瑞典隐私保护局（Swedish Authority for Privacy Protection，IMY）周一（7/3）宣布，已要求境内4家企业停止使用Google的网站流量分析工具Google Analytics，同时针对其中的两家企业Tele2及CDON，分别祭出1,200万瑞典克朗及30万瑞典克朗的罚款，原因是这些企业通过Google Analytics把瑞典人们的数据传输至美国，违反了欧盟隐私法GDPR。

Google Analytics是Google在2005年推出的工具，为Google营销平台（Google Marketing Platform）的其中一项功能，可用来关注网站上的各式活动，例如停留时间、网页浏览数量、用户跳出率（Bounce rate），以及流量来源等。

IMY的审核行动源自于非营利的欧洲数字权利中心NOYB（None of Your Business）的投诉，因为欧盟法院已于2020年废除了欧盟与美国之间的《隐私盾》（Privacy Shield）数据传输保护协议，NOYB指控CDON、Coop、Dagens Industri与Tele2等4家瑞典企业违反该裁决，将个人数据发送至美国。

IMY指出，根据欧盟隐私法GDPR的规定，个人数据得以传输到第三方国家的前提是，对方与欧盟拥有一致的个人数据保护法令，但欧盟法院的上述裁决已排除了美国。

而IMY的审核也发现，借由Google Analytics发送到美国的数据为个人数据，且这些瑞典企业所采取的技术安全措施皆不足以达到欧盟的标准，其中，Tele2与CDON更未采取与另两家企业同样的广泛保护，因而处以行政罚款。

目前Tele2已主动停用Google Analytics，IMY也要求其它3家企业不再使用该工具。负责执行该审核行动的第三方顾问Sandra Arvidsson则说，该决定可能会影响其它采用Google Analytics的瑞典企业。

瑞典并不是第一个认为Google Analytics违反GDPR的国家，先前奥地利也曾出现类似的判例。