欧洲经济区颁布的《一般数据保护条例》等用户隐私保护法律以及其他为相应的美国各州居民确立了各种权利的隐私保护法律会影响到内容发布商、应用开发者、网站访问者和应用用户。另请参阅 Google 隐私权政策以及 Google 面向客户及合作伙伴的网站。虽然此类法规目前适用于特定的地理区域,但发布商和应用开发者实施的控制机制通常会对所有区域的用户体验都产生影响。
Google 会全力确保数据的机密性和安全性。无论您的角色是发布商还是消费者,都请务必了解您的隐私选项。本页面介绍了有关数据收集和安全保护机制的信息,供以下两类对象参考:
- 使用 Google 效果衡量产品的内容发布商和应用开发者(以下简称“客户”)。
- 使用 Google 效果衡量产品的网站和应用的访问者和用户(以下简称“用户”)。
数据收集
Google 客户通过在网页上使用代码以及为移动应用集成 SDK 来启用 Google 效果衡量产品。收集到的效果衡量数据有助于客户了解用户需求,然后客户可以选择提供个性化的用户体验,并投放契合用户需求的广告(详见广告个性化部分)。
Google 代码和 SDK 分别使用 Cookie 和应用实例 ID 来衡量用户互动。虽然这些标识符可提供有关用户行为的信息,但 Google 禁止客户向 Google Analytics(分析)发送个人身份信息。即便如此,对 Cookie 和应用 ID 的使用也须遵守上述隐私权法。Google 客户需要告知用户具体会存储哪些信息,并让用户有机会同意或拒绝这种做法。
请参阅本页中的以下各节,以便:
- 了解 Google 如何收集和处理网站和应用使用情况的相关信息:适用于采用 Google Analytics(分析)的网站和应用的信息。
- 了解我们的用户政策和控制机制:供采用 Google Analytics(分析)的网站和应用的访问者参考的信息。
供采用 Google Analytics(分析)的网站和应用的访问者参考的信息
我们的隐私权政策Google 非常珍惜您对我们的信任,保护您的隐私权和数据安全是我们的职责。因此我们会告诉您,在您使用 Google 的产品和服务时,我们会收集哪些信息、收集这些信息的目的是什么,以及我们如何使用这些信息来改善您的体验。Google 隐私权政策和准则说明了在您使用 Google Analytics(分析)等 Google 产品和服务时,我们将如何处理您的个人信息。
Google Analytics(分析)主要使用第一方 Cookie 来报告访问者(也称为“用户”)在 Google Analytics(分析)客户网站上的互动情况。用户可以停用 Cookie,也可删除任何一个 Cookie。了解详情
此外,Google Analytics(分析)还支持一款可选的浏览器插件,用户安装并启用该插件后,Google Analytics(分析)就会停止衡量用户访问的任何网站。请注意,该插件仅会禁止 Google Analytics(分析)进行衡量。
如果网站或应用使用 Google Analytics for Apps SDK 或 Google Analytics for Firebase SDK,则 Google Analytics(分析)会收集应用实例标识符 - 即一个随机生成的数字,用于标识应用的唯一安装实例。用户重置其广告标识符(在 Android 上为广告 ID,在 iOS 上则为广告客户 ID)时,该应用实例标识符也会被重置。
如果网站或应用在采用 Google Analytics(分析)的同时,还采用了 Google Ads 等其他 Google 广告产品,则 Google 可能还会收集其他广告标识符。用户可以使用广告设置来停用此功能和管理自己的 Cookie 设置。了解详情
适用于采用 Google Analytics(分析)的网站和应用的信息
依照《一般数据保护条例》(GDPR) 的界定,Google Analytics(分析)所担当的角色对于 Google Analytics(分析),Google 是数据处理方。我们的《广告数据处理条款》也体现了这一点;所有直接与 Google 签署合同的 Google Analytics(分析)客户都可以看到和接受这份条款。了解详情
按照 GDPR 的界定,Google Analytics(分析)属于数据处理方,这是因为 Google Analytics(分析)会按照客户的指示,代表客户收集和处理数据。我们的客户则是数据控制方,对于自己的数据,他们始终拥有与这些数据的收集、访问、保留和删除相关的所有权利。Google 在使用数据时,须遵守 Google 与 Google Analytics(分析)客户签订的合同中的条款,以及客户通过我们产品的界面启用的所有设置。
美国有一些法律为相应的各州居民确立了各种权利,为帮助 Google Analytics(分析)客户做好遵从这些法律的准备,我们更新了数据处理条款,在其中纳入了“美国州级隐私保护法律界定的服务提供方和处理方”附录。根据该附录中的完整条款,Google Analytics(分析)将担当其客户的服务提供方(当禁止与 Google 产品和服务共享数据时),因此对于在 Google Analytics(分析)中代表客户收集的数据,我们将仅用来提供 Google Analytics(分析)服务。尚未接受数据处理条款的客户可以按照此处的说明接受这些条款。已接受数据处理条款的客户无需再另外接受 CCPA 界定的服务提供方附录。客户应查看“美国州级隐私保护法律界定的服务提供方和处理方”附录以及 Google Analytics(分析)的数据使用方式,以确保其符合客户的合规需求。
为便于客户管理其合规需求,Google Analytics(分析)提供了一系列工具(详见下文),供您用来控制数据的收集方式以及是否将数据用于广告个性化。
如果您已将 Google Analytics(分析)与其他产品相关联,请参阅 Google Analytics(分析)关联概览。
对于 Google Analytics(分析),Google 是数据处理方。我们的《广告数据处理条款》也体现了这一点;所有直接与 Google 签署合同的 Google Analytics(分析)客户都可以看到和接受这份条款。了解详情
按照 LGPD 的界定,Google Analytics(分析)属于数据处理方,这是因为 Google Analytics(分析)会按照客户的指示,代表客户收集和处理数据。我们的客户则是数据控制方,对于自己的数据,他们始终拥有与这些数据的收集、访问、保留和删除相关的所有权利。Google 在使用数据时,须遵守 Google 与 Google Analytics(分析)客户签订的合同中的条款,以及客户通过我们产品的界面启用的所有设置。
如需了解如何通过 Google Analytics(分析)传输数据,请参阅此处。
第一方 Cookie
Google Analytics(分析)会收集第一方 Cookie、与设备/浏览器有关的数据、IP 地址(在收集数据时,Google Analytics [分析] 4 不会记录或存储 IP 地址)以及用户在网站/应用中的活动,以衡量用户与采用 Google Analytics(分析)的网站和/或应用的互动情况并报告相关统计信息。客户可以通过 Cookie 设置、User-ID、数据导入和 Measurement Protocol 等功能自行调整 Cookie 和收集的数据。了解详情
例如,如果 Google Analytics(分析)客户已启用 analytics.js 或 gtag.js 数据收集方式,就可以选择是否使用 Cookie 来存储假名化或随机的客户端标识符。如果客户决定设置 Cookie,那么,存储在本地第一方 Cookie 中的信息会仅包含随机标识符(例如,12345.67890)。
如果客户使用 Google Analytics for Apps SDK,我们会收集应用实例标识符,该标识符是用户首次安装应用时系统随机生成的一个数字。
广告标识符
如果客户使用 Google Analytics(分析)中的广告功能,则系统会收集并使用 Google 广告 Cookie 来实现一些功能,例如在 Google 展示广告网络上进行再营销。这些功能受用户的广告设置、Google Analytics(分析)广告功能的政策要求和 Google 欧盟地区用户意见征求政策的约束。根据欧盟地区用户意见征求政策,在法律有相应要求的情况下,客户必须获得用户同意才能使用 Cookie,包括就使用 Cookie 投放个性化广告征得用户同意。如需详细了解 Google 如何使用广告 Cookie,请参阅 Google 广告隐私权政策常见问题解答。如果在征得用户同意前先停用了广告功能,则也许可以在不影响正常数据收集的情况下使用 Google Analytics(分析)(请参阅 Google Analytics [分析] 中的隐私控制机制),并防止某些数据被用于广告个性化目的(详见下文中的广告个性化部分)。
禁止发送个人身份信息 (PII)
我们的合同禁止客户向 Google Analytics(分析)发送个人身份信息。客户应遵循此处的最佳做法,以确保不会向 Google Analytics(分析)发送个人身份信息。
Google 使用 Google Analytics(分析)数据向客户提供 Google Analytics(分析)衡量服务。Cookie 和应用实例 ID 等标识符用于衡量用户与客户网站和/或应用的互动情况,而 IP 地址则用于在提供此服务的同时保障服务安全,并且还可以让客户了解他们的用户来自世界上的什么地方。客户还可以选择将 Google Analytics(分析)收集的数据用于网站/应用个性化或广告目的,包括用于广告个性化(请参阅下文中的广告个性化部分)。
除非获得客户授权(包括通过产品界面中的设置进行授权),或者与客户达成的 Google Analytics(分析)协议的条款明确允许,否则我们不会共享 Google Analytics(分析)中的数据,只有法律要求的极少数情况除外。
客户可以为员工或其他可登录其 Google Analytics(分析)账号的代表配置查看和修改权限,以此控制内部人员对其 Google Analytics(分析)账号或媒体资源中数据的访问权限。了解详情
Google 设有专门的安全工程团队,负责防范来自外部的数据安全威胁。同时,我们还采用严格的访问控制机制(既有内部的政策性控制手段,也有身份验证、SSL 和安全日志等自动化的技术控制手段)限制内部人员(例如员工)对数据的访问:只有出于业务需要而确实有必要访问数据的人员才能获得相应访问权限。
产品关联摘要
如果客户将其 Google Analytics(分析)媒体资源与其他 Google 产品或服务账号(以下简称“集成合作伙伴”)相关联,则关联的账号便可访问该 Google Analytics(分析)媒体资源中的某些数据,并且这些数据也可导出到关联的账号中。数据通过关联集成导出后,就会受集成合作伙伴的条款和政策约束。
请注意,数据发送给集成合作伙伴后,这些数据将受集成合作伙伴的条款约束,Google Analytics(分析)将失去对这些数据的访问权或控制权。
客户可以随时在 Google Analytics(分析)产品关联摘要界面中查看和管理产品集成关联。
数据共享
Google Analytics(分析)为客户提供多项数据共享设置,通过这些设置,客户可以根据自己的偏好进行自定义设置,控制 Google 如何访问和使用通过 Google Analytics(分析)数据收集方法(例如 JavaScript 代码、移动 SDK 和 Measurement Protocol)收集的数据。请注意,这些设置仅适用于通过 Google Analytics(分析)从网站、移动应用和其他数字设备收集的数据,而不适用于客户使用 Google Analytics(分析)时涉及的数据,例如媒体资源数量,以及配置了哪些其他功能。无论客户的数据共享设置如何,只有在对维护和保护 Google Analytics(分析)服务有必要的情况下,Google 才会使用 Google Analytics(分析)中的数据。了解详情
数据保留
借助数据保留控件,客户可以限制或延长用户级和事件级数据在 Google Analytics(分析)服务器中存储的时长。所有客户都应检查自己的数据保留设置,确保选择了合适的保留时长。
删除用户
客户如果需要从 Google Analytics(分析)中删除某位用户的数据,可以选择通过向 Google Analytics User Deletion API 传递该用户的标识符来实现,或者直接在我们的用户分层图表报告中进行操作。不过,与该用户关联的汇总数据(比如该用户访问过的网页网址)不会被删除。
用户级数据访问和转移
客户可以通过我们的用户分层图表报告或 User Activity API 提取任何指定用户标识符对应的事件信息。借助这些功能,客户可以分析并导出某个用户标识符对应的事件级数据。此外,我们的 360 客户还可与 BigQuery 集成,将与其用户相关的所有事件数据全盘导出到一个可查询的存储区。
客户可以选择限制将其 Google Analytics(分析)数据用于广告个性化目的,而不是禁止收集所有 Google Analytics(分析)数据或广告标识符(请参阅“Google Analytics [分析] 中的隐私控制机制”)。客户可以选择禁止将从其整个媒体资源中收集的数据用于广告个性化目的,或者禁止将个别事件或用户的数据用于此目的(点击应用、网站和 Measurement Protocol 可分别查看对应的操作说明)。使用 Google Analytics for Firebase 或 Google Analytics(分析)4 媒体资源的客户还可以排除特定事件或用户属性(例如“购买”或“性别”),以避免将其用于广告个性化。
如果已排除 1) 所有媒体资源级数据、2) 个别事件或 3) 特定事件名称或用户属性中的任何一种,以避免将其用于广告个性化,则 Google Analytics(分析)会在回传中额外附加一个信号(称作“npa”),以表示广告网络不应将这种数据用于广告个性化目的。请注意,每个广告网络都将自行决定对此类“npa”信号的处理方式。
认证
ISO 27001
Google 已经取得了 ISO 27001 认证,认证范围涵盖一系列 Google 产品(包括 Google Analytics [分析])所采用的系统、应用、人员、技术、流程和数据中心。不妨详细了解我们的 ISO 合规性,并下载我们的证书 (PDF) 或详细了解 ISO 27001。
信息安全
在基于网络的计算环境中,数据和应用的安全都至关重要。Google 投入了大量的资源来确保应用和数据处理方面的安全,以防数据遭到未经授权的访问。
存储数据时采用专为提升性能而优化的编码格式,而非传统文件系统或数据库。为实现冗余并加快访问速度,数据分散在多个物理卷和逻辑卷上,以防止数据被篡改。
Google 的各项应用均在一个采用多租户设计的分布式环境中运行。我们将 Google 所有用户(个人用户、企业,甚至是 Google 自己)的数据分散在一个共用的基础设施上,而不是将每个客户的数据分别保存到单独的一台或一组机器上。这个基础设施由 Google 的众多同构机器组成,并位于 Google 的数据中心内。
此外,Google Analytics(分析)还会确保安全传输其 JavaScript 库和衡量数据。默认情况下,Google Analytics(分析)采用 HTTP 严格传输安全协议 (HSTS),该协议会指示支持 HTTP over SSL (HTTPS) 的浏览器针对最终用户、网站与 Google Analytics(分析)服务器之间的所有通信使用这一加密协议。了解详情
运营安全和灾难恢复
为尽可能减少由硬件故障、自然灾害或其他灾难引起的服务中断,Google 在其所有数据中心都实施了全面的灾难恢复计划。此计划包含多项举措,旨在消除单点故障,具体包括:
复制数据:为帮助确保在灾难发生时可以使用数据,我们将存储在 Google 分布式文件系统中的 Google Analytics(分析)数据复制到了多个不同数据中心内的单独系统上。
将各数据中心设在不同的地理位置:Google 的数据中心分布在不同的地理位置,即使其中某个地区发生灾难或其他事故,服务也不会中断。
搭建御灾力强且提供冗余的基础设施:Google 的计算集群在设计上充分考虑了御灾能力和冗余性能,可以帮助尽可能地减少单点故障,并降低常见设备故障和环境风险的影响。
应对灾难的业务连续性计划:除了实现数据冗余并将各数据中心分散在不同地区之外,Google 还为其位于美国加利福尼亚山景城的总部制定了业务连续性计划。此计划针对地震或公共卫生危机等大规模灾难拟定了措施,可以应对长达 30 天无人员与服务可用的情况。此计划旨在为我们的客户提供持续不间断的服务。
