你的網站真的需要GDPR個資法嗎？隱私權保護界線該如何拿捏？

前陣子猛然在 Google Analytics 後台看到下面這個曲線圖，我都快被嚇死了。雖然知道我的讀者是比較niche的，畢竟不是每個人都對於網路行銷、廣告和網站分析這類型議題有興趣，但…但這個曲線也太誇張了！基本上是0-5個使用者跟瀏覽吧，我心都涼了。

這個曲線其實不太正常，如果說是因為大家都出國玩放暑假(?)也有點怪怪的，所以我開始往被 Google 調降權重思考，此時必須要找出我從8月中旬到底對網站做了什麼事情，這時候 Google Analytics 註解就派上用場了！


但尷尬的是，我發現我竟然犯下很低級的錯誤，之前在幫客戶調整網站時都一定會耳提面命行銷人員記得在 Google Analytics 後台特別標注在網站上所做的任何更動，例如修改版型、更換網站風格等等，用來看觀眾的效果反應，但這次我自己竟然忘記標註網站上的更動了！

題外話：如何設定 Google Analytics 網站註解

打開 Google Analytics 後台，左側欄位有兩個部分的總覽（overview）都可以加上註解，一個是目標對象（觀眾/使用者）的報表，另一個是行為報表。

對於 「Google Analytics 報表 」想了解更多的可以點這邊：

Google Analytics 四大報表(一)- 目標對象
Google Analytics 四大報表(二)- 客戶開發
Google Analytics 四大報表(三)- 行為
Google Analytics 四大報表(四)- 轉換

找到後點選總覽（overview）可以在上方曲線圖的下方日期那邊找到一個小箭頭，點擊那個箭頭會出現下方選單。最右邊有一個「Create new annotation」就是增加註解，選擇要增加註解的日期及備註就完成了，之後在觀察網頁數據的時候就可以知道數據生成的原因並一一解析或排除了。

你也可以針對撰寫的註解設定為「私人private」那就只有這個登入的Google帳號能看到這個註解，如果沒有特別設定一般都是預設為分享給所有有權瀏覽者或使用者觀看。

那到底是什麼影響到我的 Google Analytics 後台數據？

像我的網站有安裝外掛程式能幫我分析每篇文章的瀏覽數、點擊等等，另外我也有串接 Search Console，對 Search Console 不熟悉的可以先看這邊：

延伸閱讀：
Google Analytics X Search Console報表
Google Search Console 建立與安裝<初學篇>
簡單兩步驟串接Google Analytics和Search Console<初學篇>


所以我從網站的外掛程式和 search console 都發現在 GA 後台數據消失的那幾天都是有被 Goolge 曝光也有訪客點擊跟瀏覽，數字也和先前的沒有太大差異，那是為什麼 GA 的數字有問題呢？查看其他網站的 GA 也沒有發現異常，排除 GA 數據流量問題，我選擇先重新安裝網站的 GA 追蹤碼進行測試。


測試後發現，我用沒有排除內部IP位置的裝置登入（使用無痕）都還是沒有任何更新的在線瀏覽人數時，開始覺得整件事情有點奇怪，怎麼可能會沒檢測出來。後來我在下方看到我自己新設定的 GDPR 個資法 cookies 蒐集同意通知後，才意識到問題的原因了！

歐盟 GDPR 個資法到底是什麼？

預計於2018年5月25日正式生效的歐盟 GDPR（General Data Protection Regulation，一般資料保護法規）主要是為保障歐盟公民的數據隱私權利，為什麼我稱為『數據隱私』呢？因為 GDPR 主要是用於線上的 cookies 資料蒐集等，每個訪客如果透過線上瀏覽器瀏覽任何內容，除非有特別在設定中排除記錄所有歷程外，都會形成一個叫 cookie 的記錄幫 Google 或其他平台更了解你，你推薦更適合你或你喜歡的內容給你，有點像線上客製化的身分證之類的東西。


歐盟的 GDPR 和台灣的個人資料保護法有點點差異，GDPR 比較接近讓用戶有拒絕被獲取自身數據資料的權益，而台灣的個人資料保護法用意不在限制企業蒐集而是要求企業盡告知義務取得憑證以避免後續紛爭。但歐盟的 GDPR 要求的很嚴格，從這篇新聞報導可看出，除了要有讓訪客點選的按鈕外，也必須有一個讓訪客「拒絕」的按鈕，如果沒有拒絕按鈕、預設同意、自動勾選好同意等情況都會被視為違反 GDPR 而被重罰。


在8月的時候我因為在網頁頁尾開啟了 GDPR 的顯示和同意按鈕後，我發現所有進入我的 blog 訪客如果放置不管 GDPR 說明或沒有勾選同意時，Google Analytics 完全不會蒐集資料也不會將該次使用者行為列入數據資料，所以才會呈現最上面那個可怕的瀏覽跟使用者曲線圖。

電子商務網站、部落格需要開啟 GDPR 嗎？

如同上面所說，其實 GDPR 是為了保護歐盟公民的數位隱私權利，如果你的訪客或客戶幾乎沒有來自歐盟國家的，其實 GDPR 個資法對你來說是多此一舉。


我們以歐美網購龍頭 Revolve 來示範說明，身為一個國際化的網購龍頭用戶遍佈全球的情況下，一定會非常注意這方面資訊以避免被開罰，因為網站一進入會先以 IP 進行國家區分用以顯示最適合你的國家、地區、語言。


一進入時是顯示中文、台灣，出現如下畫面並沒有 GDPR 的跳出說明 bar 等需要我同意的按鈕。

試試切換到非歐盟成員國的日本看看，一樣沒有出現任何 GDRP 的同意欄位。

那如果是歐盟成員國的「德國」和「英國」（好啦，英國滿尷尬的，但一樣舉例給大家看）呢？會發現上方自動出現的同意蒐集 cookies 的 GDPR 視窗。

小結

這次的 GA 數據事件其實不只有 GDPR 個資法這個因素影響，還有牽涉到我其他網站的調整跟 domain 的問題我就不細說了。但主要透過這次實際瞭解實務上大家是如何操作 GDPR 個資法以達到符合法規前提下又不影響訪客數據資料蒐集的，大家可以到自己網站的 Google Analytics 後台看一下訪客大多來自哪邊，如果基本上沒有任何歐盟的訪客瀏覽或流量很低很低，就不用太過擔心。


如果網站比較大或有預算的品牌還是會建議請工程師將網站調整一下，參考 Revolve 的做法將歐盟國家的 IP 分出來轉頁面給他們（也可以直接用英文語系就好）再另外做 GDPR 的同意按鈕給這些訪客以避免受罰。