更新时间:2025年12月22日
随着《中华人民共和国个人信息保护法》(以下简称《个保法》)的正式实施,越来越多企业开始重新审视自己所使用的第三方工具是否合规。
在众多第三方工具中,Google Analytics(GA) 往往是最先被提及的一个。一方面,谷歌在中国大陆的部分业务受限;另一方面,Google Analytics 功能强大且免费,因此在国内依然拥有大量用户。
那么问题来了:
在中国大陆使用Google Analytics,到底违不违法?
本文将结合现行法律法规,从技术和合规角度进行拆解分析。
为什么很多人认为「国内使用 Google Analytics 违法」?
目前,认为在国内使用 Google Analytics 存在违法风险,主要集中在两个观点上:
- Google Analytics 数据会被转发到境外存储和处理
- Google Analytics 的收集域名在国内没有ICP备案
下面我们分别来看:
Google Analytics 是否将数据转移到境外?
我们来看一下Google Analytics在大陆收集数据的流转过程:
谷歌分析在国内的数据收集路径
在中国大陆使用Google Analytics时,数据会被发送至:https://www.google-analytics.com 。
对该域名进行网络测试(如 ping、traceroute)可以发现,其解析节点位于中国大陆境内:
这也是很多人认为「数据没有出境」的原因。
但事情并没有这么简单。
可以看到服务器都是大陆境内的,也就是大陆使用Google Analytics是发送到大陆的服务器,这样看上去是没问题。
但实际上没那么简单。
Google 在中国大陆并没有数据中心
从 Google 官方披露的信息来看:Google 在中国大陆没有数据中心、亚洲地区的数据中心主要位于 台湾、新加坡,详细的可以看https://www.google.com/intl/zh-CN/about/datacenters/locations/。
数据中心的定位是:Google 在全球各地都设有数据中心并自行运营,力保互联网全天候正常运行。可以理解为谷歌服务提供计算和存储的地方,Google Analytics的数据理应存储在数据中心的。
在中国大陆没有 GCP(Google Cloud Platform)节点的前提下,Google Analytics 在大陆收集的数据,只能存在两种可能的处理方式:
- 经境内接入节点转发至境外数据中心(台湾/新加坡)。
- 在境内自建或与本地合作伙伴共建数据中心。
第二种方式在现实中几乎不可能。因此可以合理推断:
Google Analytics 在中国大陆收集的数据,最终会被转移至境外进行存储和处理。
很多人看到:Google Analytics在大陆收集的数据转发到境外了,所以违法,但这是一个常见误区。
数据出境≠违法
其实,并不违法。
因为《个保法》并不是禁止数据出境,而是规范“个人信息”的出境。Google Analytics默认收集的的是匿名信息,可以说不受《个保法》的限制。
《个人信息保护法》第一章第四条对个人信息的定义:
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
也就是说,匿名信息不属于个人信息,不受《个保法》关于个人信息出境的限制。
如果你还不理解,可以看《信息安全技术个人信息安全规范》对匿名化所得信息的定义:
匿名化 anonymization:通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
明确指出:匿名信息是不属个人信息,不受《个人信息保护法》的限制。
其实,可以理解为《个人信息保护法》是鼓励企业采用匿名化的措施或手段去处理数据,而且匿名化也是常用的处理个人信息的一种方法,如《个人信息出境安全评估办法》中就明文指出,匿名化是作为涉境外数据处理合同终止时处理个人信息的方式之一,鼓励使用匿名化,而且是作为个人信息在境外处理的一种推荐方式。
如何区分个人信息和匿名信息
接下来我们来看个人信息的定义和分类:
《个人信息保护法》将个人信息可以分为一般个人信息(通常直接称为个人信息)和个人敏感信息:
- 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
- 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
如果你看《个人信息保护法》,肯定不能准确理解个人信息和敏感个人信息,你还需要看《信息安全技术个人信息安全规范》,里面就对个人信息和个人敏感信息都做了定义和举例。
个人信息举例:
|
类型
|
数据内容
|
|---|---|
|
个人基本资料
|
个人姓名、生日、性别、民族、国籍、家庭住系、住址、个人电话号码、电子邮箱、职业、头像、博客、个人邮箱、QQ、微信、支付宝账号、性别、生日
|
|
个人身份信息
|
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等
|
|
个人生物识别信息
|
个人基因、指纹、声纹、掌纹、耳形、虹膜、面部识别特征等
|
|
网络身份识别信息
|
个人信息认证证号、IP地址、个人数字证书等
|
|
个人健康生理信息
|
个人因生病医治等产生的大量记录、如病症、住院记录、医嘱、检验报告、手术及麻醉记录、护理记录、用药记录、治疗仪器使用记录、生育信息、以往病史、治疗情况、家族信息、用药记录、特种血型等
|
|
个人教育工作信息
|
个人职业、职位、工作单位、学历、学位、教育经历、工作经历等
|
|
个人财产信息
|
银行账户、交易信息(已购)、车辆信息(包括行经数据、交付收款记录)、房产信息、信贷记录、信用评级、信用报告、信用报告、以及其他金融资产信息
|
|
个人通信信息
|
通信记录、通信内容、电子邮件、电子邮箱地址等
|
|
个人上网记录
|
通过互联网发布的个人信息、社交账号发布的内容以及点击、浏览、点赞、收藏、转发、评论等行为产生的记录
|
|
个人常用设备信息
|
设备信息、设备号、设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI号码等)等在内的所有个人设备及软件信息
|
|
个人位置信息
|
包括行踪轨迹、精准定位信息、在指定地点的行为等
|
|
其他信息
|
婚史、宗教信仰、性取向、未公开的违法犯罪记录等
|
个人敏感信息举例:
|
类型
|
数据内容
|
|---|---|
|
个人财产信息
|
银行账户、交易信息(已购)、车辆信息(包括行经数据、交付收款记录)、房产信息、信贷记录、信用评级、信用报告、投资理财信息、电子支付记录、以及其他金融资产信息
|
|
个人健康生理信息
|
个人因生病医治等产生的大量记录、如病症、住院记录、医嘱、检验报告、手术及麻醉记录、护理记录、用药记录、治疗仪器使用记录、生育信息、以往病史、治疗情况、家族信息、用药记录、特种血型等
|
|
个人生物识别信息
|
个人基因、指纹、声纹、掌纹、耳形、虹膜、面部识别特征等
|
|
个人身份信息
|
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等
|
|
其他信息
|
婚史、宗教信仰、性取向、未公开的违法犯罪记录等
|
匿名信息是经过匿名化处理后所得的信息,它的重要特征是处理后的信息不能被复原,也就是不能对应到个人。
Google Analytics默认使用Client ID去识别用户,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来。
可以看个例子,对比一下:
结合一般个人信息和个人敏感信息的举例来看,电子邮箱是一般个人信息,身份证是个人敏感信息,都属于个人信息,可以识别到个人,而Client ID是一串时间戳和随机数,完全无法与个人信息识别与关联起来。
常见处理个人信息的方法
匿名化、假名化、去标识化是个人信息处理的方法,但在不同国家或地区的法律中,这几种方法的定义、范围和对应的处理原则是不一样的。
如在中国,主要是使用匿名化和去标识化这两个概念,根据《信息安全技术个人信息安全规范》,“假名化”属于去标识化所使用的一种技术手段。
- 匿名化(anonymization):通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
- 去标识化(de-identification):是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
可以看个例子,更好的去理解匿名化和去标志化:
Google Analytics是用Client ID去识别用户,而Client ID是是一串时间戳和随机数,完全无法与个人信息识别与关联起来,可以理解Client ID就是匿名化。
而User ID,通常是Email或自己ID体系的哈希值,借助外部信息(Email/自己ID体系与哈希值的映射关系)是可以倒推出个人信息,可以理解为User ID是去标识化,在国内的法律框架下,使用User ID是违法的。
综合现行法律法规可以得出一个明确结论:
Google Analytics 即使将数据转移到境外,只要数据是匿名信息,本身并不违法。
那「没有ICP备案」是否构成违法?
另一个常被讨论的争议点是:Google Analytics 的数据收集域名 https://www.google-analytics.com 在中国大陆未进行 ICP 备案。
从法律适用对象来看,ICP备案义务原则上约束的是“在中国境内提供互联网信息服务的主体”。而Google Analytics的实际运营主体为Google Ireland Limited(谷歌爱尔兰公司),其本质属于由境外主体提供的SaaS服务,并非在中国境内设立和运营的网站或信息服务。因此,其是否需要履行ICP备案义务,在现行监管框架下存在一定的合规灰区与不确定性。
类似情况在实践中较为普遍。例如,中国用户访问并使用海外网站提供的在线服务(如旅游预订、信息查询),这些网站并不需要在中国大陆进行ICP备案,但并不影响其被正常访问和使用;企业在业务中访问国际行业协会或跨国科技公司的平台,也长期存在未备案但被广泛使用的情况。
如果将“未ICP备案”一概认定为违法并全面禁止,影响范围将非常广泛,也与跨境互联网服务的现实不符。因此,在实际监管中,并未对境外SaaS服务进行统一、强制性的全面禁止,而更多是由企业自行进行合规评估与风险判断,在工具选型和使用过程中审慎处理相关法律风险。
可以得出一个明确结论:
是否构成违法存在合规不确定性与监管灰区,尚无明确执法口径
如果不使用国内服务器,直接发送到境外,那就可以不受ICP的限制,这时的挑战在于从大陆地区直接向境外发送数据的丢包情况,如果丢包太多,可以考虑使用自己的服务服务器做转发。
总结
在现行法规下:在国内使用Google Analytics存在合规风险点,但并非因为“数据出境”,而是涉及备案与个人信息合规边界问题。
如果将数据直接发送到境外(如自己对数据做转发),可以有效避开这个合规边界问题。
拓展:国内使用Adobe Analytics是否违法
Adobe Analytics在北京有数据中心,有备案的,这是和亚马逊云合作的,但属于需要另付费,具体配置方法可以参考:China Performance Optimization FAQ。
所以是不违法的,但收集个人信息,需要用户授权。
参考资料
- 《中华人民共和国个人信息保护法》
- 《信息安全技术个人信息安全规范》
- 《个人信息出境安全评估办法》
- https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
- https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf
- https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
