《通用数据保护条例》:六大戒律

数字化战略 2018年 04月 23日

GDPR全称《通用数据保护条例》,将于今年5月25日生效。你的公司是否还没开始遵守欧洲的这一新条例?你是不是在多次咨询过律师之后,还有一些问题没搞清?

其实,GDPR没有那么可怕,恰恰相反,它能够增强贵公司和客户之间的信任,让你更好地掌控数据。这一条例将适用于欧盟28个国家,目的是更好地保护个人数据。数字革命之后,消费者行为迅速转变,这一条例就是为了响应这一趋势,以维护公民保护和使用个人数据的权力。一个品牌若想健康、可持续地发展,用户信任和数据安全是两大必不可少的战略原则。用户越来越关心自己的私人生活和网络数据的安全性(Cambridge Analytica/Facebook丑闻就是很好的例子),他们必须要重新掌控自己的个人数据。许多行业的公司内部不同部门都在利用个人数据进行人事招聘、预测、开展针对性营销策略。然而,对于GDPR,很多公司还是不知道从何处着手。不要担心!要想理解GDPR,这六条原则一定要遵循:

1. 须征得同意

GDPR的第一大支柱,在互联网行业常常被忽视:只有在当事人已经明确同意的情况下,才能够使用数据。“自愿选择”通常是在电子邮件广告中使用的一种方式,它必须更广泛地运用到各种被收集的数据上。然而,征得同意并不是处理数据的唯一合法条件。如果存在正当利益或者公司和用户签订了协议,也可能构成数据处理的条件。

为了保证透明度,处理数据的每一个用途都必须要征得用户的同意。比如说,用户为了接收订阅邮件,同意某家公司利用其数据,不意味着其同意这一数据会被分享给第三方。

知情同意:

GDPR将用户同意定义为 “任何按照其意愿作出的、具体的、知情的、明确的指示,表明数据主体的意愿,数据主体通过声明或者明确肯定的行为,指示其同意自己相关的数据可以被处理。”
来源:GDPR 第一章第四节第11条

2. 须沟通信息

在得到用户同意之前,负责数据处理的公司必须明确地向用户沟通数据将被如何使用,以便用户行使自己的权利。

我的数据是如何被收集的?它储存在哪里,会储存多久?我能否行使“数据迁移权”(right to portability)将自己的数据从一方转移至另一方?如果我改变主意,我有没有权力使自己的数据被遗忘?说白了,公司必须告诉用户,他们对自己的个人数据有多大的控制权。

此外,这些信息必须要用一种容易理解的方式表达,而不需要囊括太多的专业或者法律细节。这就意味着专业人士必须要写出清晰、信息齐全的讯息,尽可能清晰地向用户解释他们的数据处理的策略。这些信息也必须容易获取。“透明度”就是其中的真谛。

3. 须定义目的和限制

收集数据的目的必须由数据处理公司提前说明。不用说,这些用途必须是合法且明确的。必须界定一段“合理“的数据使用和储存的时间。根据英国资讯委员会办公室(ICO)的《数据保护指南》,“处理个人数据,不管何种目的,其存放时间不得超过达成这一目的所需的时间”。比如说,如果一个公司三年都没有得到某一潜在用户的任何消息,那么这个人的数据必须被清除。

4. 须遵循准确性

所收集的数据必须准确,有必要时还需及时更新。公司必须将不准确的数据从记录中删除。这一原则在欧盟范围外也得到了遵循:2015年,美国最高法院判定,公共记录搜索引擎Spokeo利用不准确的数据建立了一个错误的消费者画像,该消费者有权对其进行起诉。不准确的数据确实会伤害消费者,因此处理数据的公司也有责任要保持数据更新。

5. 须将安全性作为首要原则

在当今这个数据时代,安全风险是最严峻的挑战之一。这一准则一方面要求我们采取一定方法来保证用户数据的安全性,另一方面我们必须要有清晰高效的流程,来限制黑客或数据泄露的影响。近年来在社交网络上已经发生了多起个人信息泄露事件:2014年的Snapchat事件,2016年Uber事件,2017年Instagram事件,还有2018年的Facebook事件。没有哪里是安全的!

6. 须承担责任

最后一点也很重要,GDPR的根本准则就是,数据处理公司要承担责任,包括要随时都能证明,其数据和处理程序从收集到分析都是有效合规的。这一原则特别重要,因为比起1995年的数据保护方针,它在立法层面得到了加强。欧洲条例要求,公司内部要提名一个独立的代表来负责这一事项,即数据保护官,他们可以为决策者和数据处理专员提出一些建议。

不遵循这些原则,将会受到严重的惩罚。罚款可能高达2000万欧元,或者公司在全球收入的4%。保险起见,还是遵守规则比较好!

总结一下:

想要获取更多的建议,以便为GDPR做准备,点击此处参阅英国资讯委员会办公室(ICO)的官方指南。

来源:
eMarketer 2018西欧数字化趋势报告
法国国家信息与自由委员会官方网站

本文英文版由Niamh Cloughley译自法语原文。
还想再来一杯茶吗?