关于 Google Analytics（分析）中的国际数据传输

这是谷歌对奥地利数据保护机构裁决的响应，原文如下：

1 月份，奥地利数据保护机构裁定，当地的一家网站发布商在应用 Google Analytics（分析）时没有提供足够的数据保护，理由是美国国家安全机构理论上有能力访问用户的个人数据。虽然该决定仅针对一个特定的发布商及其特定情况，但我们知道这为其他 Google Analytics（分析）客户带来了挑战，他们会担心该数据保护机构的逻辑可能被应用于所有位于美国境内的分析服务提供商，以及欧盟和美国之间的所有用户数据传输。

人们越来越依赖 数据流 来处理从在线购物、旅行和运输到办公室协作、客户管理和安全运营的各种事务。要继续这一趋势，欧盟和美国政府必须很快达成新的数据框架协议。

虽然我们相信 我们为客户提供的各种补充措施 可确保切实有效地保护数据并符合任何合理的标准， 但我们力争为客户提供各种控件 ，以便他们能够确定要收集哪些数据以及如何使用这些数据，从而满足各自独特的业务需求和合规需求。因此，我们不断努力添加新的控件，以便客户能够对要收集的分析数据进行更明确的自定义设置，从而使他们能够继续以符合其合规目标的方式使用 Google Analytics（分析）。我们计划在未来几周内分享更多详细信息。

按GDPR的规则，如果是匿名数据，传输到美国没问题。

如果是个人信息，需要用户同一，需要欧美的法律协议，才可以传输到美国，隐私盾在2020年被宣布无效，没有法律协议，这段时间对于美国互联网公司是个尴尬期。

由于美国互联网公司在欧盟的几乎垄断的地位，基于它们庞大的数据，是可以打通，对头部互联网公司，可以说是没有匿名数据和个人信息之分。

而美国基于《外国情报监控法》可以直接要求国内互联网公司提供个人信息，这就违背欧盟的法律要求，有以下几种潜在的解决方式：

1. 需要美国政府承诺，或谷歌明确存储的欧盟用户数据不会被美国政府获取，这个可能性不大。
2. 数据存储在欧洲，但鉴于它是一家美国公司，数据的拥有、管理、获取还是它，美国政府还是可以获取数据。
3. 数据存储和处理由欧洲本地的云服务提供，实现“数据主权”，这种方式中国做的比较好，很多国际公司的产品进入中国，涉及到大量用户数据，个人信息往往会需要一个local parnter去管理运营，类似国内苹果的云上贵州，微软和世纪互联，看有消息说在德国准备试点。

第一种和第三种不失为一种解决方式，能达成第一种最好，但目前看欧盟地区对“数据主权”的追求，是想要第三种方式倾向。