欧洲议会COVID-19筛检网站对Google等美国公司发出呼叫被控违反隐私法

欧洲议会一个为议员提供COVID-19筛检的网站，被发现植入cookie且连结Google等美国公司，被控违反隐私法。

民间隐私倡议机构noyb上周代替6名欧洲议员对欧洲资料防护监理机关（European Data Protection Supervisor，EDPS）提出申诉，欧洲资料主管机关将启动调查。

调查的对象是欧洲议会设立的COVID-19 聚合酶连锁反应（Polymerase Chain Reaction，PCR）检测内部网站，供欧洲议会员工及议员登记。但议员发现这个网站在未明白、清楚告知用户情况下将cookies植入用户电脑，且对第三方单位发送呼叫，包括美国的Google。

他们发现，这个网站对第三方单位发出150多项呼叫，呼叫对象包括Google及美国金流服务业者Strip。Noyb指出，欧盟法院曾判决，欧盟区内的个人资料必须在严格规定下才能传给美国，而任何网站也禁止将欧盟公民的个人资料传送给个资防护低落的美国。而Stripe及Google作为美国公司，显然也都受制于美国监控法规，美国法令允许监控欧盟公民。他们认为此举发生在欧洲议员及议会员工尤其重大，使用美国厂商的服务将使美国-得以存取欧洲议员及议会员工资料，要求EDPS禁止违反欧盟法令的行为。

不过由于这只是登记检测的网站，因此传送出去的呼叫并不包含用户个资。

此外，网站也被控暗中植入多种cookies。除了Stripe的cookie外，网站上的资料保护公告也指出，还有Google Analytics的cookies。欧洲议员指控，网站并未明白列出共有哪些cookies，而是要求用户一次同意所有cookies，以便获得许可搜集并处理用户在网站上的行为资料。他们发现网站上甚至有两种资料保护公告，内容也不一样，令用户感到混淆。

EDPS证实收到申诉，表示将启动调查。此外，被指违法的cookies也已经关闭。