《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。GDPR规定了企业了在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR的目的在于遏制个人信息被滥用,保护个人隐私。
关于GDPR
GDPR规定了所有欧盟的公民所享有的数字生活中的权利,其前身为 1995 年开始执行的《数据保护指令》(Data Protection Directive),大部分 GDPR条款都从其继承而来,同时GDPR在生效后会取代旧的规定。在欧盟的法律体系中,指令(directive)和条例(regulation)是两种不同的形式:指令不直接适用于各成员国,还需要成员国自行转化成为其国内法,在转化过程中成员国有一定的自主裁量权;条例则对各成员国有直接适用的效力。在欧洲,事实上也是目前世界范围中,GDPR 是最完善、最严格的隐私保护规定。
GDPR在欧盟法律框架内属于“条例”,此前已经在欧洲议会(下议院)和欧盟理事会(上议院)通过,可以直接在各欧盟成员国施行,不需要各国议会通过。目前欧盟有28个成员国,大约有5亿多人可以直接得到GDPR的保护。值得一提的是,虽然英国已经启动脱欧程序,但也同样批准了GDPR,并且同样从5月25日开始正式推行。
根据GDPR的规定,企业在收集、存储、使用个人信息上要取得用户的同意,用户对自己的个人数据有绝对的掌控权。
新规缘由
1、为欧盟公民提供更多使用自己的个人资料的权力;
2、加强数字服务提供者与他们所服务的人之间的信任;
3、为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
影响
1、GDPR是迄今为止覆盖面最广的全球性数据隐私保护法规,于2018年5月25日正式生效。
2、任何处理欧洲公民个人数据的组织都必须遵守该条例。
3、不遵守GDPR通知义务可能面临高达1000万欧元或相当于全球年营业总额2%的罚款(以其中较高者为准)。不遵守监管机构的命令可能会面临高达2000万欧元或相当于全球年营业总额4%的罚款(以较高者为准)。
适用地域范围
1、GDPR适用于在欧盟境内设有业务机构(establishment)的组织,只要这些组织在业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。
2、如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
3、GDPR适用于非欧盟组织处理欧盟境内个人的个人数据,只要此类处理行为涉及对这些个人的行为进行监控,且该处理行为发生在欧盟。
GDPR完善和严格的体现
1、企业部分
(1)首先,企业在收集用户的个人信息之前,必须以“简洁、透明且易懂的形式,清晰和平白的语言”向用户说明:将收集用户的哪些信息;收集到的信息将如何进行存储;存储的信息会如如何使用;企业的联系方式。也就是说,之前的那种通过使用模糊的、容易混淆的语句连哄带骗的使用户同意被收集数据的做法是不再被允许的。在这个语境中,“个人信息”是指如IP、邮箱地址、用户名等一切能确定用户的身份的信息。
(2)其次,GDPR的处罚力度非常高,高到足够引起所有的公司重视。每次违反条例最高处罚金额为该公司年度营业额的4%,或者2000万欧元,取决于哪个数值更大。
2、用户部分
(1)概述:用户作为消费者,随着 GDPR 的实施,享有多种权力。
(2)享有的权力:
①数据访问权:用户有权给予向企业问询个人信息是否正在被处理,如果正在被处理的话,可以继而了解:处理的目的;相关数据类型;数据接收方的信息;如果对象是数据接收方,可以问询其数据来源。
②被遗忘权:用户有权要求企业删除掉个人数据,当数据已经披露给第三方时,用户可以继而要求他们删除相关数据。
③限制处理权:用户有权禁止企业将信息用于特定的用途,像禁止企业用于垂直营销。假如最近在购物网站搜索了“精酿啤酒”为关键词的商品,网站的推荐信息流或者和该网站有合作的其他站点中可能就会向你推荐类似的“精酿啤酒”,我们现在可以要求该公司不能将这件事透露给其他公司,甚至特可以要求该公司本身也不能把这件事用于任何营销活动。
④数据携带权:简单来说,当用户想离开某个平台时,可以要求该平台将用户在该平台产生的数据,以格式化的、机器可处理的格式提供给用户。
消费者受益
1、更多隐私:企业被要求只能收集和处理基于特定目的所需的个人数据,并采取措施保护个人数据。
2、个人数据更安全:随着对收集和处理个人数据实施更严格的规则,数据泄露事件发生的可能性会更少。
3、更好地控制他们的购物体验:消费者可以事先决定是否要接收来自企业的营销电子邮件,或者是否允许网站追踪他们的行为用于分析和再营销。
企业如何应对GDPR
1、内容准备:企业GDPR说明文本清晰明确。
(1)企业内部的“服务协议”和“隐私条款”需要针对GDPR做相应调整,制定适合企业自身情况的规则说明文档。
(2)清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。
(3)保证多语言版本,不可利用语言不同等,模糊规定而获取用户的许可。
2、新用户:表单入口明确权益告知。
(1)在订阅、注册等全部数据采集入口设置明显告知用户窗口。
(2)位置醒目、内容明确清晰。
(3)可存在自动勾选强制同意行为,获得用户主观许可后才可使用
3、已有会员:用户自主完成授权。
(1)授权页面默认不勾选用户授权的内容,需要用户自己进行勾选然后点击“授权”。
(4)GDPR 正式生效后,可在邮件发送界面的“排除组”那里进行勾选,对未获得授权的用户不再进行发送。
4、已有会员:允许随时撤销许可或修改授权。
(1)针对一直未对是否授权做明确回应用户,以及已许可用户,在后期每封邮件推送中,均需设置明显的撤销许可标识。
(2)允许用户随时取消授权行为。
(3)允许用户随时修改个人信息内容。
社交媒体营销(或广告)怎么做
1、根据GDPR,如果想使用客户数据或追踪他们行为用于广告目的,您必须获得这样做的法律依据。也就是说,您必须获得客户的明确同意。
2、您必须给予您的客户一个自由和真实的选择来接受或拒绝(并允许轻松撤回他们的同意)。
3、您必须说明将收集客户的哪些数据以及如何使用这些数据。同意的请求必须使用清晰和简单的语言,方便客户理解。用户没主动反应也不构成同意。您的客户必须采取行动。(例如,不允许预先勾选同意方框。)
4、由于获得同意的要求非常严格,所以最好直接参阅相关规定并与您的法律顾问联系。多种社交媒体广告特征,包括使用您上传的客户数据,收集个人数据或在您的网站上的追踪用户行为。如果您有涉及到上述行为,那么进一步研究应采取的行动将非常有用。
对相关企业的影响
Google和Facebook在GDPR生效日分别收到了欧盟39亿欧元、37亿欧元罚款的诉讼。苹果、亚马逊、Linkedin等公司也面临隐私监管机构提起的诉讼。GDPR生效后,芝加哥时报、洛杉矶时报等多家美国媒体网站在欧洲的服务器关停。
微信海外版、新浪微博国际版等多家互联网企业向欧洲区用户更新隐私政策,请求重新授权。QQ停止部分国际版服务,并将推出新版本,提示用户升级。国航、东航均对其APP及官方网站隐私条款进行了更新。海尔、华为早已雇请专门团队应对新规。
