【作者介绍】
作者宋星,系互联网数据官的创始人,纷析数据的创始人。是中国互联网数据驱动营销和运营相关领域的最早从业者和最资深的专家,也是业内公认的互联网数据应用的布道者。
【正文】
GDPR生效已经有一个多月了,关于GDPR的疑问甚至争议一刻也没有停止过。对于欧盟而言,通过这样一部激进的法律或许可以让普通公民获益,但对于所有跟数字世界有关联,哪怕是沾了一点边的企业或实体而言,都可能心怀恐惧,不知所措。
GDPR为什么让全世界都颤抖?它跟我们有关系吗?我们又该如何应对?
GDPR和它的作用范围
GDPR是General Data Protection Regulation(通用数据保护条例)的简称。因为它在2018年5月25日生效,所以这一天在欧洲被称为“G-Day”。
GDPR取代了22年历史的Data Protection Directive(DPD,数据保护指令),其实两个法律差异很大,已经算不上升级,而是彻底的革新。
GDPR是一个保护所有欧盟公民的法律,其条款规定了企业和实体应该采取何种措施保护欧盟公民的数据,尤其针对数字世界的数据,在受保护的数据范围上极大拓展。例如,旧的法律更强调公民的PII信息的保护(PII,Personally Identifiable Information——个人可识别信息),更类似于去年在中国刚刚生效的法律,而新的GDPR则要求公民在数字世界中的cookie,device ID,IP地址等也应受到跟PII一样的保护。
在这一点上,GDPR是顺应时代的发展要求的,尽管具体的法条的严厉程度可能会带来很多争议。
但争议更大的还是GDPR的作用范围,因为GDPR的Data Subjects(数据实用范围)的相关法条,对于“保护谁”的数据这一块相当模糊。
一般而言,有如下情况:
- 欧盟公民(EU Citizen)且正在欧盟境内;
- 欧盟居民(EU Resident)且正在欧盟境内;
- 欧盟公民,正在欧盟境外的其他国家,比如在美国或者中国;
- 欧盟居民,正在欧盟境外的其他国家,比如在美国或者中国;
- 外国人,临时在欧盟境内。
这些情况下产生的数据,哪些情况服从于GDPR的法律呢?GDPR的规定并不是非常清晰,具体的情况如下:
所以,基本上可以认为,所有人(all people),凡是处于欧盟境内的,都受到GDPR的保护,就算不是欧盟公民也受到保护。但离开了欧盟的土地,基本上GDPR就管不着了。
另外一个争议比较大的,是欧盟境内的人,访问欧盟境外的互联网,是否受到GDPR的保护。答案是肯定的,只要是欧盟境内的人,访问到的互联网,无论是美国的网站还是中国的app,还是俄罗斯的杀毒软件,他们的数据都受到GDPR的保护。
这也是为什么,即使你的公司不在欧盟,也不为欧盟的人提供服务,但仍然可能在完全不知道的情况下违反了GDPR的法规。这也是全世界几乎所有的公司都觉得“不可思议”而“恐惧颤抖”的一个最主要的原因。
当然,并不是所有的企业或者实体都“如临大敌”,我的博客也有很多来自欧盟的访问,但是否被GDPR约束同样被规定的非常模糊。
图:我的博客也有不少来自欧盟境内的读者
GDPR规定,任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。具体如下:
- 在欧盟境内拥有业务;
- 在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
- 超过250名员工;
- 少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。
比较麻烦的是最有一条,你的数据处理方式影响数据主体的权利和隐私,或是包含敏感个人数据。什么权利,什么隐私,什么样的数据算是敏感数据呢?比较模糊。因此,绝对不能说,我的公司员工少于250名,跟欧盟没有生意来往,我就高枕无忧了。
这也不奇怪,很多公司直接把来自欧洲的IP给封了,这是一个避免麻烦的好办法。
上面那些模糊的规定导致GDPR几乎适用于所有的公司。尤其是跨境电商的中国公司,基本上都属于GDPR适用的范围之内。
所以,对于GDPR,知道一些肯定比一无所知强!
值得弄懂的GDPR中的最重要的名词
Consent – 获得数据主体的许可,或者获得数据主体的同意(consent of the data subject)。它是指数据主体依据其个人意愿,自由、明确、知情并清楚地通过陈述或积极行为表示对其个人数据进行处理的同意。这是GDPR中最重要的一个概念,即你要用任何数据主体的数据,都必须要清楚明确而且确保对方知情的情况下,获得对方的同意,然后才可以使用。不可以耍花招,比如搞一个几千页的agreement条款让用户根本无所适从,或者跟之前支付宝一样,随便在不起眼的地方默认打个勾就等于获得了你的数据权限,这个绝对都是属于违规的。
Data Controller – 数据控制者(也有翻译为数据控制员的),是那些能够决定处理个人数据的目的、条件、方法等的实体(组织)。数据控制者典型的,就是阿里,百度,facebook,谷歌等等。
Data Erasure – 数据擦除,也被称为“遗忘权”。这个权利赋予数据主体可以要求数据控制者无条件的消除他/她的数据的权利,有权要求禁止未来的数据散播,并且有权要求禁止第三方处理这些数据。特别需要注意,如果用户的信息已经被数据所有者透露给第三方,或者在互联网进行了公开发布,那么当用户行使删除权时,数据所有者必须通知所有拥有该用户数据的第三方一并删除,包括互联网上的相应连接以及数据拷贝等。
Data Portability – 数据便携权(数据携带权)。这个发条我感觉是非常创新的,即数据控制者要提供给数据主体(个人)他/她的全部数据备份,能够让数据主体能够轻松地将他的数据从一个数据控制者转移到另外一个数据控制者。比如,用户可以要求facebook将自己所有的在facebook里面的数据打包给谷歌或者Linkedin或者给抖音等等,甚至要求以这些其他平台可用的数据格式进行转交,以让用户能够在别的实体中实现easy use(很容易的利用)他自己的数据。这条规定真的是够绝的!
Data Processor – 数据处理者。代表数据控制者处理用户个人数据的实体。可能是数据控制者自己,也可以是授权第三方。
数据控制者和数据处理者的区别在于,数据控制者是对数据的处理的目的和方式做出决定的,而处理者只能按照数据控制者的要求进行数据的处理。数据处理者可能是第三方数据存储机构、第三方数据分析提供商、数据应用商等等。
Data Subject – 数据主体,指产生数据的个人,且这个人的数据被数据控制者或者数据处理者所掌握和处理。
DPO – Data Protection Officer,GDPR明确指出的企业内承担数据保护合规相关职责的职能角色。简单讲,就是最明确GDPR,且负有让企业或组织等实体符合GDPR要求的人。因为,只有符合这些条款要求,才能最好的保护用户的数据。
Personal Data – 个人数据,与PII同义。个人数据是数据主体的相关数据。GDPR对于个人数据的定义范围大幅度扩展了,过去,个人数据主要只是指能够辨别这个人具体是谁的数据,比如姓名、身份证、电话号码、家庭住址之类,现在则扩大到个人的相关信息,比如你的宗教信仰、性取向、支持的政党、喜欢的音乐、旅行的路线等等,基本上与一个普通人相关的信息数据全部都包含在内。
Pseudonymous Data – 匿名数据。这类数据是我们做广告和互联网营销时候用到的最主要数据。这些数据中没有可用于识别一个个体具体是谁的信息,所以肯定不能有电话号码身份证姓名之类。为了保持数据的匿名性,这些数据也不允许有一个“主键(key)”能够让它们与个人的PII信息重新关联起来。比如,在中国一般认为的device ID尤其是IMEI这种“匿名”数据,在GDPR中根本就不是匿名的,而是Personal Data,因为这些ID能够最终又跟个人的姓名身份证之类重新关联起来。因此,在中国没人找你麻烦的数据使用,在GDPR中大部分都是不合法的!
Right to Access – 访问权,也被称为主体访问权,它赋予数据主体能够不受限制的访问在数据控制者手中的他/她自己的数据的权利。
理解GDPR数据监管的六个要点
读了上面的这些关键的名词的含义,其实理解GDPR已经不困难了。GDPR对于个人数据的保护,主要是如下几个要点:
遗忘权
个体有权利要求掌握他/她的数据的人擦除掉关于他的所有的数据,不仅如此,那些被掌握这些数据的人散播出去的,也得一并擦除。例如,Facebook如果授权给了某个广告公司用户的数据,用于投放广告,而其中某个来自欧盟地区的用户说,facebook你得删掉所有与我相关的数据,那么facebook不仅要删掉自己数据库里面的数据,还得通知这个广告公司删除相关数据,而且还必须确保这个公司一定完成了删除。这对于数据管理的要求实际上大大提升了。
中小企业是否“可免除义务”
中小企业确实比大的企业在GDPR上更容易受到豁免。如同我在前面讲的,少于250人的企业,一般不用太担心受到GDPR的处罚,但是如下情形还是需要特别注意,以免无意中触犯GDPR的一些例外条款。
(1)可能为数据主体的权利和自由带来风险的。比如你存储了个人的宗教信仰,而这个信仰对于用户而言,很容易造成歧视或者不公正的对待;或者你存储了个人的医疗记录,而这一记录会让个人担心自己处于被歧视的可能性。GDPR 引入了特定定义遗传数据(如个人基因序列)和生物识别数据。遗传数据和生物识别数据以及其他子的个人数据的类别 (暴露民族或种族、政治意见,宗教或理论信仰,健康相关,性取向等数据)。总之,这些数据本身就是一个人的隐私信息。
(2)该处理是非偶然的。这一条是指主动地有目的地处理用户的数据,这种情况下是不可以免除GDPR义务的。比如,你用这些数据做广告,或者把这些数据有意的转交给第三方进行处理。这种情况下是肯定受到GDPR的监管的。
(3)该处理包括特殊数据类别的,比如刑事定罪和犯罪相关个人数据等。这些很显然也是属于非常敏感的个人信息。
不过,总体而言,对于什么样的情形中小企业要承担数据责任,这一块的定义仍然不够明确。
访问权
企业需要提供足够的便利和权限,让用户能够访问自己的全部数据,而且不应该收取用户任何费用。这些数据不仅仅只是访问,用户自己也可以不打折扣的全部索取(下载)。
数据便携权
GDPR强调,既然数据是属于用户的,而不是数据控制者的,因此数据控制者必须提供实际的保障,确保用户能够将这些数据按照自己的意志转移到其他的第三方,并且要么以通用的、机器可读的格式,要么以第三方可读的格式进行转移。
被强化的同意/许可
GDPR强调,必须经过个人的明确许可方能获、处理、使用这些数据。这样的许可不仅必须是清晰、明确、简明的,必须不能引起用户的误解、忽视,或是因为觉得麻烦而略过,还必须清楚地表明使用的目的、范围、产生的后果等等,以帮助用户进行判断是否应该授权。所有骗取用户同意的“花招”都不允许使用。此外,所有的授权都不再是一次性的,而是必须基于每一次“用例”,即每一次你需要用到用户数据的时候,都要征询用户的许可。
向后回溯一年
即使是你说,我现在就禁止欧洲人的IP访问我的网站!也不意味着你避免了GDPR的监管。因为GDPR向后回溯一年时间。如果在过去的一年内,你的网站有欧盟的人访问过,那么这部分数据同样受到GDPR的约束。
这六点中,好几种都是新生事物,而且涉及到技术的彻底改造。比如,你如何保证你的用户能不受限制的查看他的数据?你怎么保证用户能够转移他的数据?——很可能你自己都没有组织好你的用户的数据。所以,这也是为什么很多企业认为,GDPR将大幅度增加他们的IT开支。
企业应该怎么应对
国内企业对于用户隐私保护的警惕性相当淡薄,加上数据管理能力比较弱,因此极容易触犯GDPR。对于跨境电商的从业者,更是如此。
如下一些事情是值得开始做的。
重构隐私保护的设计
基本上GDPR要求企业不是在过去的个人隐私保护上进行修修补补,而是需要进行彻底的重构。比如,过去的隐私保护强调的是未经授权的“不泄露”,但没有强调数据的所有权与控制权的结合。过去,数据理论上当然属于用户,但是用户却没有主动的任何一点控制这些数据的能力。有些网络服务,一旦用户建立了自己的账号,实际上并不允许删除以及销毁这些账号,更谈不上能够将相关的数据转移给第三方。现在,为了GDPR合规,数据的获取、存储、处理、组织、管理、转移等等,全部都需要重新构建,以满足GDPR所要求的功能,以及满足更大的用户的数据控制权。
必须大幅度清晰化用户数据条款
对于大部分企业而言,需要大幅度简化他们“虚伪”的用户数据条款。而那些没有用户数据条款的,则必须立即建立足够清晰、意思表示明确的用户数据条款。此外,这些条款不可能包含“用户主动放弃相关数据的所有权”之类的表述,因为这跟GDPR的基本发条是相违背的。
增强IT能力
很明显,前面讲到的很多事情,都是需要技术同事去重新开发才能完成的。我会预测,GDPR甚至可能推出一些数据格式的通用标准,以帮助企业能够实现诸如数据携带权之类的要求。
任命数据保护官(DPO)
DPO并不一定是企业内部的员工,也可以聘请外部人士担任。DPO更像是顾问的角色,而且,如果企业违反了GDPR,企业会作为法人受到欧盟的处罚,但DPO未必需要承担来自责任(当然,他肯定会丢掉饭碗)。DPO的工作如下(引用自搜狐号DataWand):
- DPO需要向服务的企业和企业员工提供GDPR数据保护方面的信息和建议;
- 对企业GDPR合规以及数据保护方面所做的工作进行监管;
- 对企业data protection impact assessments(DPIAs)方面工作的参与和管理;
- 作为沟通渠道同欧洲GDPR监管部门保持联系,负责数据外泄的紧急汇报;
- 负责同数据主体沟通和联系,协助实现数据主体的数据权利;
- 客观独立的履行自己的职责,不应因雇主行政命令而影响客观事实和结论;
- 有权限可直接向企业最高管理决策层汇报工作。
减少不必要的数据收集
毫无疑问,收集的数据越多,越容易触犯GDPR的红线。重新审视自己的数据,是否真正的需要这些数据?如果把中国的这些互联网大佬们在国内收集数据的方法搬到欧洲,分分钟把你罚到破产。
如果你的网站使用cookie或者类似的监测
基本上没有网站不使用cookie。GDPR并不是说不允许使用,但是必须有一个足够明确、清晰的提醒告知用户:你在使用cookie并且在收集他的数据。
任何表单填写都要小心
任何让用户填写的表单都要特别小心,要有明确的隐私提示,并且告知用户他们对于这些数据拥有遗忘权等。
总结
我们都不是律师,因此某种意义上我们不可能穷尽这个用户体验非常不友好的GDPR。不过,掌握这个法条的基本思想并不困难。我在最后将GDPR的思路总结如下,能够帮助我们更好从底层价值的角度判断什么可能违规:
- GDPR不仅仅只是保护,并且赋予了个人用户关于他自己的数据的所有权。
- GDPR特别强调了知情权,包含明确清晰完备的用户告知,以及绝对不允许存在任何忽悠和欺骗用户的情况。
- GDPR大大扩展了个人数据的范围,几乎所有你收集到的关于这个人的数据,无论是行为还是其他信息,都是GDPR约束的数据范围。
- GDPR要求企业做出实质性的管理改变以确保个人数据的安全和所有权,而没有任何企业能够默认就满足GDPR的要求,没有。
- GDPR尽管是欧盟的法律,但是对全球所有的实体几乎都产生作用。
- GDPR可能会造成一个企业高达1.5亿人民币的罚款。
GDPR不是世界末日,只要你正视并弄清楚它。