GDPR是什么？

一般數(shù)據(jù)保護條例（General Data Protection Regulation）是一項全面的法律，賦予了歐盟居民對個人數(shù)據(jù)的更多控制權，并試圖澄清在線服務商在收集、利用歐洲用戶個人數(shù)據(jù)的規(guī)則和責任。它取代了1995年通過的歐盟關于數(shù)據(jù)保護的法律，并對現(xiàn)有的公約做出了一些重大改變。

該規(guī)定擴大了公司必須考慮到的個人數(shù)據(jù)范圍，并要求他們密切跟蹤他們存儲的歐盟居民的數(shù)據(jù)。如果歐盟的某個人想要一個公司刪除他或她的數(shù)據(jù)，發(fā)送數(shù)據(jù)副本，或者更正數(shù)據(jù)中的錯誤，該公司必須遵守。

GDPR甚至比這還要更進一步。歐盟居民現(xiàn)在可以反對公司使用他們數(shù)據(jù)的具體方式。但只要公司停止將這些信息用于特定目的，他們就不介意這家公司保留這些數(shù)據(jù)。

更重要的是，GDPR要求公司需要在數(shù)據(jù)泄露的72小時內(nèi)通知用戶——目前還很少有公司做到這點。例如，在美國個人信用評估機構Equifax的泄露事件中，美國和其他地區(qū)的數(shù)百萬人的個人信息暴露無遺，該公司花了數(shù)周時間來阻止攻擊，然后在通知公眾之前制定好如何處理損失的計劃。

新規(guī)源由

(1)為歐盟公民提供更多使用自己的個人資料的權力

(2)加強數(shù)字服務提供者與他們所服務的人之間的信任

(3)為企業(yè)提供明確的法律框架，通過在歐盟單一市場上制定統(tǒng)一的法律來消除任何區(qū)域差異。

影響

《通用數(shù)據(jù)保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護法規(guī)，將于 2018 年 5 月 25 日生效。

任何處理歐洲公民個人數(shù)據(jù)的組織都必須遵守該條例。

不合規(guī)的企業(yè)可能面臨高達 2000 萬歐元或 4% 年營業(yè)額的罰款，以較高者為準。

適用對象

如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務，那么適用于GDPR。 這包括使用歐盟語言或貨幣，為歐盟居民量身定制產(chǎn)品，或在歐盟范圍內(nèi)積極營銷。 “監(jiān)控”定義為在線跟蹤人員創(chuàng)建個人資料，或分析和預測個人偏好，行為模式或態(tài)度。

-GDPR的誤解-

對GDPR最大的誤讀就是，不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權，無論在哪里（進行數(shù)據(jù)）處理。

適用地域

1. 本法適用于設立在歐盟內(nèi)的控制者或處理者對個人數(shù)據(jù)的處理，無論其處理行為是否發(fā)生在歐盟內(nèi)。

2. 本法適用于對歐盟內(nèi)的數(shù)據(jù)主體的個人數(shù)據(jù)處理，即使控制者和處理者沒有設立在歐盟內(nèi)，其處理行為：

(a) 發(fā)生在向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務的過程中，無論此項商品或服務是否需要數(shù)據(jù)主體支付對價；

(b) 是對數(shù)據(jù)主體發(fā)生在歐盟內(nèi)的行為進行的監(jiān)控的。

3.本法適用于設立在歐盟之外，但依據(jù)國際公法歐盟成員國法律可適用地的控制者對個人數(shù)據(jù)的處理。

消費者受益

更多隱私：企業(yè)被要求只能收集和處理基于特定目的所需的個人數(shù)據(jù)，并采取措施保護個人數(shù)據(jù)。

個人數(shù)據(jù)更安全：隨著對收集和處理個人數(shù)據(jù)實施更嚴格的規(guī)則，數(shù)據(jù)泄露事件發(fā)生的可能性會更少，例如最近發(fā)生的Facebook事件。

更好地控制他們的購物體驗：消費者可以事先決定是否要接收來自企業(yè)的營銷電子郵件，或者他們是否允許網(wǎng)站追蹤他們的行為用于分析和再營銷。

企業(yè)如何應對GDPR

1. 內(nèi)容準備：企業(yè)GDPR說明文本清晰明確

? 企業(yè)內(nèi)部的“服務協(xié)議”和“隱私條款”需要針對 GDPR 做相應調(diào)整，制定適合企業(yè)自身情況的規(guī)則說明文檔。

? 清晰明確表明企業(yè)將收集的數(shù)據(jù)、使用及用戶享有的許可或撤銷許可權益。

? 保證多語言版本，不可利用語言不同等，模糊規(guī)定而獲取用戶的許可。

2. 新用戶：表單入口明確權益告知

? 在訂閱、注冊等全部數(shù)據(jù)采集入口設置明顯告知用戶窗口。

? 位置醒目、內(nèi)容明確清晰。

? 不可存在自動勾選強制同意行為，獲得用戶主觀許可后才可使用

3. 新用戶：表單入口明確權益告知。

? 針對全部已有會員用戶發(fā)送申請許可郵件，未授權用戶三天后繼續(xù)發(fā)送，盡快獲取授權。（郵件模板可直接選用后臺模板）

? 用戶點擊郵件內(nèi)的 "DO IT NOW" 按鈕，跳轉到我們在 "GDPR" 功能模塊中生成的授權鏈接。

4. 已有會員：用戶自主完成授權

? 授權頁面默認不勾選用戶授權的內(nèi)容，需要用戶自己進行勾選然后點擊“授權”

? GDPR 正式生效后，可在郵件發(fā)送界面的“排除組”那里進行勾選，對未獲得授權的用戶不再進行發(fā)送。

5. 已有會員：允許隨時撤銷許可或修改授權

? 針對一直未對是否授權做明確回應用戶，以及已許可用戶，在后期每封郵件推送中，均需設置明顯的撤銷許可標識。

? 允許用戶隨時取消授權行為。

? 允許用戶隨時修改個人信息內(nèi)容。

付費社交媒體營銷（或社交媒體廣告）要怎么做

根據(jù)GDPR，如果您想使用您的客戶數(shù)據(jù)或追蹤他們行為用于廣告目的，您必須獲得這樣做的法律依據(jù)。也就是說，您必須獲得客戶的明確同意。

重點

您必須給予您的客戶一個自由和真實的選擇來接受或拒絕（并允許輕松撤回他們的同意）。

您必須說明將收集客戶的哪些數(shù)據(jù)以及如何使用這些數(shù)據(jù)。同意的請求必須使用清晰和簡單的語言，方便客戶理解。用戶沒主動反應也不構成同意。您的客戶必須采取行動。 （例如，不允許預先勾選同意方框。）

由于獲得同意的要求非常嚴格，所以最好直接參閱相關規(guī)定并與您的法律顧問聯(lián)系。多種社交媒體廣告特征，包括使用您上傳的客戶數(shù)據(jù)，收集個人數(shù)據(jù)或在您的網(wǎng)站上的追蹤用戶行為。如果您有涉及到上述行為，那么進一步研究應采取的行動將非常有用。

發(fā)展

1981年，歐洲議會就通過了有關個人數(shù)據(jù)保護的《保護自動化處理個人數(shù)據(jù)公約》，這是世界上首個有約束力的有關規(guī)范數(shù)據(jù)使用、保護個人隱私、促進數(shù)據(jù)交流的國際公約。

1995年，歐洲議會和歐盟理事會通過了《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》（簡稱《個人數(shù)據(jù)保護指令》）。

2016年4月歐洲議會和歐洲理事會通過GDPR，取代了1995年數(shù)據(jù)保護指令的條例，并將于 2018 年 5 月 25 日生效。