短網址生成器與 GDPR — 在將連結放入電子報之前,你必須知道的事項
短網址生成器會收集點擊數據——而這已涉及 GDPR 的議題。我們將解釋短網址工具能看到什麼、這些數據會流向何處,以及當你在歐盟境內營運時,伺服器的所在地為何至關重要。
點擊一次短連結,平均會悄悄記錄下四項數據:IP 地址、瀏覽器、系統、進入來源。四項。現在將這個數字乘以 3000 個在週日早晨點擊你優惠連結的電子報訂閱者。你突然就擁有了一個你甚至從未見過的數千條記錄的資料庫。
這正是連結縮短器與 GDPR 之間不再僅是法律專家理論上的問題,而開始變成你自身問題的時刻。
因為在歐盟,IP 地址是個人資料。不是「幾乎」,也不是「在某些情況下」。而是個人資料。如果你在公司的行銷活動中使用短連結,身為管理員,你必須對點擊該連結之使用者的 IP 地址所發生的情況負責。
當有人點擊時,縮減器究竟看到了什麼
列表比看起來的要短,但足夠密集:
- 訪客的 IP(即上述提到的該個人),
- user agent,即瀏覽器與作業系統,
- referer — 來源頁面,
- 根據該 IP 計算出的近似 位置。
這足以做出漂亮的點擊統計數據。這也足以讓你陷入大多數人在快速貼上連結準備發送時,根本不會想到的責任之中。
這些數據會流向哪裡(以及為什麼這比統計數據本身更重要)
這裡就是真正的陷阱。許多知名的縮網址服務商是歐洲以外的公司,最常見的是美國公司。你點擊「縮短」,貼上電子報連結,而關於誰、何時以及從哪裡點擊的數據,就會傳送到大洋彼岸。
兩個問題,接踵而至。
第一:將數據傳輸至歐盟境外需要法律依據,而該傳輸的基礎本身可能是不穩定的。法規已經改變了幾次,且沒有任何跡象表明這就是終點。
第二:數據將受另一套法律規範管轄。作為歐洲的資料控制者,你根本無法掌控它。伺服器實際存放的地點不再只是文件中一個無聊的細節,而變成了一個關乎你是否符合 GDPR 的決定。
什麼能真正降低風險
三件事。沒有魔法。
歐盟伺服器。 點擊數據不會離開歐洲,因此整個跨大西洋傳輸的主題可以直接排除。需要翻譯的內容更少,需要監控的內容也更少。
收集更少的数据。 工具持有的數據越少,你的負擔就越輕。如果 IP 地址是經過雜湊(hashed)處理而非以明文形式儲存,那是件好事 —— 這樣你就能看到統計數據,但不會儲存特定人士的原始地址。這正是我們在 cutty.dev 中內建的功能,因為如果沒有這個功能,其餘的一切都是不完整的。
服務間無追蹤。 一款不連結訪客輪廓且不轉售數據的修剪器,可以減少清單上的一個問題。
實務操作,也就是週一早上該做什麼
這並不是要你停止縮短連結。請繼續縮短。重點在於要有意識地選擇工具,而不是隨便從搜尋引擎中找第一個看到的來用。
- 檢查伺服器位於何處,以及究竟是由誰在管理。
- 檢查儲存了哪些內容以及儲存多久。
- 如果你有收集訪客數據,請在你的隱私政策中加上短網址服務的說明。只需一句話。真的不費吹灰之力。
就這樣。這並非法律建議(我不是你的律師),但這是建立合規性的基礎,比起數據從第一次點擊起就流向大洋彼岸的情況,這樣做會容易得多。
如果你只能記住一句話:在發布電子報連結之前,請檢查你讀者的 IP 會落在什麼地方。這是一個能為日後省去更多煩惱的預先防範之策。