GDPR(General Data Protection Regulation,一般數據保護條例)是歐盟2016年頒佈的最新的,關於數據隱私權保護的法律。
GRPR已經於2018 年 5 月 25 日開始實施,成爲歐盟法律的一部分,其目的在於改善歐盟公民的數據保護狀況。
比較之前任何的隱私數據保護相關法律,GDRP都可以稱之爲“史上最嚴”。(之前合規,現在不一定合規,或者大概率不合規)
其不止直接針對互聯網相關行業在隱私數據應用上的各種“你懂得”的常規操作,且對所有擁有用戶(客戶)隱私數據的企業,都有直接的法律約束作用。
GDPR影響範圍
這是歐盟的法律,但不止與歐洲公司有關。
只要你公司的產品有歐盟國家公民用戶,並處理(收集,存儲,使用……)他們的隱私數據,都對你有直接的影響。
由於美國與歐洲的緊密聯繫,此隱私法律基本作爲通用法律,受到歐美公司的普遍執行。
GDPR違規懲罰及風險
此法案規定對違法的處罰,監管機構最高對單一違法行爲,可開出達2000萬歐元或全球營業額的4%(以較大值爲上限)的罰單。
實際的管轄力度與處罰程度還不可知,但在被監管機構認定爲違規後,用戶可能提出賠償,因爲歐美普遍的判例法原則,這裏就沒有上限了。
目前已經有一些隱私權擁護者已經準備對Google、 Facebook、和Instagram等大公司提起訴訟,指控他們違反新規。
在判例出現後,預計會引來“專業維權者”對一般品牌的普遍攻擊,而從法律生效後仍未合規的企業,都面臨極高風險。
GDPR保護用戶哪些隱私
- 基本的身份信息,如姓名、地址、電話號碼、電郵地址、身份證號碼等;
- 網絡數據,如唯一用戶標識、位置、IP、Cookie、RFID標籤等;
- 醫療保健相關,如身體狀態,疾病狀態,疾病傾向、遺傳數據等;
- 生物識別數據,如指紋、虹膜、臉部特徵等;
- 種族或民族、及對種族民族的相關態度;
- 政治觀點、性取向及對性取向的態度;
GDPR規定的用戶關於隱私權的權利要點
- 數據處理(收集,存儲,使用等)的目的與方法應向用戶清晰說明;
- 數據處理需要基於同意,此同意過程必須清晰易懂;
- 數據主體有權隨時撤回同意,撤回同意和做出同意同樣容易;
- 賦予數據主體選擇刪除自己個人數據的權利,當用戶選擇刪除,數據控制者應有義務無不當延誤地刪除個人數據;
- 數據主體可以選擇更正自己個人數據的權利,當用戶選擇更正,數據控制着應有義務不拖延的予以配合;
- 數據注意可遷移自己個人數據的權利,即可從數據控制者出下載自己的個人數據及數據處理過程數據;
基於GDPR規定企業對於用戶隱私權的行爲要點
- 未明確獲得授權前,停止對應的用戶數據處理;
- 非業務需要,儘量不收集用戶隱私數據;
- 限制對用戶隱私數據的可見範圍;
- 保護好已有數據,出現用戶數據泄露,及時向監管部門通報;
針對2C跨境電商企業,GDPR的合規風險
只要你的客戶是歐盟的居民,無論你的公司所在地是哪裏,你都受到GDPR的制約。
雖然你是一家中國的企業(或個人),如果你違反了該法規,在運營中不小心泄露了用戶的信息,都可能面臨鉅額罰款。
最基本的,一個客戶通過你的網站輸入了他的姓名、郵箱、生日、地址、電話等信息,這些數據都毫無疑問的屬於GDPR定義的個人數據,
你獲取此類數據的行爲即爲收集個人數據行爲。
而如果商家收集了這些信息,不論是個人的,職業相關的,還是公開的信息,都需要遵守GDPR的要求。
太抽象了?就舉些違反GDPR要求的例子:
- 在銷售以及與客戶溝通的過程中,獲取了客戶的信息,之後,把這些信息用作其他的用途,甚至包括向客戶郵箱裏發推廣性的郵件,如果客戶去投訴/起訴了;
- 如果你的網站上有用戶註冊系統,如果用戶註冊了,你把這些註冊的信息反覆利用,或者分享給其他第三方使用;
- 通過Facebook等SNS媒體結交好友,然後,有了一些用戶的信息,再然後,你把這些信息用作他途;
- 同時在運營多個平臺的賣家,把從Ebay上收集到的用戶信息拿過來,通過EDM郵件等方式推廣自己的亞馬遜店鋪;、
基本的營銷範疇對於GDPR的風險規避
比如真的想用收集到的用戶信息,那就不要匆忙的直接暴露自己的平臺或者平臺……
這個問題比較龐大,具體到2C企業對用戶進行郵件營銷,2B解企業對新客戶的開發信營銷等等,
我們會在接下去的文章中繼續展開。
轉載至穿雲箭CPArrow