Google-direktør afviser Enhedslistens angreb på Analytics

11 kommentarer.  Hop til debatten
Det er grebet ud af luften, når Enhedslisten anklager webværktøjet Google Analytics for at sende data videre til andre Google-tjenester, lyder det fra Google. Kun kunden har adgang til egne data.
22. august 2011 kl. 10:44
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hvordan kan IT- og Telestyrelsen bruge Google Analytics på hjemmesiden og dermed lade Google spionere på de besøgende?

Sådan lød et spørgsmål fra Enhedslisten til Videnskabsministeren i juli måned, men spørgsmålet er fuldstændigt misforstået, lyder det nu fra Google Danmark, der afviser hele præmissen i spørgsmålet.

Der bliver ikke på nogen måde sendt data fra Google Analytics videre til Googles reklametjenester, fortæller firmaet til Version2.

»Jeg synes, Enhedslisten skal basere den slags spørgsmål på fakta, i stedet for noget, der decideret er forkert. Jeg har læst om deres spørgsmål til ministeren, og der er mange faktuelle fejl,« siger Peter Friis, direktør for Google Danmark, til Version2.

Artiklen fortsætter efter annoncen

Google Analytics er et gratis værktøj til at blive klogere på, hvor mange, der besøger en hjemmeside, hvordan de fandt dertil og så videre. Alle data bliver samlet på Googles servere - men det betyder ikke, at Google selv udnytter disse data i andre sammenhænge, understreger firmaet.

Hver eneste bruger af Google Analytics har sine data liggende isoleret, og Googles medarbejdere kan heller ikke selv tilgå disse data. Kun hvis kunden giver tilladelse til det, kan Googles folk kigge med og se, hvad kunden selv kan se.

Der er dog én undtagelse, hvor Google faktisk samler Analytics-data på tværs af kunderne: Google kan hente data fra forskellige kunder i samme branche for at lave anonyme benchmarks, så for eksempel statistik fra alle it-firmaer, der bruger Analytics, bliver samlet. Men først, når der er et vist antal tilgængelige firmaer til at gøre sammenligningen anonym. Og kun fra de brugere, der har sagt ja til at dele deres data til benchmark-brug.

Én Google-tjeneste har også integration med Analytics-data, nemlig Adwords, hvor Google sælger reklameplads ved søgninger. Men det er udelukkende for, at Analytics-brugerne kan se, hvilke af deres Adwords-kampagner der giver besøgende på en webside, forklarer Google. Og det er først for nyligt, at der er blevet åbnet op for to-vejs-trafik, så en kunde nu også kan koble statistik fra Analytics til deres egne Adwords kampagner.

Bruger kun 1. parts-cookies

Rent teknisk lægger en hjemmeside-ejer en stump Javascript fra Google Analytics på serveren, og scriptet placerer så en cookie hos de besøgende. Men det er altid en 1. parts-cookie, og altså ikke en tredjeparts-cookie, som Enhedslisten ellers skriver i spørgsmålet til ministeren.

Dermed kan andre Google-tjenester ikke bruge cookien, for det er kun webserveren fra det domæne, som oprindelig lagde cookien, der har adgang til den.

For at Google eller tredjepart skulle kunne finde ud af, hvem folk var ud fra den cookie, ville det rent hypotetisk kræve, at man rent fysisk skulle stjæle computeren og finde cookien der, forklarer virksomheden.

Skulle der på en eller anden måde alligevel være en teknisk mulighed for, at Google kunne følge brugerne rundt på alle de webservere, som bruger Google Analytics, vil det aldrig blive taget i brug, lover firmaet.

»Den slags ville stå i meget grel modsætning til, hvad vores politikker tillader,« siger Peter Friis.

Men hvis Google ikke bruger data fra Google Analytics til andet end branche-benchmarks, hvad er så meningen med at bruge mange udviklerkræfter på et avanceret, gratis værktøj, der konkurrer med dyre betalingsløsninger?

Her lyder svaret, at Google sagtens kan have projekter, som generelt gør brugen af internettet til en bedre oplevelse. Med Google Analytics kan websider blive bedre, og så kan Googles Adwords-kunder også langt bedre se, hvad effekten er at lægge penge i Googles Adwords-kasse.

Modsat ville ballade over, at Google indsamlede oplysninger i det skjulte med Google Analytics og brugte dem til en detaljeret profil over alle på internettet, kunne give enormt bagslag, lyder ræsonnementet.

»Vi har hverken lyst til eller råd til at gøre noget, som kunderne ikke synes om, for så vil de forsvinde,« siger Peter Friis.

11 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
11
12. juli 2012 kl. 10:32

Grænsen mellem sund skepsis og decideret paranoia er hårfin. Så længe de eksistere mennesker der fra tid til anden falder af limpinden skal det hele jo nok gå.

Stain Bagger beviste jo at man kan kvæle megen sund skepsis ved at være overbevisende og samtidig skulle man jo næsten være paranoid for at holde fast tanken om kejserens nye klær.

På den anden side, er det ved at være jammerligt enerverende at høre på de samme BigBrotherWatchingYou / DenOndeKapitalist.

Blandt de der virker til at være faldet af limpinden lader der til at herske en virkelighedsopfattelse og livsanskuelse der ligner:

  1. Hvis de har succes er det garanteret fordi det enten er ulovligt, uærligt eller fordi de udnytter nogen.

  2. Alle der tjener penge gør det af grådighed.

  3. Hvis ikke jeg har succes skal andre heller ikke have det og for øvrigt er det os der afgør hvad der er succes og hvad der ikke er.

Det bliver lidt enerverende at høre på i længden.

10
17. oktober 2011 kl. 13:27

Jeg giver Jesper Lund ret i at det er et spørgsmål om tillid når man skal vurdere om oplysningerne bliver misbrugt. Jeg synes dog at når man kikker på Googles track-record så har de være involveret i forbavsende få ubehagelige sager når man sammenligner dem med konkurrenterne som fx Microsoft.

Dette giver mig grund til at stole mere på Googles løfter end den gennemsnitlige virksomhed.

På den anden side er det i princippet en noget ulden sag at en offentlig instans som IT- og Telestyrelsen sælger borgernes information til en privat virksomhed uden at oplyse om det. Det er en ubehagelig glidebane, som burde forhindres i at danne præcedens.

Som minimum burde der kræves en kontrakt med Google hvor det kræves at data forbliver hemmelige og kun læses af maskiner. Dette kan Google ikke love hvis data bliver gemt på maskiner i USA (grundet USAnsk lovgivning der giver staten ret til at hente oplysninger på computersystemer på USAnsk jord), så det må også kræves at data forbliver i EU.

Generelt må der stilles større krav til offentlige services omkring datasikkerhed, da deres data er betydeligt mere følsomt end hos private viksomheder hvis kunder kan vælge en anden udbyder hvis datasikkerheden findes utilstrækkelig.

9
23. august 2011 kl. 13:37

[...] Googles medarbejdere kan heller ikke selv tilgå disse data. Kun hvis kunden giver tilladelse til det, kan Googles folk kigge med og se, hvad kunden selv kan se.

Betyder det mon, at alle oplysninger ligger krypteret hos Google med kundens private nøgle? Og at alle oplysninger er krypteret før Google modtager dem?

Nej, Google kan læse de oplysninger, der sendes til dem. Og når kunden logger ind med sit almindelige Google-login, viser Google fint en masse oplysninger.

Det er muligt, at Googles systemer ikke tillader deres almindelige first-line-support-medarbejdere at se alle oplysninger, men det er åbenlyst, at systemmedarbejdere og DBA'er må have adgang til disse data.

3
22. august 2011 kl. 16:36

"Modsat ville ballade over, at Google indsamlede oplysninger i det skjulte med Google Analytics og brugte dem til en detaljeret profil over alle på internettet, kunne give enormt bagslag, lyder ræsonnementet.

»Vi har hverken lyst til eller råd til at gøre noget, som kunderne ikke synes om, for så vil de forsvinde,« "

Når man påtænker at kunderne er reklamefirmaer... Hvis vi skal forlade os på deres moralske kompas så er der nogen der ikke har set Screenwipe med Charlie Broker...

http://www.youtube.com/watch?v=qWXKHGolqrU

Find selv resten af det afsnit det er fantastisk...

Så hvis google siger at deres moralske kompas er deres kunder, så er det her et enestående øjeblik af sandhed...

Tak... det gør alting meget enklere at forstå for reklamebranchen vil gøre hvad som helst for penge.

Hvis Google nu mente det seriøst så ville de ha tredieparts firmaer der kunne bekræfte at deres interne politikker overholdes... som andre reklame distributions firmaer gør... men hvad var det nu de gjorde med streetview var det indenfor den interne politik ?

NB! Lidt off topic hvordan er det lige at ghostery finder google analytics på http://www.pinsestaevnet.dk/ som jeg er webmaster for og jeg har tro det eller lad vær IKKE google analytics instaleret ? lidt mystisk... for hvis jeg nu ikke bruger google analytics hvorfor sender min webside så google analytics information til google ? for jeg bruger dem ikke...

/Jakob

2
22. august 2011 kl. 16:30

Enhedslistens kritik og §20 spørgsmål var vel rettet mod ITST og ikke Google som sådan, men eftersom kritikken handler om ITST's brug af et Google produkt, er det naturligt at Google svarer.

Det grundlæggende problem ved Peter Friis' svar er imidlertid at vi ikke har en jordisk chance for at vurdere om svarene er korrekte eller ej. Det kommer lynhurtigt til at handle om tillid til Google, og det er måske fint nok hvis det er et Google produkt som vi hver i sær frivilligt vælger at bruge (search, Gmail, Docs, Latitude, Picasa, m.fl.). Men Google Analytics (GA) falder ikke i den kategori: det er noget som ITST vælger at bruge, men det er vores trafikdata som udleveres til Google.

Vi kan starte med at skelne mellem hvad vi ved om GA og hvad vi (efter Peter Friis' svar) tror om GA.

Vi ved at ITST sender oplysninger til Google når vi besøger www.itst.dk, og dette sker uden forudgående samtykke. Vi ved at der er tale om en first party cookie, som ITST sætter, ligesom ITST vælger at indsætte (injecte) den javascript kode som udfører GA operationen (registrering og at sende data til Google). Vi ved også at Google har mulighed for at kæde vores GA sessioner fra forskellige websites sammen. Dels fordi vi ved hvilke data som sendes til Google (indhold af GA cookies, browser metainformation, IP adresse og HTTP GET headers), dels fordi Peter Friis selv udtaler at Google samkører GA data til "statistiske formål". Når Google kan samkøre data med efterfølgende anonymisering (statistik), kan de også gøre det uden anonymisering med henblik på profilering.

Peter Friis vil nu have os til at tro at Google slet ikke udnytter de tekniske muligheder for profilering som Google har. Peter Friis siger vel nærmest at Google ikke engang kan se den summariske webstatistik som en GA kunde som ITST får, medmindre kunden giver tilladelse til det. Og Peter Friis siger videre at data fra GA aldrig bliver samkørt med andre data som Google indsamler om os.

Det kan man tro på, eller man kan lade være. Google er ikke et filantropisk firma, og det er Google selv som har formuleret målet om at Google vil vide mere om os end vi selv gør. Et andet problem er at selv om Google ikke gør XYZ i dag, har de stadig en "privacy policy" hvor de forbeholder sig ret til at gøre dette senere, herunder på data som er indsamlet tidligere.

Skulle der på en eller anden måde alligevel være en teknisk mulighed for, at Google kunne følge brugerne rundt på alle de webservere, som bruger Google Analytics, vil det aldrig blive taget i brug, lover firmaet.

Hvorfor skulle vi tro på det udsagn? Google Inc har en forpligtelse til at varetage aktionærernes interesser, og kommerciel profilering er en profitabel industri. Men hvis Google virkelig mener det alvorligt at de ikke misbruger, eller vil misbruge, data, kunne de lave en europæisk udgave af Google Analytics (til kunder i EU), hvor serverne er fysisk placeret i EU, og hvor dataindsamlingen bliver godkendt af de europæiske datatilsyn (herunder det tyske datatilsyn, som har forbudt tyske websites af bruge GA). Det ville øge troværdigheden af Peter Friis' udsagn.

Enkelte udsagn fra Peter Friis er decideret komiske. Specielt denne om GA cookies

Dermed kan andre Google-tjenester ikke bruge cookien, for det er kun webserveren fra det domæne, som oprindelig lagde cookien, der har adgang til den.</p>
<p>For at Google eller tredjepart skulle kunne finde ud af, hvem folk var ud fra den cookie, ville det rent hypotetisk kræve, at man rent fysisk skulle stjæle computeren og finde cookien der, forklarer virksomheden.

Det er korrekt at GA cookies er first-party cookies, men Google behøver altså ikke bryde ind i min lejlighed for at læse mine GA cookies fra forskellige websites. Hvert eneste website sender som bekendt indholdet af disse cookies til Google sammen med en række andre informationer (IP adresse, browser metadata, HTTP GET headers) som Google kan samkøre med andre data som Google har indsamlet.

Der er ikke tale om en direkte person-identificerende cookie som ved Facebook "I like" knapper (her er det en third-party Facebook cookie som indeholder dit brugernavn) eller Google's egne +1 knapper (Google account ID sendes til Google), men fordi så mange websites bruger GA, vil Google meget nemt kunne opbygge meget præcise profiler af os allesammen ved at samkøre de enkelte GA sessioner.

Jeg kan selvfølgelig ikke vide med sikkerhed om Google gør dette (vi er i afdelingen for hvad vi "tror" eller "ikke tror"), men risikoen er simpelthen for stor efter min mening.

1
22. august 2011 kl. 13:45

"Stol på os! Vi er de gode! Selvom der er tekniske muligheder for uhensigtsmæssig brug af persondata, har vi interne politikker (læs: vi lover) ikke at gøre det".

Det er selvfølgelig svært at leve, hvis man ikke stoler på folk, men jeg synes at man gør klogt i ikke at stole på private firmaer, medmindre det er deres kerneforretning at gøre som man ønsker. Og det er ikke Googles kerneforretning at passe godt på personfølsomme data. Det er det bare ikke.

5
22. august 2011 kl. 21:22

Jo, det er Googles kerneforretning at passe godt på personfølsomme data.

Rigtigt godt, endda. For kommer de i miskredig, f.eks. ved bevis på det modsatte har de ikke nogen forretning mere. Folk vil bruge alternativer til GA og alternative søgemaskiner. Punktum.

Google har ikke et monopol på noget, der ikke ret let kan skiftes ud med noget andet.

Derfor stoler jeg langt mere på Google end på nogen der sidder tungt på en brugerskare, som f.eks. Microsoft, der i øvrigt også er fanget i ulovligheder og dømt for dem en hel del gange, hvilket man ikke kan sige om Google.

I øvrigt vil jeg tro det er særdeles svært at have et etikkodeks som Googles http://investor.google.com/corporate/code-of-conduct.html og i hemmelighed ikke at følge det, uden det ville blive lækket af en medarbejder.

6
22. august 2011 kl. 22:00

Jo, det er Googles kerneforretning at passe godt på personfølsomme data.</p>
<p>Rigtigt godt, endda. For kommer de i miskredig, f.eks. ved bevis på det modsatte har de ikke nogen forretning mere. Folk vil bruge alternativer til GA og alternative søgemaskiner. Punktum.

Taler vi om den virksomhed som for nylig er blevet taget med fingrene langt nede i (persondata) kagedåsen i streetview-wifi gate? Eller den virksomheden hvor direktørens bedste løsningsforslag til dem som er bekymret over spredningen af persondata på nettet er... skift navn.

Det er fint at folk vælger at have tillid til Google og kaster sig over Gmail, Google Latitude, Google Docs, eller whatever. Be my guest. Problemet med Google Analytics er at det er ikke noget som jeg selv vælger. ITST har så at sige truffet valget på mine vegne, hvis jeg bevæger mig ind på itst.dk for at læse om hvornår cookie reglerne træder i kraft (der er en vis ironi her).

7
23. august 2011 kl. 10:03

Det du så saftigt omtaler om "streetview-wifi-gate" er at Google selv indrømmer en fejl, i stedet for at forsøge at tysse sagen ned.

Læs evthttp://www.version2.dk/artikel/google-undskyld-vi-opsnappede-wi-fi-data-fra-streetview-biler-14874http://www.version2.dk/artikel/google-frikendt-wifi-aflytning-i-england-15674http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html

Det står så i meget skarp kontrast til andres håndtering af langt værre skandaler, f.eks. http://da.wikipedia.org/wiki/Embrace_extend_and_extinguish , som i øvrigt kun handler om afsagte domme hvor MS er fundet skyldig, dvs. en helt anden kaliber end det du så saftigt omtaler om "streetview-wifi-gate". Så jeg ku godt tænke mig at høre hvordan du så ville omtage de sager?

8
23. august 2011 kl. 13:17

Det du så saftigt omtaler om "streetview-wifi-gate" er at Google selv indrømmer en fejl, i stedet for at forsøge at tysse sagen ned.

Jeg har fulgt streetview-wifi sagen ret tæt siden den startede medio 2010. Jeg tror gerne at det var en "fejl" at Google gemte ikke-krypterede wifi payload pakker, men jeg er ikke overbevist om at det var en "fejl" at Google gemte MAC adresser på wifi klienter sammen med geolocation information. Disse data er værdifulde for Google's profileringsmaskine (modsat wifi payload pakker, som vil være for fragmenterede til at de er anvendelige til noget). Den formodning og kritik var fremme allerede i 2010 af specielt Kim Cameron.

Der var generelt stort kritik af Google's wifi indsamling fra streetview bilerne i 2010, og Google er så vidt jeg ved helt stoppet med denne dataindsamling (nu lader de Android telefonerne gøre det, men den dataindsamling kan trods alt kun dække APs med SSID broadcast, ikke wifi klienter i området).

For at komme tilbage til sagen (Google Analytics): Jeg ser streetview-wifi sagen som symptomatisk for den måde som Google arbejder på. De går hele tiden til stregen for det tilladelige (moralsk, etisk og juridisk), og når man konsekvent gør det, kommer man nogle gange til at gå over stregen ved en "fejl". Samtidig opnår Google en anden ting, nemlig at de hele tiden får flyttet grænsen for hvad der er tilladeligt med hensyn til persondata indsamling og profilering.

Hvis Google mente det alvorligt med at beskytte vores persondata, ville Google samarbejde aktivt med de europæiske datatilsyn i stedet for at modarbejde dem.