Google Analytics 数据隐私与安全政策 关键内容汇总
Google Analytics 使用的身份标识符
Google Analytics(分析)主要使用第一方 Cookie 报告访问者(也称为用户)在 Google Analytics(分析)客户网站上的互动情况。用户可以停用 Cookie 或删除任何单个 Cookie 记录。
此外,Google Analytics(分析)还支持一款可选的浏览器插件,用户安装并启用该插件后,Google Analytics(分析)就会停止衡量用户访问的任何网站。请注意,此插件仅会禁止 Google Analytics(分析)进行衡量。
如果网站或应用使用 Google Analytics for Apps SDK 或 Google Analytics for Firebase SDK,则 Google Analytics(分析)会收集应用实例标识符 - 即一个随机生成的数字,用于标识应用的唯一安装实例。用户重置其广告标识符(在 Android 上为广告 ID,在 iOS 上则为广告客户 ID)后,该应用实例标识符也会被重置。
如果网站或应用在采用 Google Analytics(分析)的同时,还采用了诸如 Google Ads 等其他 Google 广告产品,则 Google 可能还会收集其他广告标识符。用户可以使用广告设置来停用此功能和管理自己的 Cookie 设置。
Google Analytics(分析)还会收集互联网协议 (IP) 地址,这是为了在提供此服务的同时保障服务安全,而且还可以让网站所有者了解他们的用户来自世界上的哪个国家/地区、州/省级行政区或城市(也称为“IP 地理定位”)。Google Analytics(分析)提供了一种方法来掩盖所收集的 IP 地址(详见下文),但需要说明的是,即使网站所有者不使用 Google Analytics(分析),他们也可获取其用户的 IP 地址。
Google 所承担的角色
按照 GDPR 的界定,Google Analytics(分析)属于数据处理方,这是因为 Google Analytics(分析)是按照客户的指示代他们收集和处理数据的。我们的客户则是数据控制方,他们拥有所有相关权利,可以收集、访问、保留以及随时删除自己的数据。Google 在使用数据时,须遵守 Google 与 Google Analytics(分析)客户达成的合同中的条款,以及客户通过我们产品的界面启用的所有设置。
Google Analytics 收集的数据
第一方 cookie
如果客户使用 Google Analytics for Apps SDK,我们会收集应用实例标识符,该标识符是用户首次安装应用时随机生成的一个数字...
广告标识符
如果客户使用 Google Analytics(分析)中的广告功能,则会收集并使用 Google 广告 Cookie 来实现一些功能,例如在 Google 展示广告网络上进行再营销。
根据欧盟地区用户意见征求政策,在法律有相应要求的情况下,客户必须获得用户同意才能使用 Cookie,包括就使用 Cookie 投放个性化广告征得用户同意。
IP 地址
Google Analytics(分析)使用 IP 地址来分析访问者的地理位置,以及确保此服务和我们客户的安全。客户可以采取 IP 掩盖做法,以便 Google Analytics(分析)仅使用所收集的 IP 地址的一部分,而不是使用完整的 IP 地址。此外,客户也随时可以使用我们的 IP 替换功能来替换 IP 地址。
注:这里面的 ip 替换功能,即采用 uip 字段,进行 ip 地址替换。 ip 掩盖功能,即对应 IP 匿名化,表现为:
在 IPv4 用户 IP 地址及 IPv6 地址发送到 Analytics(分析)收集网络后,尽快在内存中将前者的最后一个八位位组和后者的最后 80 位设为零,这样就绝不会将完整 IP 地址写入磁盘。
禁止发送个人信息
我们的合同禁止客户向 Google Analytics(分析)发送个人身份信息。客户应遵循相关最佳做法,确保不会向 Google Analytics(分析)发送个人身份信息。
注:这里的个人身份信息(PII)包括但不限于姓名、社会保障号、电子邮件地址或任何类似的个人身份识别信息,或可用于永久标识特定设备的数据(例如手机无法重置的唯一设备标识码)等等。详细见官方文档
谷歌关注对涉及个人信息的数据的采集建议包括:
- 绝不收集明显表现为 PII 的数据;
- 对于 UserID 等个人身份数据,采用 加盐哈希处理
只要您使用的加密级别恰当,就可以向 Google Analytics(分析)发送在个人身份信息基础上进行加密所得到的标识符或自定义维度。Google 对哈希处理算法的最低要求是 SHA256,并强烈建议使用长度不低于 8 个字节的字符串进行加盐处理。然而,对于受保护健康信息(具体定义见 HIPAA),即使经过如前所述的哈希处理或加盐处理加密,您也不得向 Google Analytics(分析)发送此类信息。
HIPAA 指代 《健康保险流通与责任法案》 1996年由 比尔·克林顿总统签署 规定应如何保护医疗保健和医疗保险行业维护的个人身份信息免受欺诈和盗窃,并解决医疗保险范围的限制。
Google Analytics 中的数据保留、删除和转移控件
数据保留
可以为与 Cookie、用户标识符(例如 User-ID)和广告标识符(例如 DoubleClick Cookie、Android 广告 ID、Apple 广告客户标识符)相关联的用户级和事件级数据设置保留期限。
注意,这里有几个重点:
标准的 Google Analytics(分析)汇总报告不受影响。仅当您使用某些高级功能(例如为报告应用自定义细分或创建不寻常的自定义报告)时,才需要用到这项设置所管理的用户数据和事件数据。 虽然保留期限和用户活动重置控件的适用范围涵盖了 Google Analytics(分析)存储的事件级和用户级数据,但如果用户不活跃的时间达到了 6 个月,Google Analytics(分析)会默认删除其键入的某些数据。
延长保留期限或将保留期限更改为“不自动过期”不会影响已收集的数据。例如,即使您将保留期限更改为 26 个月,在采用 14 个月保留期限时收集的数据仍将在 14 个月后删除。
无论您采用什么样的设置,年龄、性别和兴趣数据始终会有两个月的保留期。
这个还有一个 User Activity API 平时隐藏了起来。
可以用于检索(retrieve) 与单个用户相关的所有分析衡量数据。具体来说,API会检索与特定用户ID或客户ID相关联的所有测量数据。