歐盟的“通用數(shù)據(jù)保護條例”（GDPR，General Data Protection Regulation）即將于2018年5月25日生效，而好多企業(yè)對GDPR并不十分了解。就目前看來，行業(yè)對于這項條例的觀念仍有不當之處。盡管企業(yè)為GDPR的來臨需要做大量準備工作，才能合規(guī)，但是許多人還在拖拖拉拉。

 

數(shù)十年來，歐洲一直是隱私和數(shù)據(jù)保護問題的先行者?，F(xiàn)在，隨著通用數(shù)據(jù)保護條例（GDPR）全面隱私法的通過，歐盟（EU）又開創(chuàng)了新局面。如果你的在企業(yè)收集，存儲或使用有關歐洲居民的個人信息，那么GDPR可能會對你的業(yè)務流程產(chǎn)生深遠影響。

 

該指令適用于1995年當時的技術情況，但隨后幾年技術的快速變化需要更新。歐盟立法者發(fā)布了一般數(shù)據(jù)保護條例（GDPR），以便在收集到比以往更多的數(shù)據(jù)的情況下能夠保持用戶隱私。他們還希望確保整個歐盟設立統(tǒng)一的法律，避免國家之間的重大分歧。 GDPR顯著擴大了授予個人的隱私權，為運用個人信息的企業(yè)設置了許多新的義務。自2018年5月25日起GDPR就要生效，大家準備好了嗎？

 

什么是GDPR？
經(jīng)過四年多的協(xié)商，2016年4月歐洲議會和歐洲理事會通過GDPR。這項條例賦予歐盟公民更多的個人數(shù)據(jù)控制權，另外對那些收集、處理和存儲個人數(shù)據(jù)的公司提出更高的責任要求，特別是數(shù)據(jù)泄露。

 

從五月份開始，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個歐洲公民的消費者數(shù)據(jù)，例如獲得公民自愿給予和“明確的”同意。 如果沒有提供適當通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。

 

GDPR取代了1995年數(shù)據(jù)保護指令的條例，將使28個歐盟及歐洲經(jīng)濟共同體成員國的隱私保護法，更具有一致性和現(xiàn)代性。根據(jù)1995年指令，每個成員國都制定了自己的數(shù)據(jù)保護規(guī)則，這導致了在歐盟開展業(yè)務的公司監(jiān)管環(huán)境和合規(guī)不一致的難題。

 

GDPR的大部分內(nèi)容實際上并不新鮮，因為包含了“數(shù)據(jù)保護指令”中既存的理念。 但GDPR確實引入了一些新的概念，包括針對不合規(guī)對象的巨額罰款和增強的數(shù)據(jù)主體權利。這對任何在歐盟開展業(yè)務的公司或任何在其數(shù)據(jù)庫中存有歐盟公民個人數(shù)據(jù)的公司都具有約束力。

 

以下是相關的GDPR的術語，可以幫我們更好的理解文章中的概念
數(shù)據(jù)主題：可以通過姓名，身份證號碼，位置數(shù)據(jù)，在線標識符（如用戶名）或其身份，遺傳或其他身份等信息直接或間接識別的“自然人”。例：Marie Dubois

 

個人數(shù)據(jù)：任何與識別或可識別數(shù)據(jù)主題有關的信息。例：女性。 年齡48. Ph＃：33 1 7210 940.地址：99 Place de l'étoile，75008 Paris，F(xiàn)rance。 喜歡帽子。 每天在線閱讀。

 

敏感個人數(shù)據(jù)：有關種族或族裔出身，政治觀點，宗教或哲學信仰，工會會員資格，有關健康，性生活和性取向的信息以及遺傳或生物識別數(shù)據(jù)的個人數(shù)據(jù)。例：恩馬爾凱成員！ 派對。天主教徒。 去年打破了腿。 指紋和視網(wǎng)膜掃描的副本。

 

處理：任何對個人數(shù)據(jù)或與個人數(shù)據(jù)有關的事情。例：收集，存儲，傳輸，共享，修改，使用或刪除個人數(shù)據(jù)。

 

數(shù)據(jù)控制方：確定個人數(shù)據(jù)處理目的和手段的實體。例：Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構(gòu)。 當瑪麗首次在大銀行的網(wǎng)站上注冊以獲得更多關于抵押貸款的信息時，大銀行成為瑪麗提供的個人數(shù)據(jù)的控制者。

 

數(shù)據(jù)處理方：根據(jù)數(shù)據(jù)控制方的指令處理個人數(shù)據(jù)的實體。例：Grande Banque將她的數(shù)據(jù)上傳到Sales Cloud對象上時，Salesforce成為Marie個人數(shù)據(jù)的處理方。

 

假名數(shù)據(jù)：不能與特定數(shù)據(jù)主體綁定的個人數(shù)據(jù)，沒有單獨存儲的附加信息，采用技術措施確保數(shù)據(jù)不與該附加信息相結(jié)合。例：當Marie訪問Community Cloud上托管的Grande Banque網(wǎng)站社區(qū)以了解有關抵押貸款流程的更多信息時，系統(tǒng)會以散列形式記錄她的IP地址并將其鏈接到Marie查看的頁面。 散列IP地址被視為假名數(shù)據(jù)，因為盡管散列IP地址本身并不能識別Marie，但仍可以將其與其他與Marie相關的信息關聯(lián)起來。

 

匿名數(shù)據(jù)：無法連接到已識別或可識別的人員的數(shù)據(jù)。例：Grande Banque網(wǎng)站要求人們留下評論。 該系統(tǒng)不收集來自評論者的任何信息 - 甚至不包括IP地址。 評論本身可以被認為是匿名的。

 

GDPR有什么新東西？
個人數(shù)據(jù)：以前的隱私制度將個人數(shù)據(jù)定義為姓名、照片、電子郵件地址、電話號碼、實際地址或個人身份證號碼、銀行帳號或社?？ㄌ?。

但GDPR擴大了定義，時期包括“已識別”（identified）和“可識別”(identifiable)的數(shù)據(jù)信息。這意味著個人數(shù)據(jù)指的是任何可用于識別個人的信息，包括位置數(shù)據(jù)、移動設備ID以及某些情況下的IP地址。（生物特征數(shù)據(jù)和遺傳數(shù)據(jù)被認為是“敏感的個人數(shù)據(jù)”）

匿名數(shù)據(jù)是一種潛在的合規(guī)性信息，即經(jīng)過散列、加密或以某種技術方法進行匿名處理的個人數(shù)據(jù)。 通過將其與附加數(shù)據(jù)相結(jié)合后重新定位識別的數(shù)據(jù)也被視為個人數(shù)據(jù)。如下類型的隱私數(shù)據(jù)將受到GDPR保護：

• 基本的身份信息，如姓名、地址和身份證號碼等；
• 網(wǎng)絡數(shù)據(jù)，如位置、IP地址、Cookie數(shù)據(jù)和RFID標簽等；
• 醫(yī)療保健和遺傳數(shù)據(jù)；
• 生物識別數(shù)據(jù)，如指紋、虹膜等；
• 種族或民族數(shù)據(jù)；
• 政治觀點；
• 性取向。

 

個人權利：1995年的數(shù)據(jù)保護指令已經(jīng)賦予了公民要求企業(yè)刪除其數(shù)據(jù)的權利，如果這些數(shù)據(jù)被非法處理或不再用于其原始目的。

 

GDPR通過要求數(shù)據(jù)管理員采取合理步驟，確保參與數(shù)據(jù)共享的第三方刪除，擴大了被刪除的權利，也被稱為被遺忘的權利。

 

數(shù)據(jù)當事人也享有在多個平臺數(shù)據(jù)不自動打通的權利，以及根據(jù)要求以電子形式免費獲得經(jīng)處理的個人數(shù)據(jù)副本的權利，包括這些數(shù)據(jù)被用于何處，以及使用數(shù)據(jù)的目的。

 

記錄保存要求：數(shù)據(jù)管理員和任何外包商必須保存其數(shù)據(jù)處理活動的書面記錄，包括他們處理數(shù)據(jù)的原因以及他們計劃保存數(shù)據(jù)的時間。 此信息必須根據(jù)要求提供給數(shù)據(jù)保護機構(gòu)。

     

問責原則：雖然GDPR并沒有詳細說明問責制，但數(shù)據(jù)控制者必須清楚地記錄他們所采取的所有行動。GDPR稱之為“通過設計和默認的數(shù)據(jù)保護”。如果監(jiān)管機構(gòu)要求提供合規(guī)證明，公司必須能夠提供。

 

數(shù)據(jù)保護官員（DPO）：GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定數(shù)據(jù)保護官DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內(nèi)已經(jīng)存在了一個發(fā)揮類似作用的人員，能夠確保PII安全是更好的。否則，你將需要重新聘請一名DPO。根據(jù)企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。加上GDPR新規(guī)允許一名DPO同時為多個企業(yè)工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

 

目前，根據(jù)GDPR如何廣泛地解釋“系統(tǒng)地監(jiān)督或處理”仍然是一個懸而未決的問題。DPO旨在幫助企業(yè)遵守GDPR，直接向企業(yè)CXO匯報，同時保持完全自主性。

 

更大的罰款：每一單GDPR違規(guī)行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業(yè)額的4％，以較高者為準。

 

監(jiān)管部門在設定罰款時可以考慮減輕因素，比如，盡快改正或是舉報違規(guī)行為的企業(yè)可以受到稍微輕點的處罰。

 

無論如何，這些罰款意味著小公司巨大災難，“這不是開玩笑的情。”Todd Ruback說。

 

“要么他們會倒閉，要么就會被吞并。” 他表示，“我們將形成一個更清潔的生態(tài)系統(tǒng)，但也會減少競爭。Facebook和谷歌受到歐盟委員會嚴格的審查，除非有意外發(fā)生否則他們難以幸免”

 

違規(guī)通知
而對于企業(yè)來說，其中較具挑戰(zhàn)性的合規(guī)要求應該是，公司必須在發(fā)現(xiàn)違規(guī)事件的72小時內(nèi)，向監(jiān)管當局和受到違規(guī)事件影響的個人通報數(shù)據(jù)違規(guī)行為。執(zhí)行影響評估的另一個要求是，通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。

 

數(shù)據(jù)控制方與數(shù)據(jù)處理方
GDPR為數(shù)據(jù)控制方和數(shù)據(jù)處理方建立了不同的規(guī)則。數(shù)據(jù)控制方?jīng)Q定為什么以及如何處理個人數(shù)據(jù)，并被要求建立處理數(shù)據(jù)的法律依據(jù)。條例規(guī)定數(shù)據(jù)處理方“代表控制方處理個人數(shù)據(jù)”。處理方必須合法和負責任地進行處理，控制方必須確保處理方做著合規(guī)的工作。

 

雖然對控制方的規(guī)則更為嚴格，但控制方和處理方都處于GDPR之下。與以前的隱私制度不同，數(shù)據(jù)處理方如果不遵守條例，可能要承擔重大處罰。

不過，目前還不清楚，廣告技術公司將被視為控制方還是處理方？總體來說，廣告技術公司可以作為處理方式從數(shù)據(jù)中收集洞察，使客戶受益。但是他們也有可能涉足控制方領域，因此合規(guī)負擔可能會變得更重。

合法理由
如果公司有法律依據(jù)，則可以處理數(shù)據(jù)。 例如，保險公司必須處理客戶數(shù)據(jù)才能執(zhí)行合同條款。 銀行必須處理數(shù)據(jù)以遵守法律。

但我們應該知道兩個法律基礎：合法權益和許可。

合法權益：能夠證明“合法利益”的公司在某些情況下可以在未經(jīng)同意的情況下合法處理個人數(shù)據(jù)：數(shù)據(jù)是合法收集的，有正當理由去使用數(shù)據(jù)以及數(shù)據(jù)處理的過程也是合規(guī)的。

 

要獲得合法權益，數(shù)據(jù)控制方需要進行一個稱為“平衡測試”。這個測試將數(shù)據(jù)控制方的利益與數(shù)據(jù)當事人的權利進行權衡，其中包括數(shù)據(jù)當事人對數(shù)據(jù)處理方式的合理期望是怎樣的，以及控制方是否有正確的保障措施。

 

合法權益的例子包括預防犯罪、欺詐檢測、網(wǎng)絡安全，以及進行員工背景調(diào)查等。 “直效營銷”在GDPR中也被認為特殊的對個人數(shù)據(jù)的合法使用，但也有一定的注意事項。

 

只要控制方確保用戶可以有隨時選擇不參與（opt-out）的權利，那么個性化的溝通、定向廣告、匯總分析以創(chuàng)建趨勢報告和跟蹤廣告效果，點擊后跟蹤和受眾測量在GDPR下都可行。

 

目前尚不清楚的是，參與互聯(lián)網(wǎng)行為廣告和程序化廣告的公司是否可以要求合法權益。反廣告屏蔽公司PageFair負責人Johnny Ryan認為這不太可能：“有些廣告技術公司似乎已經(jīng)相信自己被合法利益所覆蓋，但是你不能用合法權益來為RTB發(fā)生的所有瘋狂的事情辯護。”他補充道，“至少在私下里，任何知道他們在說什么的人都會承認。”

 

許可：許可一直是歐洲隱私法的基石，但GDPR大大提高了這個標準。

決定如何使用個人數(shù)據(jù)的數(shù)據(jù)控制方，必須得到他們計劃使用數(shù)據(jù)的目的“明確的”許可。換句話說，如果一家企業(yè)不被許可做一件事，那它也不能使用這些數(shù)據(jù)來做其他事情。

許可必須是自愿以及明確的：選擇退出模式（或者說，預選框的形式）不會消失。當網(wǎng)站在加載頁面的同時，加載追蹤cookie，務必通知訪客，該網(wǎng)站會使用cookie。（通常是以彈出窗口的形式）。在用戶同意啟用cookie之前需要有一個屏蔽頁屏蔽該網(wǎng)頁內(nèi)容。

底線是消費者對行為必須是肯定的和知曉的。英國、法國和德國的數(shù)據(jù)保護機構(gòu)都同意，消費者可以通過在網(wǎng)站上勾選一個框來表示同意處理，但是只有在事先他們已經(jīng)被用簡單明了語言的通知告知了的情況下才能表示同意處理。

 

廣告技術和營銷技術供應商通常與消費者沒有直接聯(lián)系，因此獲得跟蹤或數(shù)據(jù)收集的同意是一個棘手的問題。他們很可能不得不依賴面向消費者的實體，比如向媒體方和營銷人員代表取得同意。

   

不是每個人都相信中間商能在GDPR下蓬勃發(fā)展。網(wǎng)站數(shù)據(jù)管理軟件Tealium首席技術官兼創(chuàng)始人Mike Anderson說：“第三方生態(tài)系統(tǒng)不會在GDPR世界中占據(jù)一席之地。 GDPR是關于第一方關系的。”

 

當有問題時誰負責？
營銷者和媒體方可能會對第三方犯下的錯誤負責，這意味著他們將更加挑剔與誰合作。GDPR因此促進了盡職調(diào)查和供應商管理的重要性。

 

許可不是GDPR合規(guī)的“萬金油”。得到它后，“你必須確保供應鏈中沒有人會濫用你所分享的數(shù)據(jù)以至于使你面臨法律風險。”Johnny Ryan認為。

 

然而，對那些在問責制問題上充耳不聞的營銷者和廣告技術公司來說，未來還是有希望的。

 

Forrester公司副總裁兼研究總監(jiān)Melissa Parrish說：“事實是：如果出現(xiàn)問題，他們都會陷入困境。 沒有任何方法可以推卸責任。”

 

與ePrivacy不一致
盡管GDPR成為頭條新聞，但ePrivacy，也就是Cookie指令，對于營銷人員來說可能更具影響力。GDPR涉及處理個人數(shù)據(jù)，ePrivacy涵蓋與電子通信相關的隱私。

 

如果您訪問過歐洲的一個網(wǎng)站，看到一個彈出式橫幅廣告，警告您“訪問本網(wǎng)站，您需要接受使用Cookie”，那么您已經(jīng)體驗過ePrivacy的措施。

 

歐洲監(jiān)管機構(gòu)正在更新ePrivacy，以使其與GDPR更加一致，并簡化了cookie合規(guī)性，這已經(jīng)轉(zhuǎn)化為大量的許可請求。監(jiān)管機構(gòu)希望在5月份之前完成ePrivacy并使之生效，以便正式推出GDPR。

 

但是，如果ePrivacy和GDPR都包含處理相同情況的法規(guī)，則以ePrivacy規(guī)則為準。目前正在審查的ePrivacy草案不包括處理合法利益的法律依據(jù)，因此2018年5月起，營銷者能夠處理數(shù)據(jù)的唯一法律依據(jù)可能就是許可。（在某些情況下，合同的履行可能會成為法律依據(jù)。）

 

經(jīng)過修訂的ePrivacy規(guī)定較有可能在5月份無法獲得批準。畢竟GDPR用了四年的時間才能通過，而ePrivacy草案是從今年一月份以來才開始審核修訂。

數(shù)據(jù)技術公司Acxiom全球首席隱私官Sheila Colclasure表示：“目前，ePrivacy與GDPR不一致，所以我們有一個缺口。我們需要確保Cookie法認可合法利益，并且不會破壞創(chuàng)新。但是，如果ePrivacy與GDPR無法同時生效，那針對ePrivacy的執(zhí)行仍然存在一個灰色地帶。”

 

無論哪種方式，如果ePrivacy 條例不包括合法利益，“這對于廣告技術公司來說是個壞消息，”國際隱私專業(yè)協(xié)會研究和教育副總裁Omer Tene說。

Omer Tene說：“除非有合法利益修改，否則很難看出廣告技術公司將如何遵守ePrivacy。 這對廣告代理商來說是非常重要的。”

 

特別是考慮到違規(guī)的可能性。 ePrivacy草案中規(guī)定的罰款與GDPR中的罰款密切相關：高達2000萬歐元，即全球年營業(yè)額的4％。

 

GDPR的誤解
對GDPR較大的誤讀就是，不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權，無論在哪里（進行數(shù)據(jù)）處理。

 

Omer Tene說：“GDPR將在歐盟誕生，但它適用于世界上任何以歐洲受眾為目標服務的公司，以有意義的方式收集個人數(shù)據(jù)或定期監(jiān)控歐洲人的信息。與以前你必須在場才受到數(shù)據(jù)保護指令的政權相比，這是一個巨大的變化。”

 

無論如何，許多中小型廣告技術公司和營銷技術公司似乎都采取觀望GDPR的方法。而這不是一個明智之舉，Evidon的 Todd Ruback說。

 

“他們沒有積極主動地應對，這是一個糟糕的商業(yè)戰(zhàn)略，特別是當媒體方和品牌主已經(jīng)與他們的數(shù)字化供應商達成協(xié)議，并調(diào)整了他們與第三方之間的免責條款。”Todd Ruback說。

 

公司正在開始獲得提示。根據(jù)國際隱私專業(yè)人員協(xié)會和安永會計師事務所10月份發(fā)布的聯(lián)合年度治理報告，95％的受訪者（75％位于歐盟以外）認為GDPR適用于他們，而美國的50％公司認為GDPR法規(guī)正在推動他們的隱私計劃。

 

隱私盾
隱私盾（Privacy Shield）是取代避風港條款（Safe Harbor）的歐盟-美國數(shù)據(jù)傳輸協(xié)議。 它在十月中旬通過了第一次年度審查，這意味著歐洲官員認為它提供了適當?shù)目缇硵?shù)據(jù)保護。在2018年5月之前通過Privacy Shield進行自我認證是美國公司確保其擁有有效機制在歐盟和美國之間傳輸個人數(shù)據(jù)的一種方法。

同樣，隱私保護只適用于國際數(shù)據(jù)傳輸，并不保證遵守GDPR的其他關鍵原則，包括獲得許可，進行隱私影響評估和任命數(shù)據(jù)保護人員等。

 

清單
GDPR是一個龐大的立法文件，有99個密集的文章，要確保合規(guī)性并不容易。在處理更棘手的問題之前，先處理更簡單的問題。

 

Todd Ruback表示：“監(jiān)管機構(gòu)需要的只是一臺瀏覽器，一臺筆記本電腦和一系列網(wǎng)站，以查看誰是透明的。你是否有消費者中心，并可以用簡單的方式遞交你的數(shù)據(jù)行為，以及讓個人控制他們的個人數(shù)據(jù)？在監(jiān)管機構(gòu)開始深入公司內(nèi)部流程并查看是否實現(xiàn)信息可被遺忘的權利之前，這是他們較容易施行的所在。”

 

確定您的公司是控制方還是處理方。這將影響法規(guī)對你產(chǎn)生怎樣的影響。

 

進行數(shù)據(jù)保護影響評估（DPIA）：對數(shù)據(jù)流程進行風險分析。第一步是繪制數(shù)據(jù)流導圖，并清楚地了解你從哪里收集數(shù)據(jù)、與誰共享數(shù)據(jù)、數(shù)據(jù)泄漏的可能性以及您如何維護，保留和保護數(shù)據(jù)。 DPIA幫助企業(yè)弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。

 

看看你的合同：檢查你的供應鏈合作伙伴，以確定你與合作伙伴的協(xié)議是否是新的，并包括與GDPR有關的條款。例如，如果出現(xiàn)違反或執(zhí)法的情況，該怎么辦。這可以是DPIA流程的一部分。

 

需要一個DPO嗎？一家公司是否需要任命一名數(shù)據(jù)保護官員取決于其數(shù)據(jù)追蹤的范圍和規(guī)模。法律規(guī)定：“定期和系統(tǒng)的大規(guī)模監(jiān)督”但是擁有DPO永遠比沒有DPO好。

 

文檔：控制方必須證明，表現(xiàn)他們完成的數(shù)據(jù)處理符合GDPR的標準，包括（用戶）許可選擇，數(shù)據(jù)保存和管理的內(nèi)部政策。如果一個數(shù)據(jù)保護監(jiān)督機構(gòu)敲門，你需要手頭的書面證明。