由于国内《个人信息保护法》的实施,越来越多的企业在关注自己的第三方工具的使用是否合法。
而第三方工具中首当其冲的就是Google Analytics,由于众所周知的因素,谷歌的部分业务在大陆地区受限,但是由于Google Analytics的功能非常强大,而且免费,所以大陆地区仍然有不少用户在使用,那么,在国内使用Google Analytics,到底违不违法呢?
国内使用Google Analytics违法?
觉得在国内使用Google Analytics是违法,主要有以下两个点:
- Google Analytics数据转发到境外存储和处理
- 没有ICP备案
下面,来逐个分析:
数据转发到境外存储和处理
目前较多人认为:Google Analytics的域名解析服务器虽然在大陆境内,但大陆没有数据中心,所以最终收集的网站/APP的数据是转发到境外的数据中心,所以违法。
我们来看一下Google Analytics在大陆收集数据的流转过程:
大陆使用Google Analytics收集数据是传递到:https://www.google-analytics.com 。
我们再ping一下收集服务器的地址www.google-analytics.com:
可以看到服务器都是大陆境内的,也即是大陆使用Google Analytics是发送到大陆的服务器,这样看上去是没问题。
但实际上没那么简单。
我们还要结合谷歌在全球的数据中心情况来看,谷歌在大陆是没有数据中心的,亚洲也只有台湾和新加坡这两个地区才有,详细的可以看https://www.google.com/intl/zh-CN/about/datacenters/locations/。
数据中心的定位是:Google 在全球各地都设有数据中心并自行运营,力保互联网全天候正常运行。可以理解为谷歌服务提供计算和存储的地方,Google Analytics的数据理应存储在数据中心的。
而且谷歌在中国大陆是没有GCP(Google Cloud Platform),那么Google Analytics在大陆收集数据会是怎么处理?
两种方式:
- 一种是将数据转发到境外去存储和处理,虽然前面看到的收集服务器是大陆的,但实际是转发出去的,最近的数据中心有台湾和新加坡。
- 一种是自建或和合作伙伴在境内合作的数据中心提供服务,为了合规做本地化。
第二种方式明显不可能,谷歌在国内业务受限,所以比较可能是第一种方式,Google Analytics在大陆收集数据通过大陆境内服务器转发到境外的数据中心。
你看,Google Analytics在大陆收集的数据转发到境外了,所以违法。
其实,并不违法。
因为《个人信息保护法》针对的是个人信息,而Google Analytics默认收集的的是匿名信息,这两者完全不一样的。
《个人信息保护法》第一章第四条对个人信息的定义:
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
如果你还不理解,可以看《信息安全技术个人信息安全规范》对匿名化所得信息的定义:
匿名化 anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
匿名信息是不属个人信息,不受《个人信息保护法》的限制。
其实,可以理解为《个人信息保护法》是鼓励企业采用匿名化的措施或手段去处理数据,而且匿名化也是常用的处理个人信息的一种方法,如《个人信息出境安全评估办法》中就明文指出,匿名化是作为涉境外数据处理合同终止时处理个人信息的方式之一,鼓励使用匿名化,而且是作为个人信息在境外处理的一种推荐方式。
之所以有人觉得在国内使用Google Analytics违规,是没有区分个人信息和匿名信息。
接下来我们来看个人信息的定义和分类:
个人信息的定义和分类
《个人信息保护法》将个人信息可以分为一般个人信息(通常直接称为个人信息)和个人敏感信息:
- 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
- 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
如果你看《个人信息保护法》,肯定不能准确理解个人信息和敏感个人信息,你还需要看《信息安全技术个人信息安全规范》,里面就对个人信息和个人敏感信息都做了定义和举例。
个人信息举例:
个人敏感信息举例:
那么什么是匿名信息呢?
匿名信息是经过匿名化处理后所得的信息,它的重要特征是处理后的信息不能被复原,也就是不能对应到个人。
如Google Analytics是用Client ID去识别用户,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来。
可以看个例子,对比一下:
结合一般个人信息和个人敏感信息的举例来看,电子邮箱是一般个人信息,身份证是个人敏感信息,都属于个人信息,可以识别到个人,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来。
常见处理个人信息的方法
匿名化、假名化、去标识化是个人信息处理的方法,但在不同国家或地区的法律中,这几种方法的定义、范围和对应的处理原则是不一样的。
如在中国,主要是使用匿名化和去标识化这两个概念,根据《信息安全技术个人信息安全规范》,“假名化”属于去标识化所使用的一种技术手段。
- 匿名化(anonymization):通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
- 去标识化(de-identification):是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
可以看个例子,更好的去理解匿名化和去标志化:
Google Analytics是用Client ID去识别用户,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来,可以理解Client ID就是匿名化。
而User ID,通常是Email或自己ID体系的哈希值,借助外部信息(Email/自己ID体系与哈希值的映射关系)是可以倒推出个人信息,可以理解为User ID是去标识化,在国内的法律框架下,使用User ID是违法的。
总结一下,虽然Google Analytics将数据发送到境外,存储和处理都是境外的,但是默认的是匿名信息,所以是不违法的,但需要注意,不要因为一些高级设置发送一些PII信息而变成违法。
没有ICP备案
Google Analytics数据收集使用的是大陆地区的服务器,域名https://www.google-analytics.com,但是没有在国内备案,所以违法,国内有法律要求解析到大陆地区的服务器都是需要备案的。
在使用谷歌分析的时候,都会有一个使用协议,与你签订协议的谷歌爱尔兰公司,也就是说是一家爱尔兰公司给你提供服务,不是大陆企业,理论上是不受国内法律约束。
但国内公司在使用的时候,需要考虑国内的法律要求,在做工具选型的时候需要考虑工具符合国内的法律要求,目前主要依靠企业自主遵循,并没有强制。
因为国内有不少公司会需要使用过国外的产品,如Google ADX,DoubleClick,估计也是没备案,但不妨碍国内公司一直使用。
如果严格不允许,估计影响很大。
总结
按现有法规,在国内使用Google Analytics 违法的。
违法的点是在于Google Analytics在国内收集数据的服务器没有备案,而不是说数据转发到境外,数据转到到境外是可以的,因为它默认收集的是匿名信息,设置的时候需要注意,不要传递PII信息即可。
拓展:国内使用Adobe Analytics是否违法
Adobe Analytics在北京有数据中心,有备案的,这是和亚马逊云合作的,但属于需要另付费,具体配置方法可以参考:China Performance Optimization FAQ。
所以是不违法的。
但收集个人信息,需要用户授权。
参考资料
- 《中华人民共和国个人信息保护法》
- 《信息安全技术个人信息安全规范》
- 《个人信息出境安全评估办法》
- https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
- https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
