歐洲的谷歌分析：如何確保 GDPR 合規性

數據隱私遊戲的規則發生了翻天覆地的變化，影響了歐洲企業準確評估其業績和充分評估其營銷努力的能力。 隨著禁令的出現，通常的工作方式不再可能，導致寶貴的數據丟失，永遠無法替代。

數字分析的巨大變化始於一些歐洲國家禁止使用谷歌分析，並以歐盟和美國之間的新數據隱私框架結束。 根據歐洲數據保護機構最近的決定，谷歌分析已被多個國家的網站運營商非法使用。 由於實施谷歌分析現在被視為違反 GDPR 第五章，歐洲企業一直面臨危機。

然而，在 2022 年 3 月，情況發生了變化，所以讓我們嘗試最終確定數據隱私出現了哪些問題，以及歐洲企業可以採取哪些措施來保護他們的營銷分析。

在過去的幾年裡，在數據隱私和谷歌分析領域發生了很多事情。 對於歐洲企業而言，收集和應用數據方面的這些變化意味著優化的高級營銷分析黃金時代的結束。 數據使用的限制和禁止使得無法應用已建立的工作流程。 我們已經收集並繪製了所有必須了解的信息，以了解所有這些變化是如何開始的以及我們現在所處的位置。

2020 年，非營利組織 NOYB 對應用 Google Analytics 或 Facebook Connect 的歐洲經濟區 (EEA) 網站提出了 101 起投訴。 此後，EEA 數據保護機構開始發布裁決，強制 EEA 網站運營商停止使用這些服務，理由是它們不符合《通用數據保護條例》（GDPR）。

問題在於在歐洲應用谷歌分析的方法，因為它將收集到的關於歐盟居民的數據（用戶行為數據）存儲在美國的雲服務上。 癥結是——現在仍然是——谷歌採取的保護措施不足以阻止美國情報機構訪問歐盟居民的個人數據。 根據歐洲數據保護機構的說法，這些海外數據傳輸違反了 GDPR。

到目前為止，已經審理了兩起法庭案件。 第一個是奧地利的案例（2021 年 12 月），隨後是不到兩個月後的法國案例（2022 年 2 月）。 這些案例的總結是，歐盟居民的個人數據沒有得到足夠的保護，以及他們的個人數據被非法轉移到美國的服務。 例如，唯一的用戶 ID 號、IP 地址和瀏覽器參數沒有受到 Google 提供的標准保護條款的充分保護。

其他歐洲國家的類似案例可能會在抑制谷歌分析（和類似服務）的使用方面產生多米諾骨牌效應。 由於已經有針對這些侵犯數據隱私的投訴的建模響應和反應，可能會有更多的歐洲當局很快效仿，從而導致歐洲完全禁止谷歌分析（和其他工具）。

然後，在 2022 年 3 月 25 日，經過一年多的談判，美國和歐盟宣布了一項“原則上的協議”，關於從歐盟到美國的符合 GDPR 的個人數據傳輸的新法律框架。 跨大西洋數據隱私框架解決了歐盟法院在 2020 年 7 月的 Schrems II 裁決中提出的擔憂，並保證最高標準的隱私和數據保護。 谷歌期待第一時間在跨大西洋數據隱私框架下對其流程進行認證。 儘管如此，它仍然是一項“原則上的協議”，細節和時間尚未確定。

沒有人能預測未來，隨著數字環境瞬息萬變，企業應做好保護其數據處理工作流程的準備。

由於 NOYB 的投訴，許多歐洲經濟區 (EEA) 數據保護機構希望強制 EEA 網站運營商完全停止使用 Google Analytics。 遭受此類決定的歐洲企業是希望實施在線技術以增加業務收入並提高整體績效的歐洲企業。

目前，這些企業處於弱勢地位，因為它們正在等待國際數據傳輸這一政治熱門話題通過一些合乎邏輯的解決方案來解決。 我們不要忘記，儘管存在數據傳輸問題，但全球範圍內仍存在其他對數據隱私的危險風險，例如網絡攻擊和勒索軟件。

目前，使用谷歌分析出現的問題如下：

• 無法遵守 GDPR 的網站如果繼續將敏感的用戶數據傳輸到美國的服務，將面臨巨額罰款。
• 如果不應用 Google Analytics，營銷人員擔心他們將無法評估他們的營銷績效。
• 為了改變他們的營銷分析解決方案，企業將花費大量資金來學習和實施新產品。

讓我們看看可以做些什麼來解決這些問題，以及公司如何在未來避免更大的問題。

注意：NOYB 項目為公司提供指導。 特別是對於不確定美國監控法律或其美國合作夥伴是否受這些法律約束的小型歐盟公司， noyb.eu 網站上有免費的指南和模型請求。

當然，這種情況對許多企業來說是不愉快的，並且違反了長期建立的工作流程。 然而，沒有理由絕望，因為這肯定不是世界末日，而且還有出路。

首先，我們應該首先提到 Google Analytics 可以通過兩種方式實現。 因此，它的實施方式會影響其對 GDPR 的遵守情況。 這兩種方法是：

通常，網站採用客戶端模式，這意味著在網站頁面上使用 JavaScript 代碼，設置 cookie，生成客戶端 ID，並將獲取的數據傳輸到 Google Analytics 以生成網站的統計信息。

讓我們看看在客戶端模式下使用 Google Analytics 時應該採取哪些步驟。 需要檢查技術和法律方面的內容，以確保符合 GDPR。

1. 從適當的用戶同意開始。 您應該告知用戶，他們的數據（設備信息、跟踪 ID、IP 地址等）不僅會被收集，還會被傳輸到美國的服務。 此外，需要說明的是，用戶可以隨時撤回同意。
2. 實施 IP 匿名化。 （對於 Google Analytics 4 屬性，默認情況下啟用 IP 匿名化。）
3. 檢查 Google Analytics 中的數據共享選項和信號選項是否已停用。
4. 如果您使用專有用戶 ID，請確保沒有用戶識別權限。

重要的！ 不要忘記檢查法律狀況。 檢查您簽署的所有合同，因為 EMEA 地區的公司簽署的所有合同都應與 Google Ireland Limited 而不是 Google LLC 簽訂。 然後，檢查 TIA 涵蓋 Google Ireland Limited 和 Google LLC 之間的數據傳輸。

第二個變體是實現服務器端模式。 它更加謹慎，因為此模式允許您將標籤移出網站（廣告和測量）並將它們轉移到安全的服務器容器中。 此外，通過應用服務器端跟踪，用戶的 IP 地址會在信息與 Google 的報告工具​​共享之前自動匿名化。 簡而言之，這意味著用戶和谷歌之間沒有直接的交流。 信息由發布者的服務器收集，然後轉發給 Google 進行分析。

儘管許多企業可能認為沒有 Google Analytics（分析）就意味著沒有分析，但事實並非如此。 還有其他方法可以實施高級營銷分析，OWOX BI 團隊為收集和存儲數據提供了安全的解決方案。

什麼是 OWOX BI？

OWOX BI 是一種營銷分析解決方案，可自動將數據從孤立的來源傳送到您的分析目的地，確保您的數據始終準確且最新。

使用 OWOX BI 處理數據的主要優點如下：

• 所有數據都存儲在完全符合 GDPR 的 Google BigQuery 中。 OWOX BI 的服務器端跟踪在您的個人域上提供安全的第一方數據收集。 跟踪過程符合 Schrems II 和 GDPR。
• 熟悉的 Google Analytics 數據架構。 您將獲得著名的 Google Analytics Universal 數據架構，用於命中和會話轉換。 只需幾分鐘即可使用您當前的 Google Analytics（分析）設置輕鬆設置跟踪。
• 高質量的數據收集。 不受廣告攔截器的影響，並獲得質量可解釋的完整原始數據。 近乎實時地收集您的 Google BigQuery EU 存儲中的每個匹配項，無需採樣。
• 有效的營銷和數據分析。 到 2023 年，由於第三方 cookie 的消亡和 cookie 壽命的縮短，有關廣告渠道有效性的大部分信息將不再可用。 您可以通過 OWOX BI 服務器端跟踪最大限度地減少損失，收集第一方數據，並將其與存儲中的營銷數據合併。

您可以使用 OWOX BI 採取哪些步驟來保存您的營銷分析？

由於大多數企業更願意確保數據收集和存儲都在歐盟地區進行，因此 OWOX BI 避免使用 Google Analytics。 詳細來說，OWOX BI 數據流如下所示：

1. 以經典的 Google Analytics 格式從網站收集數據。 由於這種數據格式很熟悉，因此可以重用數千個現有 SQL 查詢。
2. 將原始數據實時收集到 Google BigQuery 存儲中。 獲取的數據屬於您，並存儲在您選擇的歐盟區域中。

總而言之，OWOX BI 允許每個營銷人員和分析師繼續他們的工作並應用滿足公司法律部門的分析解決方案：

• 在處理敏感數據時確保遵守 GDPR。
• 避免在重新處理數據或學習和採用新的技術堆棧上浪費時間和資源。
• 保留您網站的現有標記，因為實施時間和價值週期非常短。

谷歌分析被禁止的情況以及即將推出的跨大西洋數據隱私框架仍然需要澄清。 但是，無論結果如何，最好現在就保護您的業務，而不必等待未來更好的時機。 您可以採取一些明顯的措施來最大程度地降低風險，從進行法律準備和確保用戶同意到離開美國擁有的服務提供商。

OWOX BI 服務器端跟踪提供符合 Schrems II 和 GDPR 的安全第一方數據收集。 最重要的是能夠最大限度地減少因第三方 cookie 消亡和 cookie 壽命縮短而造成的損失。