandra Arvidsson則說，此一決定可能會影響其它採用Google Analytics的瑞典業者。

瑞典並不是第一個認為Google Analytics違反GDPR的國家，先前奧地利也曾出現類似的判例。