Google Analytics做为最常用的Web Tracking服务,最近(2022/06)已经连续被三个欧洲国家(奥地利,法国,意大利)认定为不符合GDPR关于个人信息出境的规定。原因是GA通过Cookie对网页访问者进行监控,收集了包括IP,设备和浏览器数据在内的个人信息,并传送至Google位于美国的服务器。法国数据保护机构CNIL表示没在GA中找到相关配置项,可以防止数据往境外传输。
图1 - GA的帮助文档 - 明确表明会收集用户IP地址
图2 - CNIL的决定书 - 详细描述 IP + Customer ID + 用户访问记录的组合构成可识别的个人信息
如果要实现合规,CNIL给的建议是先在本地完成数据去标识化,再往境外进行传送。这个选项听起来没有Google配合是不具备可行性的。
谷歌的回应是:GA做为一个网站分析工具,目的不是为了识别特定自然人和跟踪他们的跨站行为,数据怎么使用是由客户方控制的;作为一个工具我们提供了全面的安全措施来满足合规要求。 翻译过来就是,我做得很好,不合规和我没关系,客户方你们自己想办法。
GA在咱们国内使用量也非常大,尤其是跨国企业的国内分支,那它是否同样有不合规的风险呢?
根据个人信息安全规范的附录一,IP地址和上网记录被明确归类为个人信息。
如果这类信息要传送到国外,就要满足个人信息保护法中对个人信息出境的要求。 目前给出的跨境数据传输合规路径有:
1. 按照国家网信部门制定的标准合同和境外接收方订立合同,并在网信部门备案。 这个选项适合数量少的企业(一年出境的个人信息数量不超过10w)
2. 获得国家网信部门确定的专业机构的个人信息保护认证
3. 通过网信部门的安全评估: 针对敏感数据的传输或者大量个人信息处理者(自身控制的个人信息超过100w或一年内要往境外传输的个人数据超过10w)
所以如果网站的MAU超过一万,使用GA就需要申请网信部门的安全评估了,合规成本还是很高的。
目前国内个人信息保护的执法重点还在数据采集合规领域,且数据出境的几个细则都还在意见征求稿阶段,合规的时间窗口还是足够的。GA用户可以考虑把国内的同类厂商产品看起来了...
网友评论