Google Analytics 및 GDPR: 준수합니까?

GDPR 시행이 한 달 앞으로 다가왔습니다. 해야 할 일이 많고 여전히 궁금한 점이 많습니다.

큰 것:

Google Analytics 추적이 GDPR을 준수하는지 어떻게 확인할 수 있습니까? 아니면 다가오는 ePrivacy Regulations 입법입니까?

짧은 대답:

글쎄, 아무도 확실히 모른다.

진심으로: 바로 지금, 쿠키, 익명 추적, 그 중 많은 부분이 매우 크게 변경될 예정입니다. 그러나 이 모든 것의 이면에 있는 "방법"은 아직 확정되지 않았습니다.

그러나 기다리십시오. 가기 전에. 이 기사에서 "이런, 클릭이 아깝다"는 생각을 하기 전에 GDPR이 제한하는 사항을 알고 있습니다(2018년 5월 예정). 그리고 우리는 새로운 ePrivacy Regulations 법안이 될 가능성이 있는 법안 초안을 가지고 있습니다.

이는 분석에 다가올 큰 변화에 대비하는 방법에 대한 견고한 토대를 제공합니다.

상기시켜주세요. GDPR. 신경쓰이기 때문에...?

돈!

그리고 공정성과 투명성, 그리고 데이터를 책임감 있게 사용하고 저장하는 방향으로 전환합니다.

그러나 GDPR을 준수하지 않으면 큰 벌금이 부과됩니다.

물론 이것이 새로운 것은 아닌 것 같다. 유럽에는 항상 시민의 데이터를 처리하는 방법에 대한 규칙이 있었습니다. 그러나 그들은 나라마다 달랐습니다. 그리고 노조 전체의 데이터 규제 법안의 마지막 부분은 1990년대 이후로 업데이트되지 않았습니다.

GDPR은 상황을 더 명확하고 엄격하게 만들고 입법 범위를 확장합니다. 이제 EU에 거주하고 있거나 EU에 데이터를 저장하거나 EU 시민으로부터 개인 데이터를 수집하는 경우 새 규칙을 따라야 합니다.

그럼 분석 규정 준수에 대해 이야기해 볼까요?

먼저 좋은 소식이 있습니다.

GDPR은 동의 및 개인 데이터에 대해 할 말이 많습니다. 그리고 대부분 다음과 같이 요약될 수 있습니다. 누군가의 개인 데이터를 사용하려는 경우 요청해야 하며, 그들은 당신에게 "괜찮다"고 대답해야 합니다.

(그리고 그들은 "좋습니다. 그리고 용어는 명확한 언어로 제공되어야 합니다. 그리고 그들은 당신에게 "괜찮다"라고 준 데이터를 볼 수 있어야 하고, 그리고….그것이 프로세스입니다. 다른 기사).

이제 개인 데이터는 개인을 식별하거나 재식별하는 데 사용할 수 있는 모든 데이터를 의미합니다.

그렇다면 이것이 Google Analytics와 어떤 관련이 있습니까?

이상적으로 는 GA에 개인 데이터를 저장해서는 안 됩니다.

서비스 약관에 위배됩니다.

즉, 계정에 페이지 URL로 전송된 사용자 이름, 양식 작성에서 캡처한 전화번호, 맞춤 측정기준에서 맞춤 식별자로 사용할 수 있는 이메일 주소가 없어야 합니다.

우편번호도 방문한 페이지와 연결되고 소그룹으로 세분화될 때 특정 사용자에게 연결될 수 있습니다. 사용자 정의 차원에서도 벗어나야 합니다.

실제로, 데이터 주체 뒤에 있는 "누구"를 식별하는 데 명확하게 사용할 수 있는 모든 것이—조각 맞추기 어려운 퍼즐일지라도—개인 데이터입니다.

그래서 당신의 계정. 그것은 분명합니까?

엄청난.

이제 이것이 (잠재적으로) 까다로워지는 곳입니다.

덜 좋은 소식:

Google Analytics에는 몇 가지 잠재적인 필드가 있습니다. 이러한 필드는 Google에서 "사용 금지"로 간주되지 않지만 GDPR에서 정의한 "개인 데이터"입니다.

그중…

• 긴 URL(특정 사용자를 식별하는 데 사용할 수 있는 경우)
• IP 주소

우리는 이 두 가지를 모두 살펴보고 기반을 확실히 커버할 수 있는 방법에 대해 논의할 것입니다.

긴 URL/매개변수

일반적으로 긴 URL은 크게 문제가 되지 않습니다. URL이 개인 식별자 역할을 하는 것을 볼 수 있는 유일한 경우는 URL에 여러 사용자 데이터 입력이 포함되어 있는 경우입니다.

때때로 양식에서 이러한 것을 볼 수 있습니다. 사용자가 연령, 위치, 성별 등을 자세히 설명하는 양식이나 설문조사를 제출합니다. 다음과 같은 URL로 연결됩니다.

[www.notcompliant.com/form?gender=male&birthdate=31-12-1980&location=Iowa_City]

그런 다음 GA에서 이 데이터는 해당 URL을 방문한 사용자와 연결될 수 있으며 잠재적으로 "익명" 입력 뒤에 있는 "누가"를 끌어낼 수 있습니다.

운 좋게도 이것들은 드물고 관리하기가 매우 쉽습니다.

의심스러운 링크를 줄이는 것이 문제를 완전히 피하는 가장 좋은 방법입니다.

그러나 개인 데이터를 직접 캡처하는 매개변수가 있을 수도 있습니다.

플러그인 또는 양식이 이름과 이메일을 가져와서 필드 미리 채우기에 사용한다면 어떻게 될까요? 아니면 랜딩 페이지 개인화? 이것이 저장됩니까? 아니면 Google Analytics로 가는 길을 찾는 맞춤 URL을 생성합니까?

그런 다음 개인 데이터를 저장하고 있습니다.

매개변수 제거

GA에서 매개변수를 제외할 수 있는 몇 가지 기본 제공 방법이 있습니다.

보기 수준에서 제외:

GA 관리자는 보기 -> 필터로 이동하여 매개변수를 제외할 수 있습니다. 거기에 "URL 쿼리 매개변수 제외" 옵션이 표시되어야 합니다.

먼저 어떤 매개변수를 사용하는지("이름", "이메일" 등) 목록을 작성하고 각각을 쉼표로 구분하여 입력합니다. 앞으로 새로 추가되는 매개변수를 계속 모니터링하십시오. 이 방법은 수동이며 저장한 매개변수를 이해하고 있어야만 작동합니다.

여기서 주의할 사항: 차원으로 보내는 매개변수가 있는 경우 해당 매개변수를 제외하면 더 이상 작동하지 않습니다. "URL 쿼리 매개변수 제외" 설정은 필터보다 먼저 처리됩니다.

필터 수준에서 제외:

또 다른 옵션은 관리 -> 보기 -> 필터 -> 검색 및 바꾸기에서 검색 및 바꾸기 옵션을 사용하여 매개변수를 필터링하는 것입니다.

예를 들어 기본적으로 기본 URL 다음에 강력한 쿼리를 제거하는 \?.*를 추가하여 이것을 사용합니다.

(이는 성가신 긴 URL을 필터링하는 데도 도움이 됩니다.)

다른 필터를 사용하여 차원에 항목을 보내는 경우 이 필터, "검색 및 바꾸기" 옵션이 편리합니다. 필터 목록의 맨 아래에 배치하면 다른 필터가 계속 작동해야 합니다. 이 처음 몇 개의 필터가 실행된 후 매개변수가 정리됩니다.

이것은 또한 주변에 숨어 있을 수 있는 매개변수를 처리하는 좋은 방법입니다.

검색 및 바꾸기 사용 -> RUI 요청 -> 검색 \?.* ->

필터를 확인할 때 불쾌한 놀라움을 많이 발견할 수 있습니다.

완료되면 보기의 필터 목록에서 새 매개변수 필터를 찾을 수 있습니다.

IP 주소:

Google Analytics와 같은 프로그램에서 IP 주소를 익명화하는 것은 독일과 같은 엄격한 데이터 보호법이 있는 국가에서 오랫동안 모범 사례였습니다. 이제 분석 GDPR을 준수하는 것이 핵심입니다.

여기서 문제는 기술에서 발생합니다. 고객 IP 주소는 GA 데이터베이스에 저장되지 않으며 특정 클라이언트가 액세스할 수 없습니다. 하지만—Google 직원이 액세스할 수 있으며 개인 식별 정보 자격이 있습니다. 따라서 방문자의 IP 주소에 액세스할 수 없더라도 방문자가 익명으로 처리되었는지 확인해야 합니다.

IP 주소 제거:

운 좋게도 Google에는 이에 대한 많은 문서가 있습니다. 그리고 추적 코드가 있는 모든 곳에서 추적 코드에 추가해야 하는 편리한 플러그인입니다.

이 _anonymizeIP 함수는 사용자의 IP를 가져와 마스크하고 마지막 몇 자리를 0으로 설정합니다. 이 프로세스는 Google 애널리틱스 수집 네트워크에서 데이터를 수신하는 즉시 시작됩니다. 즉, 개인 데이터는 절대 저장되지 않습니다.

주의: 지리적 보고의 정확성이 약간 떨어질 수 있습니다. 그러나 그러한 무거운 비준수 벌금을 피하려면 지불할 가치가 있는 가격입니다.

쿠키:

유럽에 있는 경우(또는 유럽 웹사이트를 방문하는 경우) 유비쿼터스 쿠키 팝업을 본 적이 있을 것입니다.

" 이 웹사이트는 최상의 경험을 보장하기 위해 쿠키를 사용합니다. 더 읽어보기. "

이를 소프트 옵트인(soft-opt in)이라고 합니다. 동의에 대한 "우리가 말했고 여전히 탐색 중이므로 동의합니다"라는 경로입니다.

그리고 GDPR에 따르면 소프트 옵트인은 더 이상 테이블에 없습니다. 묵시적 동의는 포함되지 않습니다.

동의는 긍정적이고 모호하지 않아야 합니다. 개인 데이터가 포함된 경우 사용자는 해당 확인란을 선택하거나 "이 문제에 동의합니다."라고 표시된 버튼을 클릭해야 합니다.

따라서 미래의 쿠키 팝업은 ionetrust.com의 이 예와 조금 더 비슷할 수 있습니다.

그리고 누군가가 "활성화 또는 동의합니다"라고 말할 때만 쿠키 추가를 시작할 수 있습니다.

GDPR에 따르면 식별자가 있는 분석 쿠키는 개인 데이터입니다. 그러나 모든 쿠키가 동일하게 생성되는 것은 아닙니다. 일부는 사용자 동의가 필요한 반면 다른 일부는 그렇지 않을 수 있습니다. 세부 사항은 승인되면 새로운 ePrivacy Regulations에 의해 결정됩니다. 현재로서는 웹 분석 소프트웨어에 대한 예외가 있는 초안 15333이 있습니다.

"쿠키는 또한 예를 들어 웹사이트, 웹사이트의 특정 페이지 또는 웹사이트의 특정 페이지를 방문하는 최종 사용자의 수를 측정하는 데 도움을 줌으로써 전달된 정보 사회 서비스의 효율성을 평가할 때 합법적이고 유용한 도구가 될 수 있습니다. 애플리케이션의 최종 사용자입니다."

Google Analytics와 같은 분석 프로그램은 "제공되는 정보 사회 서비스의 효율성을 평가"합니다. 다른 Google 서비스로 데이터를 전달하기 위해 많은 제3자 시스템에 연결되어 있으므로 ePrivacy Regulations 업데이트가 아직 초안 단계에 있지만 Google Analytics의 정리된 버전에는 동의가 필요하지 않을 가능성이 있습니다.

(완전히 비준수) 쿠키 제거:

Google 애널리틱스의 사용자 ID 기능을 사용하는 경우 데이터를 중지하고 삭제하세요. 사용자 ID 기능(기기 및 세션 전반에 걸쳐 개별 사용자를 추적)과 같은 고유 식별자는 명시적으로 개인 데이터로 간주되며 이 예외가 적용되지 않습니다.

또한 Google Analytics의 선택적 추적 기능인 클라이언트 ID 를 끄는 것이 가장 좋습니다. IP 주소와 유사하게 "브라우저 인스턴스"를 익명으로 추적하여 반복 방문자와 신규 사이트 방문자를 비교합니다.

이 과정과 관련하여 정말 좋은 소식이 있습니다.

GDPR은 5월 25일 이후에 수집하는 모든 데이터뿐만 아니라 마음대로 사용할 수 있는 모든 데이터에 적용됩니다.

즉, 기술적으로 사용자 ID를 수집하는 데 사용했다면 문제가 발생했습니다. GA 플랫폼에서 사용자 데이터를 선택적으로 삭제할 수 있는 쉬운 방법이 없었기 때문입니다. 전면적으로 닦아야 합니다.

그러나 최근의 GDPR 이전 제품 출시는 그것을 바꾸고 있습니다.

팀에서:

"5월 25일 이전에 Google 애널리틱스 및/또는 애널리틱스 360 속성에서 개별 사용자(예: 사이트 방문자)와 관련된 모든 데이터 삭제를 관리할 수 있는 새로운 사용자 삭제 도구도 도입할 예정입니다. 이 새로운 자동화 도구는 애널리틱스 클라이언트 ID(예: 표준 Google 애널리틱스 자사 쿠키), 사용자 ID(활성화된 경우) 또는 앱 인스턴스 ID(Firebase용 Google 애널리틱스를 사용하는 경우)로 전송된 공통 식별자를 기반으로 작동합니다."

여기 개발 페이지에서 이 업데이트에 대한 뉴스를 발표할 예정입니다. 삭제해야 할 일이 있다면 주목하세요.

권한:

따라서 데이터 수집이 규정을 준수하는지 확인하는 방법을 살펴보았습니다.

하지만 이제 데이터를 보호해야 합니다.

대행사, 계약자 또는 전직 직원에게 정기적으로 GA 권한을 부여하는 경우 누가 귀하의 계정에 액세스할 수 있는지 정기적으로 확인하는 것이 가장 좋습니다.

여기에는 몇 가지 상식적인 규칙이 적용됩니다.

잠시 후 [email protected]이 누구인지 기억하십니까? 계정에 대해 "비즈니스 이메일 전용" 액세스 정책을 만드는 것이 더 나을 수 있습니다.

Google Analytics Organization은 이를 위한 견고한 인프라를 구축합니다. 연결된 GA 계정을 한 지붕 아래에 연결할 수 있으며 조직 관리자에게 몇 가지 추가 권한을 제공합니다. 정책을 만들고 누가 로그인했는지 확인하고 제품 사용자 및 권한을 쉽게 관리할 수 있습니다.

GA 조직을 켜는 것은 매우 간단한 과정입니다. Google은 여기에서 방법을 자세히 설명합니다. 초기 설정을 찾는 방법에 대한 스크린샷 아래 아래.

그것을 요 ​​약하기:

Google Analytics는 개인 데이터의 저장을 제한하는 엄격한 개인 정보 보호 정책을 유지함으로써 이미 우리에게 많은 호의를 베풀었습니다.
따라서 귀하의 분석을 Google에 만족스럽게 유지하고 GDPR을 준수하는 것은 손쉬운 일입니다.

숨을 쉬기 위해 우리는 모두 IP를 익명화하고 긴 URL을 다시 확인하고 매개변수를 삭제하고 저장된 사용자 ID를 제거할 수 있습니다. 그리고 사용자 여정의 모든 단계에서 GDPR을 염두에 두십시오.

자원:

구글 애널리틱스 이용약관

Analytics.js anonymizeIP Google 도움말

GA.js 익명화IP Google 도움말

iOS 익명화IP Google 도움말

Android 익명화IP Google 도움말