埋点基础（四）：隐私法规对数据埋点的影响

一、引言

埋点是数据领域的术语，也是互联网应用里的一个俗称，学名为“事件追踪”，即Event Tracking，是网站分析的一种常用的数据采集方法。

埋点采集是数据采集非常重要的一部分，不论对c端还是b端产品都是主要的采集方式，是整个数据流的起点，采集数据的全面性、精准性及正确性，直接决定数据的广度和质量，影响后续所有的环节。因此，数据采集是数据分析的基础，而有人认为“埋点是最主要的采集方式”。

更为进一步的看法认为，埋点“主要是针对特定用户行为或事件进行捕获、处理和发送的相关技术”。比方说通过APP分析用户数据时，除了获得数据库中已经有的数据，还需要获得其他方面的数据，如用户行为。“因为只有做了用户行为分析才能知道用户画像、才能知道用户在网站上个各种浏览、点击、购买背后的商业真相。”比如上面做大数据风控而需要了解的客户的操作行为及时间长短。在具体应用时，与特定的用户相关时，才有助于分析特定用户的行为，从而为分析行为的目的所用。而针对特定用户的“行为数据”，便会关涉个人信息问题。

二、埋点的隐私法规风险

当并不涉及用户个人信息时，埋点数据并无法律风险；但作为收集信息的工具及方式，在埋点数据涉及公民个人信息时，则需要符合《个人信息保护法》、《信息安全技术个人信息安全规范》、《通用数据保护条例》（GDPR）等相关法律。

1、个人信息保护法

《个人信息保护法》设立了 APP 处理个人信息的「告知+同意」原则，除第十三条第二款至第七款规定的特殊情形外， APP 处理个人信息，首先应当依据第十七条之规定，「以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、个人信息的处理目的、处理方式，处理的个人信息种类、保存期限、个人行使本法规定权利的方式和程序」，且同时均应当「取得个人的同意」（第十三条）且「该同意应当由个人在充分知情的前提下自愿、明确作出」（第十四条）。

为了符合《个人信息保护法》关于“收集数据时取得权利所有人授权同意”的要求，客户如使用埋点技术进行合规数据收集时，需要在《用户隐私说明》文件内，披露第三方埋点采集SDK。

2、信息安全技术个人信息安全规范

规范中提及的“个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

判定某项信息是否属于个人信息，可参考以下两个方面：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14 岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息：

泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。

滥用：某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等)，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

涉及到业务或者终端用户自身数据的相关信息，均需要客户的开发者通过代码埋点（人为编写数据收集代码）才能收集， 埋点采集SDK 不应主动进行收集。

客户应当保证数据来源的合法合规，或者已经取得相关方和终端用户授权后，才能通过埋点收集相关数据。

3、GDPR

埋点技术涉及收集用户在网站或应用程序中的行为数据，这些数据通常包括点击、页面停留时间、滚动行为等。GDPR对埋点技术的影响主要体现在如下方面。

数据收集的限制：根据GDPR，企业在通过埋点技术收集用户数据前，必须获得用户的明确同意。这意味着，埋点技术的实施需要配合用户同意管理机制，确保在合法合规的前提下进行数据收集。此外，GDPR要求企业以透明的方式使用和处理个人数据信息。因此，在使用埋点技术时，企业需清晰告知用户数据的收集目的、使用方式等，以增强数据处理的透明度。

用户权利保护：GDPR赋予用户一系列权利，如访问权、更正权、删除权等。为满足这些权利要求，企业在使用埋点技术时，需要设计相应的数据管理和操作流程，以便在用户提出请求时能够及时响应。例如，用户有权要求删除其个人数据，企业则需确保埋点系统支持数据的删除操作，并能够验证删除请求的执行情况。

数据安全和隐私保护：GDPR要求企业加强数据安全控制，包括数据加密、访问控制等。这促使企业在实施埋点技术时，必须考虑数据的安全性和隐私保护企业可能需要采用更高级别的加密技术来保护通过埋点收集的数据，并确保只有授权人员才能访问这些数据。

合规性挑战和成本增加：为了符合GDPR的要求，企业可能需要投入更多的资源来改进埋点技术，以确保数据的合规性。这可能包括升级系统、加强数据安全措施、培训员工等。同时，企业还需要定期进行数据保护影响评估，以识别和降低数据处理过程中的风险。这些措施都会增加企业的运营成本和合规性挑战。

综上所述，GDPR对埋点技术产生了深远的影响，要求企业在实施埋点技术时更加注重用户隐私保护、数据安全和合规性。

三、埋点风险规避工作

1、明示同意

埋点收集用户个人信息的，应当向用户告知收集个人信息的目的、方式和范围等规则，并应当经用户通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作（如主动购销、主动点击“同意”“注册”“发送”等）。

一般而言，对于用于风控的信用信息，用户往往会主动提供给信息收集者。在指定“个人信息保护政策”时，应在其中明确收集的个人信息。一旦用户同意收集其个人信息，通过何种方式收集便均获允许，自可设置埋点。

由于“用户画像”是在所收集的用户个人信息的基础上所进行的数据处理，收集用户个人信息时征得用户个人同意后，基于用户个人同意而描绘的用户画像，也属于用户个人同意的行为。

对于埋点采集SDK而言，需要延迟初始化SDK，即在用户同意后，再进行初始化操作。

2、遵循合法必要的原则

就埋点数据而言，其合法性体现在信息收集者不应以欺诈、诱骗、误导的方式收集个人信息，也不应隐瞒产品或服务所具有的收集个人信息的功能。

必要原则及“最小必要”，在埋点收集用户个人信息时，要求收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。

3、安全可控

埋点采集SDK采取必要措施（如加密、去标识化或匿名化等）保障所处理的个人信息的安全。具体包括如下：

本地数据加密：对存储于本地的数据，采取AES等对称加密手段，对数据进行加密存储。

数据脱敏：通常在埋点采集时，对每个角色配置对应的加密用户属性和加密事件属性，可有效地在不影响分析的前提下，进行重要信息的脱敏。

    销毁安全：根据GDPR要求，需提供销毁底层用户数据的手段，数据采集方需要提供相应的数据删除工具。