อาศัยบ้านท่าน..อย่านิ่งดูดาย

ครที่ใช้ Google Analytics แล้วยังไม่ได้ปรับตัวกับการเปลี่ยนแปลงใหม่ล่าสุด นี่เป็นบทความที่คุณควรอ่าน และรวม Actions ที่คุณควรทำ

ผู้ใช้อาจจะได้รับอีเมลรวมถึง Notification แจ้งข่าวเรื่อง Data Retention Controls กันไปเรียบร้อยแล้วเมื่อสัปดาห์ที่ผ่านมา โดยเมื่อคุณล็อกอินเข้าหน้า Google Analytics คุณจะพบกับการแจ้งเตือน ซึ่งระบุว่า “We've recently launched new Data Retention controls that may affect your data starting May 25, 2018. Please contact your Account Administrator to have them review your settings.” 

คำถามที่ตามมาคือ เจ้า Data Retention Controls นี่คืออะไร และเราในฐานะผู้ใช้ Google Analytics ต้องทำอะไรกับเหตุการณ์นี้?

บทความนี้จะตอบข้อสงสัยให้ค่ะ

Disclaimer: เนื้อหาในบทความนี้ผู้เขียนอ่านจากหลากหลายที่ แต่พบว่าเนื้อหาของ blastam.com เรียบเรียงออกมาได้ดีและเข้าใจง่ายที่สุด จึงขออ้างอิงจากแหล่งนี้เป็นหลัก

GDPR คืออะไร?

เจ้า Data Retention Controls ที่ว่านี้เป็นการกระทำซึ่งเกิดขึ้นจากกฏหมายใหม่ของ EU (European Union) ที่ชื่อว่า General Data Protection Regulation (GDPR) ซึ่งจะมีผลตั้งแต่วันที่ 25 พฤษภาคมนี้เป็นต้นไป มีจุดประสงค์เพื่อการกำกับดูแลเรื่อง Data Privacy ของผู้ใช้งานอินเทอร์เน็ต และถูกนำมาใช้กับทั่วทั้ง EU

ทำไม GDPR ถึงถูกจับตามอง สรุปได้ดังนี้

  • ปกป้อง Personal data ของประชาชนใน EU ประชาชนมีสิทธิ์แจ้งขอลบข้อมูลส่วนตัวได้และบริษัทจำเป็นต้องทำตาม
  • มีค่าปรับ 20 ล้านปอนด์หากองค์กรของคุณไม่ปฏิบัติตาม
  • แม้บริษัทจะไม่ได้มีสาขาตั้งอยู่ใน EU แต่ถ้าคุณมีสินค้าหรือบริการให้บริการแก่ประชาชนใน EU บริษัทก็ต้องปฏิบัติตาม
  • Data Privacy ของผู้ใช้งานอินเทอร์เน็ตที่ว่า หมายถึงข้อมูลที่ทำให้ระบุตัวตนคนได้ เช่น IP addresses, Cookie identifiers และ GPS locations
  • จำเป็นต้องมีความโปร่งใสในข้อมูลทุกครั้ง ต้องมี Checkbox ขอความยินยอมต่อผู้ใช้งานก่อนเก็บข้อมูล

แน่นอนว่า ‘บริษัท' ที่ว่านี้ก็ไม่เว้นแม้แต่ Google และเครื่องมืออย่าง Google Analytics (GA) ที่เก็บข้อมูลของผู้ใช้งานอินเทอร์เน็ตที่เข้าเว็บไซต์ต่างๆ ที่ติดตั้ง GA อยู่

Shifu แนะนำ
GDPR นี้น่าจะส่งผลกับ Marketing Technologies ตัวอื่นๆ นอกจาก Google Analytics ด้วย แต่บทความนี้จะขอโฟกัสที่ Google Analytics ก่อน
แนะนำโปรแกรม
นอกจากนี้ ถึงแม้คุณจะบอกว่า “คนเข้าเว็บของฉันมีแต่คนไทย ไม่มีจาก EU แน่นอน” แต่การปรับตัวในครั้งนี้ของ Google Analytics จะถูกนำมาใช้ทั่วโลกอยู่ดี เพราะถึงแม้ GA จะเป็นตัวกลางเก็บข้อมูล แต่ถือว่าคนที่ขอให้ GA เป็นคนเก็บก็คือคุณนั่นเอง ดังนั้นเราควรศึกษาและทำตามหลักปฏิบัติกันดีกว่า

นอกจากนี้ ถึงแม้คุณจะบอกว่า “คนเข้าเว็บของฉันมีแต่คนไทย ไม่มีจาก EU แน่นอน” แต่การปรับตัวในครั้งนี้ของ Google Analytics จะถูกนำมาใช้ทั่วโลกอยู่ดี เพราะถึงแม้ GA จะเป็นตัวกลางเก็บข้อมูล แต่ถือว่าคนที่ขอให้ GA เป็นคนเก็บก็คือคุณนั่นเอง ดังนั้นเราควรศึกษาและทำตามหลักปฏิบัติกันดีกว่า

ผลกระทบกับ Google Analytics ที่ใกล้ตัวคุณ

อย่างที่ได้แสดงให้เห็นไปที่ภาพด้านบน ซึ่งเป็นภาพจริงที่ Content Shifu ได้รับจาก Google Analytics คือมีป๊อปอัปขึ้นมาแจ้งเรื่อง User & Event Data Retention

ตั้งแต่วันที่ 25 พฤษภาคมเป็นต้นไป Google Analytics จะลบข้อมูลของ Users และข้อมูล Events ออกโดยอัตโนมัติและเก็บไว้เฉพาะที่อยู่ในช่วง Retention period ที่คุณเลือก ซึ่งค่า Default ของ Retention period คือตั้งไว้ที่ 26 เดือน

ถ้าคุณคลิก Save โดยที่ไม่ได้แก้ไขอะไร ก็จะเป็นค่า Default ที่ 26 เดือน หรือถ้าคุณไม่ทำอะไรเลยก่อนวันที่ 25 พฤษภาคมนี้ คุณก็จะเหมือนเลือกค่า Default ไปเช่นกัน

Data Retention controls คืออะไร

Google ได้อธิบายไว้ในหน้านี้ ซึ่งเราขอสรุปมาให้อ่านกันดังนี้

Data Retention คือกระบวนการที่ GA จะลบข้อมูลของ Users และ Events ต่างๆ ที่ GA เก็บโดยอัตโนมัติ ซึ่งก็คือพวก Cookies, User ID ส่วน Data Retention controls คือฟีเจอร์ที่ผู้ใช้ GA อย่างเราๆ สามารถตั้งค่า GA ได้ว่าจะให้ลบข้อมูลโดยอัตโมมัติเมื่อไร

โดยตัวเลือกที่มีให้ ได้แก่

  • 14 เดือน
  • 26 เดือน
  • 38 เดือน
  • 50 เดือน
  • Do not automatically expire (ไม่ให้ลบข้อมูลอัตโนมัติ)

คุณสามารถเปลี่ยนการตั้งค่าได้ ซึ่งจะใช้เวลาทำการ 24 ชั่วโมง

คนใช้ Google Analytics มีอะไรบ้างที่ควรทำ

1. เปลี่ยน Data Retention Controls

จากตัวเลือกต่างๆ ที่มีให้ หากคุณยังไม่แน่ใจว่าจะเลือกอะไร เราขอแนะนำให้เลือก Do not automatically expire (ไม่ให้ลบข้อมูลอัตโนมัติ) ไว้ก่อน

สำหรับคนที่เผลอเลือกเป็นอย่างอื่นไปแล้ว คุณสามารถแก้ไขได้โดย

  1. ล็อกอินเข้าหน้า Google Analytics
  2. คลิกไปยัง Admin และไปที่ Property ที่คุณต้องการแก้ไข
  3. ที่คอลัมน์ Property ให้เลือก Tracking Info > Data Retention
  4. เลือกช่วงเวลาที่คุณต้องการ
  5. ตรง Reset on new activity คุณสามารถเลือกเป็น On หรือ Off ในที่นี้แนะนำให้เป็น On ซึ่งหมายถึงให้เก็บข้อมูลโดยอ้างอิงจาก Activity ของ Users ด้วย ไม่ใช่จาก Retention period อย่างเดียว

 

Shifu แนะนำ
สำหรับข้อ 2 เป็นต้นไป เป็นคำแนะนำสำหรับเว็บไซต์ที่มีผู้ใช้ใน EU แน่นอน ผลกระทบยังไม่ใกล้ตัว แต่แนะนำให้ลองดูๆ กันไป หากทำได้ เว็บคุณจะ Professional อีกเป็นกอง

2. ตรวจสอบว่าเว็บไซต์ของคุณมีเก็บข้อมูล PII ของใครเข้าหรือเปล่า

Google Analytics Terms of Service ระบุว่าไม่ให้เก็บ Personally Identifiable Information (PII) ของใครเข้า

PII หมายถึงข้อมูลที่ทำให้สามารถระบุเจาะจงตัวได้ว่าใครเป็นใคร เช่น IP Address (ที่ทำให้รู้ได้ว่าเป็นคอมเครื่องไหน บ้านไหน) หรือ Email address หรือเบอร์โทรศัพท์ เป็นต้น ดังนั้นเราต้องตรวจสอบว่ากระบวนการเก็บข้อมูลของเรามี PII ส่งเข้าไปยัง GA หรือเปล่า

  • ตรวจสอบการเรียกใช้ Page URLs, Page Titles ฯลฯ ว่ามีเผลอเอา PII ใส่เข้าไปไหม เช่นการส่ง email=abc@abc.com เป็นพารามิเตอร์ เป็นต้น
  • หากข้อมูลเป็นการกรอกฟอร์มโดย Users ซึ่งตัวฟอร์มมีใช้ GA ในการ Tracking อยู่ ฟอร์มนั้นๆ จะต้องไม่เป็นข้อมูล PII

คุณสามารถดูวิดีโอนี้ซึ่งสาธิตวิธีการตรวจสอบค่ะ

2. ใช้ Pseudonymous Identifiers ให้ถูกวิธี

นอกจาก PII แล้ว ยังมีข้อมูลอีกประเภทเรียกว่า Pseudonymous Identifiers หรือข้อมูลประเภทกึ่งระบุตัวได้ (นำมาใช้ระบุตัวตรงๆ ไม่ได้ แต่สามารถนำไปค้นหา/ถอดรหัส เพื่อระบุตัวได้) ได้แก่

  • User ID — รหัสผู้ใช้ ซึ่งเว็บเราควรมีการตั้ง User ID ต่างหาก นอกเหนือจากการใช้ Username และอีเมลที่ผู้ใช้กรอกโดยตรง
  • Hashed/Encrypted Data  — สำหรับข้อมูลที่ระบุตัวได้ เช่นอีเมล ให้มีการนำมาเข้ารหัสทุกครั้ง โดยขั้นต่ำสุดคือ SHA256
  • Transaction IDs

การใช้ Pseudonymous นั้นเป็นการปกป้องข้อมูลมากกว่า PII จึงไม่ผิดอะไร แต่มีคำแนะนำว่าเว็บคุณควรมี Privacy Policy เขียนเรื่องนี้ชัดเจนว่ามีการเก็บ Pseudonymous Identifiers นะ

3. อัปเดตหน้า Privacy Policy ของคุณ

Privacy Policy ถือเป็นหน้าเว็บที่ขาดไม่ได้หากคุณทำธุรกิจออนไลน์

Privacy Policy ควรระบุจุดประสงค์อย่างชัดเจน และเขียนในภาษาที่คนทั่วไปเข้าใจได้ (ไม่ต้องเป็นภาษากฏหมาย) จากคำแนะนำโดยบทความของ eConsultancy ข้อมูลที่คุณควรระบุในหน้านี้ เช่น

  • เว็บไซต์นี้มีการเก็บข้อมูลอะไรบ้าง
  • ใครเป็นคนเก็บ (เว็บนี้เป็นของใคร)
  • ข้อมูลถูกเก็บอย่างไร
  • เพราะอะไรถึงเก็บข้อมูลเหล่านี้ จะนำไปใช้ทำอะไรบ้าง
  • ข้อมูลจะมีการแชร์ให้ใครบ้างหรือไม่

เป็นต้น

หมายเหตุ: ของ Content Shifu ยังไม่ใช่ตัวอย่างที่เพอร์เฟ็ก เราตั้งใจว่าจะปรับปรุงให้ดีขึ้นกว่านี้ในเดือนกรกฎาคม*

4. ผู้ใช้ต้องสามารถ Opt-in / Opt-out ได้

ก่อนการเก็บข้อมูลใดๆ ควรได้รับความสมัครใจจากผู้ใช้ก่อน (Opt-in) หรือหากผู้ใช้ไม่ต้องการให้ใช้ต่อแล้ว ก็ต้องมีทางเลือกให้ยกเลิก (Opt-out)

5. เปิดใช้งาน IP Anonymization

ภายใต้ระเบียบ GDPR นั้น IP Address ก็ถือเป็น PII

แม้ว่าปกติแล้ว GA จะไม่ได้ Report รายงานออกมาว่า Users ของเราเป็นใคร ใช้ IP ไหนออกมาตรงๆ ก็ตาม แต่ GA ก็มีการใช้งาน IP ของ Users โดยการนำมาแสดงผล Geo-location เพื่อทำ Report รายงานว่า Users นี้อยู่ที่ประเทศอะไร จังหวัดอะไร

คุณสามารถปิดการใช้ IP หรือ เปิดการทำ IP Anonymization ที่ GA ได้ที่ Google Tag Manager

สรุป

ภายในวันที่ 25 พฤษภาคมนี้ Google Analytics จะเริ่มใช้งาน Policy ใหม่ ซึ่งอย่างน้อยๆ ที่สุดที่คุณควรจะ Take Action คือเรื่อง Data Retention controls ในข้อแรก ไม่ว่าจะตั้งเป็นค่า Default เหมือนเดิม หรือจะปรับเป็น Period อื่น

สำหรับข้ออื่นๆ แม้ว่าจะไม่ใกล้ตัวมาก แต่ก็แนะนำให้ศึกษาเอาไว้ แทนที่จะมองเป็นความยุ่งยาก แต่หากคุณทำได้ บริษัทของคุณจะเป็นตัวอย่างอันดี และดำเนินธุรกิจออนไลน์อย่างมืออาชีพ ซึ่งจะได้ความน่าเชื่อถืออีกเป็นกอง

ตาคุณแล้ว

บทความนี้อรเขียนขึ้นภายใต้ข้อจำกัดเรื่องเวลาอยู่บ้าง อาจจะไม่สมบูรณ์แบบ 100% (มีเรื่องยากๆ ที่ให้อธิบายได้อีกเยอะ) หากคุณมีคำแนะนำหรือคอมเมนต์อะไร ยินดีรับฟังอย่างยิ่งค่ะ

New call-to-action