中国的PIPL(《个人信息保护法》)出台之后,很多我们过去认为理所应当的事情,变得不再如是。
PIPL的第三十六条:国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十九条:个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
所以,数据出境是一个值得我们关注的问题。
当然,朋友们可能会说,跟我无关,我的数据不存在出境的情形。
没有那么简单。比如,如果你使用了Google Analytics(谷歌分析),尤其是免费版,跟数据出境就很有关系了。
原因是,Google Analytics的域名解析服务器在国内,但数据中心不在国内。我们收集的网站(或app或小程序)上的用户行为数据,最终需要存储在Google Analytics在中国大陆境外的数据中心。
妥妥的数据出境了。
下图展示了Google Analytics的全球数据中心所在地,确实没有在祖国大陆的。
01 那么,还能用Google Analytics吗?
回答这个问题,先看法律。
第三十八条:个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
•(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
•(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
•(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
•(四)法律、行政法规或者国家网信部门规定的其他条件。
所以,满足了这四点,就可以用了?
不,还得看现实。
现实是,国家网信部门组织的安全评估——国家网信部门还没有开始这样的评估;
国家网信部门的规定经专业机构进行个人信息保护认证——还没有规定任何专业机构;
国家网信部门制定的标准合同与境外接收方订立合同——这个合同还没有面世;
法律、行政法规或者国家网信部门规定的其他条件——并未见到。
所以……
如果你想用Google Analytics,暂时还没有合法化的条件。
而且,本来利用Google Analytics还有一个障碍,那就是,谁允许你利用科学上网的方法去访问Google的网站了?
02 跨境电商的网站怎么办?
跨境电商的网站,分出口和进口。如果是进口,用户都是中国人,要小心。
如果是出口电商,用户是深处境外的外国人,我们的PIPL没有管辖权。所以,问题不大。该用Google Analytics就用吧。
03 如果我非要坚持使用,有风险吗?
风险当然有,但是是不是就会立即面临惩罚,这个暂时说不好。
毕竟Google Analytics用户数量太大(有点法不责众的味道?我可没这么说哈),而且还不能说使用它就产生了严重后果。
但是,使用它确实是不符合PIPL的法条的,用它就是违法的。
最好,还是切换到国内的类似工具吧,Ptengine什么的,很安全。
另外,有一些私有部署的工具,也是国外公司做的,比如Matomo,但因为是私有部署,所以没什么问题。部署在自己的服务器上,就不算数据出境了。
总之,情况就是如此,大家且用且珍惜。