欧洲的谷歌分析：如何确保 GDPR 合规性

数据隐私游戏的规则发生了翻天覆地的变化，影响了欧洲企业准确评估其业绩和充分评估其营销努力的能力。 随着禁令的出现，通常的工作方式不再可能，导致宝贵的数据丢失，永远无法替代。

数字分析的巨大变化始于一些欧洲国家禁止使用谷歌分析，并以欧盟和美国之间的新数据隐私框架结束。 根据欧洲数据保护机构最近的决定，谷歌分析已被多个国家的网站运营商非法使用。 由于实施谷歌分析现在被视为违反 GDPR 第五章，欧洲企业一直面临危机。

然而，在 2022 年 3 月，情况发生了变化，所以让我们尝试最终确定数据隐私出现了哪些问题，以及欧洲企业可以采取哪些措施来保护他们的营销分析。

在过去的几年里，在数据隐私和谷歌分析领域发生了很多事情。 对于欧洲企业而言，收集和应用数据方面的这些变化意味着优化的高级营销分析黄金时代的结束。 数据使用的限制和禁止使得无法应用已建立的工作流程。 我们已经收集并绘制了所有必须了解的信息，以了解所有这些变化是如何开始的以及我们现在所处的位置。

2020 年，非营利组织 NOYB 对应用 Google Analytics 或 Facebook Connect 的欧洲经济区 (EEA) 网站提出了 101 起投诉。 此后，EEA 数据保护机构开始发布裁决，强制 EEA 网站运营商停止使用这些服务，理由是它们不符合《通用数据保护条例》（GDPR）。

问题在于在欧洲应用谷歌分析的方法，因为它将收集到的关于欧盟居民的数据（用户行为数据）存储在美国的云服务上。 症结是——现在仍然是——谷歌采取的保护措施不足以阻止美国情报机构访问欧盟居民的个人数据。 根据欧洲数据保护机构的说法，这些海外数据传输违反了 GDPR。

到目前为止，已经审理了两起法庭案件。 第一个是奥地利的案例（2021 年 12 月），随后是不到两个月后的法国案例（2022 年 2 月）。 这些案例的总结是，欧盟居民的个人数据没有得到足够的保护，以及他们的个人数据被非法转移到美国的服务。 例如，唯一的用户 ID 号、IP 地址和浏览器参数没有受到 Google 提供的标准保护条款的充分保护。

其他欧洲国家的类似案例可能会在抑制谷歌分析（和类似服务）的使用方面产生多米诺骨牌效应。 由于已经有针对这些侵犯数据隐私的投诉的建模响应和反应，可能很快会有更多的欧洲当局效仿，从而导致欧洲完全禁止谷歌分析（和其他工具）。

然后，在 2022 年 3 月 25 日，经过一年多的谈判，美国和欧盟宣布了一项“原则上的协议”，就从欧盟到美国的符合 GDPR 的个人数据传输的新法律框架。 跨大西洋数据隐私框架解决了欧盟法院在 2020 年 7 月的 Schrems II 裁决中提出的担忧，并保证最高标准的隐私和数据保护。 谷歌期待第一时间在跨大西洋数据隐私框架下对其流程进行认证。 尽管如此，它仍然是一项“原则上的协议”，细节和时间尚未确定。

没有人能预测未来，随着数字环境瞬息万变，企业应做好保护其数据处理工作流程的准备。

由于 NOYB 的投诉，许多欧洲经济区 (EEA) 数据保护机构希望强制 EEA 网站运营商完全停止使用 Google Analytics。 遭受此类决定的欧洲企业是希望实施在线技术以增加业务收入并提高整体绩效的欧洲企业。

目前，这些企业处于弱势地位，因为它们正在等待国际数据传输这一政治热门话题通过一些合乎逻辑的解决方案来解决。 我们不要忘记，尽管存在数据传输问题，但全球范围内仍存在其他对数据隐私的危险风险，例如网络攻击和勒索软件。

目前，使用谷歌分析出现的问题如下：

• 无法遵守 GDPR 的网站如果继续将敏感的用户数据传输到美国的服务，将面临巨额罚款。
• 如果不应用 Google Analytics，营销人员担心他们将无法评估他们的营销绩效。
• 为了改变他们的营销分析解决方案，企业将花费大量资金来学习和实施新产品。

让我们看看可以做些什么来解决这些问题，以及公司如何在未来避免更大的问题。

注意：NOYB 项目为公司提供指导。 特别是对于不确定美国监控法律或其美国合作伙伴是否受这些法律约束的小型欧盟公司， noyb.eu 网站上有免费的指南和模型请求。

当然，这种情况对许多企业来说是不愉快的，并且违反了长期建立的工作流程。 然而，没有理由绝望，因为这肯定不是世界末日，而且还有出路。

首先，我们应该首先提到 Google Analytics 可以通过两种方式实现。 因此，它的实施方式会影响其对 GDPR 的遵守情况。 这两种方法是：

通常，网站采用客户端模式，这意味着在网站页面上使用 JavaScript 代码，设置 cookie，生成客户端 ID，并将获取的数据传输到 Google Analytics 以生成网站的统计信息。

让我们看看在客户端模式下使用 Google Analytics 时应该采取哪些步骤。 需要检查技术和法律方面的内容，以确保符合 GDPR。

1. 从适当的用户同意开始。 您应该告知用户，他们的数据（设备信息、跟踪 ID、IP 地址等）不仅会被收集，还会被传输到美国的服务。 此外，需要说明的是，用户可以随时撤回同意。
2. 实施 IP 匿名化。 （对于 Google Analytics 4 属性，默认情况下启用 IP 匿名化。）
3. 检查 Google Analytics 中的数据共享选项和信号选项是否已停用。
4. 如果您使用专有用户 ID，请确保没有用户识别权限。

重要的！ 不要忘记检查法律状况。 检查您签署的所有合同，因为 EMEA 地区的公司签署的所有合同都应与 Google Ireland Limited 而不是 Google LLC 签订。 然后，检查 TIA 涵盖 Google Ireland Limited 和 Google LLC 之间的数据传输。

第二个变体是实现服务器端模式。 它更加谨慎，因为此模式允许您将标签移出网站（广告和测量）并将它们转移到安全的服务器容器中。 此外，通过应用服务器端跟踪，用户的 IP 地址会在信息与 Google 的报告工具共享之前自动匿名化。 简而言之，这意味着用户和谷歌之间没有直接的交流。 信息由发布者的服务器收集，然后转发给 Google 进行分析。

尽管许多企业可能认为没有 Google Analytics（分析）就意味着没有分析，但事实并非如此。 还有其他方法可以实施高级营销分析，OWOX BI 团队为收集和存储数据提供了安全的解决方案。

什么是 OWOX BI？

OWOX BI 是一种营销分析解决方案，可自动将数据从孤立的来源传送到您的分析目的地，确保您的数据始终准确且最新。

使用 OWOX BI 处理数据的主要优点如下：

• 所有数据都存储在完全符合 GDPR 的 Google BigQuery 中。 OWOX BI 的服务器端跟踪在您的个人域上提供安全的第一方数据收集。 跟踪过程符合 Schrems II 和 GDPR。
• 熟悉的 Google Analytics 数据架构。 您将获得著名的 Google Analytics Universal 数据架构，用于命中和会话转换。 只需几分钟即可使用您当前的 Google Analytics（分析）设置轻松设置跟踪。
• 高质量的数据收集。 不受广告拦截器的影响，并获得质量可解释的完整原始数据。 近乎实时地收集您的 Google BigQuery EU 存储中的每个匹配项，无需采样。
• 有效的营销和数据分析。 到 2023 年，由于第三方 cookie 的消亡和 cookie 寿命的缩短，有关广告渠道有效性的大部分信息将不再可用。 您可以通过 OWOX BI 服务器端跟踪最大限度地减少损失，收集第一方数据，并将其与存储中的营销数据合并。

您可以使用 OWOX BI 采取哪些步骤来保存您的营销分析？

由于大多数企业更愿意确保数据收集和存储都在欧盟地区进行，因此 OWOX BI 避免使用 Google Analytics。 详细来说，OWOX BI 数据流如下所示：

1. 以经典的 Google Analytics 格式从网站收集数据。 由于这种数据格式很熟悉，因此可以重用数千个现有 SQL 查询。
2. 将原始数据实时收集到 Google BigQuery 存储中。 获取的数据属于您，并存储在您选择的欧盟区域中。

总而言之，OWOX BI 允许每个营销人员和分析师继续他们的工作并应用满足公司法律部门的分析解决方案：

• 在处理敏感数据时确保遵守 GDPR。
• 避免在重新处理数据或学习和采用新的技术堆栈上浪费时间和资源。
• 保留您网站的现有标记，因为实施时间和价值周期非常短。

谷歌分析被禁止的情况以及即将推出的跨大西洋数据隐私框架仍然需要澄清。 但是，无论结果如何，最好现在就保护您的业务，而不必等待未来更好的时机。 您可以采取一些明显的措施来最大程度地降低风险，从进行法律准备和确保用户同意到离开美国拥有的服务提供商。

OWOX BI 服务器端跟踪提供符合 Schrems II 和 GDPR 的安全第一方数据收集。 最重要的是能够最大限度地减少因第三方 cookie 消亡和 cookie 寿命缩短而造成的损失。