挪威数据保护局Datatilsynet(Norwegian DPA)得出结论,两个州机构使用网站分析工具Google Analytics(分析)违反了挪威的数据保护法。这两个州机构-税收管理局和州教育贷款基金会-无法说明Google Analytics(分析)的工作方式,发现Google的隐私政策与州机构的隐私政策之间存在脱节。

Google Analytics(分析)是一种网站工具,可让组织创建有关访问者和用户如何使用网站的报告,并分析访问者和用户的行为。 Google Analytics(分析)得到了广泛的使用,包括其他一些欧洲的数据保护机构,例如英国信息专员办公室。

Google Analytics(分析)收集访问者IP地址的一部分,欧洲法院在2011年认为,该地址是个人数据。挪威DPA发现应该认为这些机构可以控制通过Google Analytics(分析)Cookie收集的信息,但是看来数据实际上是由Google收集的,因此使Google(而不是国家机构)成为数据控制者。此外,挪威DPA判定这两个州机构都无法证明提供给Google的数据是匿名的,或者其使用仅限于统计目的。代理商’无条件接受条款和条件似乎意味着Google可以使用IP地址提供其他服务,从而使他们可以从许多不同的网站上收集有关访问者的个人信息,从而潜在地识别用户。

DPA认为Google应该充当每个代理机构的数据处理者;已要求两家机构更正其网站上的信息;并已要求对收集到的所有IP地址进行匿名处理,并且仅用于分析。这两个州组织现在都有机会回应DPA’在做出最终裁决之前的发现。

这是它在EEA中的性质的第一个裁定,从某些方面来说,这是令人惊讶的,因为Google Analytics(分析)Cookie对IP地址的收集往往受地理区域的限制,而不是由整个IP地址组成。最终裁决将值得关注,包括在整个EEA中是否会与其他国家主管部门就使用Google Analytics(分析)做出类似决定产生连锁反应。