如果数据保护水平得到充分保障,数据仍然可以输出到欧盟以外。欧盟的一些贸易伙伴,例如新西兰、日本、瑞士和加拿大,就是这种情况。这些国家已获得欧盟认证,被认为拥有同等水平的隐私保护,因此在国家层面上具有充分性。
必要的数据仍然可以流向美国等国家
例如,有人在美国预订酒店或向美国 手机号码数据 境内的某人发送电子邮件时,数据仍可流向美国。灾难恢复备份和大数据还能被导出到多数其他原因的备份不属于必要。
在所有其他情况下,如果您获得用户明确的知情同意,您仍然可以将数据发送到美国等国家/地区。这意味着用户已被告知将数据发送到美国的所有潜在风险以及谁可以访问这些数据(例如美国政府)。
这对 Google Analytics 和 Google Tag Manager 用户有何影响
如果您的网站正在使用 Google Analytics(谷歌分析),最安全的做法是立即停用它。否则, 您必须征求所有访问您网站的用户的同意,并告知他们数据将在美国根据较为宽松的隐私法进行处理,并承担所有相关风险。如果您不这样做,您可能会因违反隐私法而承担责任,并因不遵守 GDPR 而面临罚款。这同样适用于 Google Tag Manager,因为它会将 IP 地址传输到美国,而 IP 地址在 GDPR 下被视为个人数据。
同意需要:
- 自由给予(用户必须有选择不同意的权利,并且能够随时选择退出)
- 知情(您需要披露谁在处理数据、处理哪些数数 以减少用户的摩擦并确 据还能被导出到据、数据将存储在何处以及如何选择退出)
- 特定(同意仅对特定知情目的有效)
- 明确(例如不允许预先勾选的框或类似内容)
如果用户不同意,您不得使用 Google Analytics 或任何其他基于美国的云解决方案来跟踪他们。
2020年8月19日更新
此项裁决一个月后,欧洲隐私保护组织 noyb已针 不丹商业指南 继续通过 Google Analytics 或 Facebook 向美国发送数据的网站提起了 100 多起投诉。谷歌和 Facebook 显然受到美国监控法律(例如《外国情报监视法》(FISA) 第 702 条)的约束,法院明确裁定这些公司不得依赖 SCC 将数据传输到美国。任何仍在使用 Google Analytics 的用户现在都面临罚款和赔偿损失的风险。