歐盟的“通用數據保護條例”（GDPR，General Data Protection Regulation）即將于2018年5月25日生效，而好多企業對GDPR并不十分了解。就目前看來，行業對于這項條例的觀念仍有不當之處。盡管企業為GDPR的來臨需要做大量準備工作，才能合規，但是許多人還在拖拖拉拉。

 

數十年來，歐洲一直是隱私和數據保護問題的先行者?，F在，隨著通用數據保護條例（GDPR）全面隱私法的通過，歐盟（EU）又開創了新局面。如果你的在企業收集，存儲或使用有關歐洲居民的個人信息，那么GDPR可能會對你的業務流程產生深遠影響。

 

該指令適用于1995年當時的技術情況，但隨后幾年技術的快速變化需要更新。歐盟立法者發布了一般數據保護條例（GDPR），以便在收集到比以往更多的數據的情況下能夠保持用戶隱私。他們還希望確保整個歐盟設立統一的法律，避免國家之間的重大分歧。 GDPR顯著擴大了授予個人的隱私權，為運用個人信息的企業設置了許多新的義務。自2018年5月25日起GDPR就要生效，大家準備好了嗎？

 

什么是GDPR？
經過四年多的協商，2016年4月歐洲議會和歐洲理事會通過GDPR。這項條例賦予歐盟公民更多的個人數據控制權，另外對那些收集、處理和存儲個人數據的公司提出更高的責任要求，特別是數據泄露。

 

從五月份開始，除非有明確的法律依據，否則企業將不再被允許收集或處理一個歐洲公民的消費者數據，例如獲得公民自愿給予和“明確的”同意。 如果沒有提供適當通知或管理辦法，公司也將被禁止使用以前收集的數據。

 

GDPR取代了1995年數據保護指令的條例，將使28個歐盟及歐洲經濟共同體成員國的隱私保護法，更具有一致性和現代性。根據1995年指令，每個成員國都制定了自己的數據保護規則，這導致了在歐盟開展業務的公司監管環境和合規不一致的難題。

 

GDPR的大部分內容實際上并不新鮮，因為包含了“數據保護指令”中既存的理念。 但GDPR確實引入了一些新的概念，包括針對不合規對象的巨額罰款和增強的數據主體權利。這對任何在歐盟開展業務的公司或任何在其數據庫中存有歐盟公民個人數據的公司都具有約束力。

 

以下是相關的GDPR的術語，可以幫我們更好的理解文章中的概念
數據主題：可以通過姓名，身份證號碼，位置數據，在線標識符（如用戶名）或其身份，遺傳或其他身份等信息直接或間接識別的“自然人”。例：Marie Dubois

 

個人數據：任何與識別或可識別數據主題有關的信息。例：女性。 年齡48. Ph＃：33 1 7210 940.地址：99 Place de l'étoile，75008 Paris，France。 喜歡帽子。 每天在線閱讀。

 

敏感個人數據：有關種族或族裔出身，政治觀點，宗教或哲學信仰，工會會員資格，有關健康，性生活和性取向的信息以及遺傳或生物識別數據的個人數據。例：恩馬爾凱成員！ 派對。天主教徒。 去年打破了腿。 指紋和視網膜掃描的副本。

 

處理：任何對個人數據或與個人數據有關的事情。例：收集，存儲，傳輸，共享，修改，使用或刪除個人數據。

 

數據控制方：確定個人數據處理目的和手段的實體。例：Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構。 當瑪麗首次在大銀行的網站上注冊以獲得更多關于抵押貸款的信息時，大銀行成為瑪麗提供的個人數據的控制者。

 

數據處理方：根據數據控制方的指令處理個人數據的實體。例：Grande Banque將她的數據上傳到Sales Cloud對象上時，Salesforce成為Marie個人數據的處理方。

 

假名數據：不能與特定數據主體綁定的個人數據，沒有單獨存儲的附加信息，采用技術措施確保數據不與該附加信息相結合。例：當Marie訪問Community Cloud上托管的Grande Banque網站社區以了解有關抵押貸款流程的更多信息時，系統會以散列形式記錄她的IP地址并將其鏈接到Marie查看的頁面。 散列IP地址被視為假名數據，因為盡管散列IP地址本身并不能識別Marie，但仍可以將其與其他與Marie相關的信息關聯起來。

 

匿名數據：無法連接到已識別或可識別的人員的數據。例：Grande Banque網站要求人們留下評論。 該系統不收集來自評論者的任何信息 - 甚至不包括IP地址。 評論本身可以被認為是匿名的。

 

GDPR有什么新東西？
個人數據：以前的隱私制度將個人數據定義為姓名、照片、電子郵件地址、電話號碼、實際地址或個人身份證號碼、銀行帳號或社保卡號。

但GDPR擴大了定義，時期包括“已識別”（identified）和“可識別”(identifiable)的數據信息。這意味著個人數據指的是任何可用于識別個人的信息，包括位置數據、移動設備ID以及某些情況下的IP地址。（生物特征數據和遺傳數據被認為是“敏感的個人數據”）

匿名數據是一種潛在的合規性信息，即經過散列、加密或以某種技術方法進行匿名處理的個人數據。 通過將其與附加數據相結合后重新定位識別的數據也被視為個人數據。如下類型的隱私數據將受到GDPR保護：

• 基本的身份信息，如姓名、地址和身份證號碼等；
• 網絡數據，如位置、IP地址、Cookie數據和RFID標簽等；
• 醫療保健和遺傳數據；
• 生物識別數據，如指紋、虹膜等；
• 種族或民族數據；
• 政治觀點；
• 性取向。

 

個人權利：1995年的數據保護指令已經賦予了公民要求企業刪除其數據的權利，如果這些數據被非法處理或不再用于其原始目的。

 

GDPR通過要求數據管理員采取合理步驟，確保參與數據共享的第三方刪除，擴大了被刪除的權利，也被稱為被遺忘的權利。

 

數據當事人也享有在多個平臺數據不自動打通的權利，以及根據要求以電子形式免費獲得經處理的個人數據副本的權利，包括這些數據被用于何處，以及使用數據的目的。

 

記錄保存要求：數據管理員和任何外包商必須保存其數據處理活動的書面記錄，包括他們處理數據的原因以及他們計劃保存數據的時間。 此信息必須根據要求提供給數據保護機構。

     

問責原則：雖然GDPR并沒有詳細說明問責制，但數據控制者必須清楚地記錄他們所采取的所有行動。GDPR稱之為“通過設計和默認的數據保護”。如果監管機構要求提供合規證明，公司必須能夠提供。

 

數據保護官員（DPO）：GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官DPO。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內已經存在了一個發揮類似作用的人員，能夠確保PII安全是更好的。否則，你將需要重新聘請一名DPO。根據企業自身的情況，DPO可以不要求一定是全職，在這種情況下，企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時為多個企業工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

 

目前，根據GDPR如何廣泛地解釋“系統地監督或處理”仍然是一個懸而未決的問題。DPO旨在幫助企業遵守GDPR，直接向企業CXO匯報，同時保持完全自主性。

 

更大的罰款：每一單GDPR違規行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業額的4％，以較高者為準。

 

監管部門在設定罰款時可以考慮減輕因素，比如，盡快改正或是舉報違規行為的企業可以受到稍微輕點的處罰。

 

無論如何，這些罰款意味著小公司巨大災難，“這不是開玩笑的情。”Todd Ruback說。

 

“要么他們會倒閉，要么就會被吞并。” 他表示，“我們將形成一個更清潔的生態系統，但也會減少競爭。Facebook和谷歌受到歐盟委員會嚴格的審查，除非有意外發生否則他們難以幸免”

 

違規通知
而對于企業來說，其中較具挑戰性的合規要求應該是，公司必須在發現違規事件的72小時內，向監管當局和受到違規事件影響的個人通報數據違規行為。執行影響評估的另一個要求是，通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。

 

數據控制方與數據處理方
GDPR為數據控制方和數據處理方建立了不同的規則。數據控制方決定為什么以及如何處理個人數據，并被要求建立處理數據的法律依據。條例規定數據處理方“代表控制方處理個人數據”。處理方必須合法和負責任地進行處理，控制方必須確保處理方做著合規的工作。

 

雖然對控制方的規則更為嚴格，但控制方和處理方都處于GDPR之下。與以前的隱私制度不同，數據處理方如果不遵守條例，可能要承擔重大處罰。

不過，目前還不清楚，廣告技術公司將被視為控制方還是處理方？總體來說，廣告技術公司可以作為處理方式從數據中收集洞察，使客戶受益。但是他們也有可能涉足控制方領域，因此合規負擔可能會變得更重。

合法理由
如果公司有法律依據，則可以處理數據。 例如，保險公司必須處理客戶數據才能執行合同條款。 銀行必須處理數據以遵守法律。

但我們應該知道兩個法律基礎：合法權益和許可。

合法權益：能夠證明“合法利益”的公司在某些情況下可以在未經同意的情況下合法處理個人數據：數據是合法收集的，有正當理由去使用數據以及數據處理的過程也是合規的。

 

要獲得合法權益，數據控制方需要進行一個稱為“平衡測試”。這個測試將數據控制方的利益與數據當事人的權利進行權衡，其中包括數據當事人對數據處理方式的合理期望是怎樣的，以及控制方是否有正確的保障措施。

 

合法權益的例子包括預防犯罪、欺詐檢測、網絡安全，以及進行員工背景調查等。 “直效營銷”在GDPR中也被認為特殊的對個人數據的合法使用，但也有一定的注意事項。

 

只要控制方確保用戶可以有隨時選擇不參與（opt-out）的權利，那么個性化的溝通、定向廣告、匯總分析以創建趨勢報告和跟蹤廣告效果，點擊后跟蹤和受眾測量在GDPR下都可行。

 

目前尚不清楚的是，參與互聯網行為廣告和程序化廣告的公司是否可以要求合法權益。反廣告屏蔽公司PageFair負責人Johnny Ryan認為這不太可能：“有些廣告技術公司似乎已經相信自己被合法利益所覆蓋，但是你不能用合法權益來為RTB發生的所有瘋狂的事情辯護。”他補充道，“至少在私下里，任何知道他們在說什么的人都會承認。”

 

許可：許可一直是歐洲隱私法的基石，但GDPR大大提高了這個標準。

決定如何使用個人數據的數據控制方，必須得到他們計劃使用數據的目的“明確的”許可。換句話說，如果一家企業不被許可做一件事，那它也不能使用這些數據來做其他事情。

許可必須是自愿以及明確的：選擇退出模式（或者說，預選框的形式）不會消失。當網站在加載頁面的同時，加載追蹤cookie，務必通知訪客，該網站會使用cookie。（通常是以彈出窗口的形式）。在用戶同意啟用cookie之前需要有一個屏蔽頁屏蔽該網頁內容。

底線是消費者對行為必須是肯定的和知曉的。英國、法國和德國的數據保護機構都同意，消費者可以通過在網站上勾選一個框來表示同意處理，但是只有在事先他們已經被用簡單明了語言的通知告知了的情況下才能表示同意處理。

 

廣告技術和營銷技術供應商通常與消費者沒有直接聯系，因此獲得跟蹤或數據收集的同意是一個棘手的問題。他們很可能不得不依賴面向消費者的實體，比如向媒體方和營銷人員代表取得同意。

   

不是每個人都相信中間商能在GDPR下蓬勃發展。網站數據管理軟件Tealium首席技術官兼創始人Mike Anderson說：“第三方生態系統不會在GDPR世界中占據一席之地。 GDPR是關于第一方關系的。”

 

當有問題時誰負責？
營銷者和媒體方可能會對第三方犯下的錯誤負責，這意味著他們將更加挑剔與誰合作。GDPR因此促進了盡職調查和供應商管理的重要性。

 

許可不是GDPR合規的“萬金油”。得到它后，“你必須確保供應鏈中沒有人會濫用你所分享的數據以至于使你面臨法律風險。”Johnny Ryan認為。

 

然而，對那些在問責制問題上充耳不聞的營銷者和廣告技術公司來說，未來還是有希望的。

 

Forrester公司副總裁兼研究總監Melissa Parrish說：“事實是：如果出現問題，他們都會陷入困境。 沒有任何方法可以推卸責任。”

 

與ePrivacy不一致
盡管GDPR成為頭條新聞，但ePrivacy，也就是Cookie指令，對于營銷人員來說可能更具影響力。GDPR涉及處理個人數據，ePrivacy涵蓋與電子通信相關的隱私。

 

如果您訪問過歐洲的一個網站，看到一個彈出式橫幅廣告，警告您“訪問本網站，您需要接受使用Cookie”，那么您已經體驗過ePrivacy的措施。

 

歐洲監管機構正在更新ePrivacy，以使其與GDPR更加一致，并簡化了cookie合規性，這已經轉化為大量的許可請求。監管機構希望在5月份之前完成ePrivacy并使之生效，以便正式推出GDPR。

 

但是，如果ePrivacy和GDPR都包含處理相同情況的法規，則以ePrivacy規則為準。目前正在審查的ePrivacy草案不包括處理合法利益的法律依據，因此2018年5月起，營銷者能夠處理數據的唯一法律依據可能就是許可。（在某些情況下，合同的履行可能會成為法律依據。）

 

經過修訂的ePrivacy規定較有可能在5月份無法獲得批準。畢竟GDPR用了四年的時間才能通過，而ePrivacy草案是從今年一月份以來才開始審核修訂。

數據技術公司Acxiom全球首席隱私官Sheila Colclasure表示：“目前，ePrivacy與GDPR不一致，所以我們有一個缺口。我們需要確保Cookie法認可合法利益，并且不會破壞創新。但是，如果ePrivacy與GDPR無法同時生效，那針對ePrivacy的執行仍然存在一個灰色地帶。”

 

無論哪種方式，如果ePrivacy 條例不包括合法利益，“這對于廣告技術公司來說是個壞消息，”國際隱私專業協會研究和教育副總裁Omer Tene說。

Omer Tene說：“除非有合法利益修改，否則很難看出廣告技術公司將如何遵守ePrivacy。 這對廣告代理商來說是非常重要的。”

 

特別是考慮到違規的可能性。 ePrivacy草案中規定的罰款與GDPR中的罰款密切相關：高達2000萬歐元，即全球年營業額的4％。

 

GDPR的誤解
對GDPR較大的誤讀就是，不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權，無論在哪里（進行數據）處理。

 

Omer Tene說：“GDPR將在歐盟誕生，但它適用于世界上任何以歐洲受眾為目標服務的公司，以有意義的方式收集個人數據或定期監控歐洲人的信息。與以前你必須在場才受到數據保護指令的政權相比，這是一個巨大的變化。”

 

無論如何，許多中小型廣告技術公司和營銷技術公司似乎都采取觀望GDPR的方法。而這不是一個明智之舉，Evidon的 Todd Ruback說。

 

“他們沒有積極主動地應對，這是一個糟糕的商業戰略，特別是當媒體方和品牌主已經與他們的數字化供應商達成協議，并調整了他們與第三方之間的免責條款。”Todd Ruback說。

 

公司正在開始獲得提示。根據國際隱私專業人員協會和安永會計師事務所10月份發布的聯合年度治理報告，95％的受訪者（75％位于歐盟以外）認為GDPR適用于他們，而美國的50％公司認為GDPR法規正在推動他們的隱私計劃。

 

隱私盾
隱私盾（Privacy Shield）是取代避風港條款（Safe Harbor）的歐盟-美國數據傳輸協議。 它在十月中旬通過了第一次年度審查，這意味著歐洲官員認為它提供了適當的跨境數據保護。在2018年5月之前通過Privacy Shield進行自我認證是美國公司確保其擁有有效機制在歐盟和美國之間傳輸個人數據的一種方法。

同樣，隱私保護只適用于國際數據傳輸，并不保證遵守GDPR的其他關鍵原則，包括獲得許可，進行隱私影響評估和任命數據保護人員等。

 

清單
GDPR是一個龐大的立法文件，有99個密集的文章，要確保合規性并不容易。在處理更棘手的問題之前，先處理更簡單的問題。

 

Todd Ruback表示：“監管機構需要的只是一臺瀏覽器，一臺筆記本電腦和一系列網站，以查看誰是透明的。你是否有消費者中心，并可以用簡單的方式遞交你的數據行為，以及讓個人控制他們的個人數據？在監管機構開始深入公司內部流程并查看是否實現信息可被遺忘的權利之前，這是他們較容易施行的所在。”

 

確定您的公司是控制方還是處理方。這將影響法規對你產生怎樣的影響。

 

進行數據保護影響評估（DPIA）：對數據流程進行風險分析。第一步是繪制數據流導圖，并清楚地了解你從哪里收集數據、與誰共享數據、數據泄漏的可能性以及您如何維護，保留和保護數據。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。

 

看看你的合同：檢查你的供應鏈合作伙伴，以確定你與合作伙伴的協議是否是新的，并包括與GDPR有關的條款。例如，如果出現違反或執法的情況，該怎么辦。這可以是DPIA流程的一部分。

 

需要一個DPO嗎？一家公司是否需要任命一名數據保護官員取決于其數據追蹤的范圍和規模。法律規定：“定期和系統的大規模監督”但是擁有DPO永遠比沒有DPO好。

 

文檔：控制方必須證明，表現他們完成的數據處理符合GDPR的標準，包括（用戶）許可選擇，數據保存和管理的內部政策。如果一個數據保護監督機構敲門，你需要手頭的書面證明。