瑞典对两家公司处以百万欧元罚款，因其使用Google Analytics将数据传输至美国

瑞典隐私保护局（IMY）最近对两家公司处以了约100万欧元的罚款，原因是其使用谷歌工具向美国传输了个人数据。据瑞典隐私保护局官网公告，其共对四家公司使用Google Analytics的情况进行了审计调查，最后对其中两家公司处以了行政罚款。

瑞典隐私保护局解释称，这些公司使用Google Analytics生成网络统计数据，违反了欧盟的《通用数据保护条例》（GDPR）。具体而言，这些公司违反的是GDPR第46(1)条，该条禁止将个人数据传输至缺乏安全保障和法律补救机制的国家或国际组织。

据了解，Google Analytics是一种用于测量和分析网站流量的工具。瑞典隐私保护局在奥地利数字权利组织NOYB提出相关投诉后，对Google Analytics进行审计以确定它向美国发送的数据类型，最后得出结论其属于个人信息。

“通过谷歌的统计工具传输到美国的数据是个人数据，因为这些数据可以与其他传输的唯一数据相关联。” 瑞典隐私保护局还表示，这些公司采取的技术安全措施不足以确保与欧盟/欧洲经济区内所保证的保护水平基本相当。

根据《通用数据保护条例》，如果欧洲委员会已确定某国具有与欧盟/欧洲经济区内个人数据相当的充分保护水平，则个人数据允许转移到该国（欧盟/欧洲经济区以外的第三国）。然而，美国并不被视为具有此等充分保护水平的国家。

瑞典的电信和互联网服务提供商Tele2 SA最近已自行停止使用Google Analytics，其他三家公司也被要求在决定公布后一个月内停止使用Google Analytics，并实施适当的数据保护措施。

在此之前，欧盟其他国家（如意大利、法国、奥地利）也曾对Google Analytics的使用作出限制规定，但对违规的公司处以罚款这是第一次。

负责审计这些公司的法律顾问Sandra Arvidsson表示：“通过瑞典隐私保护局对这些案件作出的决定，清楚地表明在将个人数据转移到第三国（本例中为美国）时，对技术安全措施和其他措施的要求。” 他补充说：“本次判决不仅对这四家公司有影响，还对其他使用Google Analytics的组织具有指导意义。”