还记得2017年支付宝年度账单风波吗?支付宝年账单首页入口处,有一行特别不起眼的小字:“我同意《芝麻服务协议》”,不但字特别小,而且已经帮你选好了“同意”,同样,近期脸书面临的信息泄露问题,使企业陷入自建立以来的最大危机。个人信息安全是个老话题,在GDPR的影响下,数据关系着一个企业的生死存亡,那么企业该如何更有责任的保护会员以及用户数据安全?
什么是GDPR?
通用数据保护条例GDPR (General Data Protection Regulation)是一项新的欧盟条例,它将取代1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。该条例将于5月25日正式生效。条例的主要内容可概括为增强数据监管力度,提高对欧盟公民的隐私保护,最大限度的降低企业滥用数据的问题。
GDPR的四大转变
1.全球适用,一站式监管
GDPR要求在多个欧盟国家设有办事处的组织将有一个“核心的监督机构”作为执行的中心点,以一个点作为最高的监督执行机构,确保不会因地域不同引起纷争。同时GDPR还包含了一个新的要求,即在正式生效后,企业必须在得知个人数据泄露的72小时内通知其国家的监管当局,除非数据是匿名的或加密的。可能对个人造成伤害的违规行为,如身份盗窃或违反保密性,也必须向有关人员报告。也就是说全世界的公司,无论数据存储和处理地点在哪儿,即便业务范围不在欧盟境内,但只要公司有任何来自欧盟成员国的用户,就必须遵守GDPR。并且企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力,其效力辐射于全欧境内。
2.数据保护,用户权利
企业在收集用户提交的注册、报名、下载、参与活动等个人信息时,必须确保用户已经同意企业行为。GDPR在要求获得同意时,提高了公式的标准,遵循用户“自由地给予、明确、知情”,企业需要使用“清晰易懂”的法律语言来进行用户权益阐述,不可以通过其他国家语言或其他方式来模糊权益说明。同时企业还必须能够提供证明,用户的同意行为是自愿的,而非强制同意,同时也必须通知他们有权撤回该同意。
3.内部程序
对于处理个人数据,有若干新的原则,包括在开发系统时在数据隐私的设计构建要求,企业有义务在使用“新技术”或以风控方式处理数据隐私影响评估。数据隐私影响评估是一个系统地考虑项目可能对个人隐私造成潜在影响的过程,从而最大限度减少触碰数据隐私红线的风险。
在安全方面,GDPR将要求许多企业拥有数据隐私官(DPO)来监督他们的遵守情况。需要DPO的组织包括公共机构,其活动涉及大规模的数据主体的定期和系统监控,或组织(如医院,保险公司和银行)大规模处理当前已知的敏感个人数据。
4.责任与处罚
GDPR将要求企业在运营过程中,进行数据的授权记录、授权实施过程等,能够在地方监督当局证明他们符合GDP要求。同时应培训员工,并采取适当的技术和组织措施确保和证明符合性。GDPR的重要性可以从惩罚措施中得以重,违规企业将被处罚以1000万欧元或全球营收入的2%(两者取其高),严重者处罚以2000万欧元或全球营收入的4%(两者取其高)(折合约1.5亿元人民币)。
以上为Focussend总结GDPR部分观点,在GDPR的影响下,绝大多数以互联网作为业务开展的公司都会在某些环节产生困扰。
在GDPR下企业该怎么办?
以下为Focussend针对企业应对GDPR规范,应做的调整进行详细梳理。
1.内容准备:企业GDPR说明文本清晰明确
• 企业内部的“服务协议”和“隐私条款”需要针对 GDPR 做相应调整,制定适合企业自身情况的规则说明文档。
• 清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。
• 保证多语言版本,不可利用语言不同等,模糊规定而获取用户的许可。
2.新用户:表单入口明确权益告知
• 在订阅、注册等全部数据采集入口设置明显告知用户窗口。
• 位置醒目、内容明确清晰
• 不可存在自动勾选强制同意行为,获得用户主观许可后才可使用。
f3
3.已有会员:发送“请求授权”的邮件,申请获取授权
• 针对全部已有会员用户发送申请许可邮件,未授权用户三天后继续发送,尽快获取授权。(邮件模板可直接选用后台模板)
• 用户点击邮件内的 "DO IT NOW" 按钮,跳转到我们在 "GDPR" 功能模块中生成的授权链接。
4.已有会员:用户自主完成授权
• 授权页面默认不勾选用户授权的内容,需要用户自己进行勾选然后点击“授权”
• GDPR 正式生效后,可在邮件发送界面的“排除组”那里进行勾选,对未获得授权的用户不再进行发送。
5.已有会员:允许随时撤销许可或修改授权
• 针对一直未对是否授权做明确回应用户,以及已许可用户,在后期每封邮件推送中,均需设置明显的撤销许可标识。
• 允许用户随时取消授权行为。
• 允许用户随时修改个人信息内容。
大数据时代不能变成一个没有隐私、没有禁忌的时代,相反,应该更加注重保护隐私。人们在享受互联网带来技术红利的同时,不能忘了技术发展的初衷。企业。须知无视法律法规、缺少社会责任,终究会作茧自缚、失去信赖。企业与个人唯有共同守住数据保护的红线,我们才能进入真正大数据。