GDPR(General Data Protection Regulation,一般数据保护条例)是欧盟2016年颁布的最新的,关于数据隐私权保护的法律。
GRPR已经于2018 年 5 月 25 日开始实施,成为欧盟法律的一部分,其目的在于改善欧盟公民的数据保护状况。
比较之前任何的隐私数据保护相关法律,GDRP都可以称之为“史上最严”。(之前合规,现在不一定合规,或者大概率不合规)
其不止直接针对互联网相关行业在隐私数据应用上的各种“你懂得”的常规操作,且对所有拥有用户(客户)隐私数据的企业,都有直接的法律约束作用。
GDPR影响范围
这是欧盟的法律,但不止与欧洲公司有关。
只要你公司的产品有欧盟国家公民用户,并处理(收集,存储,使用……)他们的隐私数据,都对你有直接的影响。
由于美国与欧洲的紧密联系,此隐私法律基本作为通用法律,受到欧美公司的普遍执行。
GDPR违规惩罚及风险
此法案规定对违法的处罚,监管机构最高对单一违法行为,可开出达2000万欧元或全球营业额的4%(以较大值为上限)的罚单。
实际的管辖力度与处罚程度还不可知,但在被监管机构认定为违规后,用户可能提出赔偿,因为欧美普遍的判例法原则,这里就没有上限了。
目前已经有一些隐私权拥护者已经准备对Google、 Facebook、和Instagram等大公司提起诉讼,指控他们违反新规。
在判例出现后,预计会引来“专业维权者”对一般品牌的普遍攻击,而从法律生效后仍未合规的企业,都面临极高风险。
GDPR保护用户哪些隐私
- 基本的身份信息,如姓名、地址、电话号码、电邮地址、身份证号码等;
- 网络数据,如唯一用户标识、位置、IP、Cookie、RFID标签等;
- 医疗保健相关,如身体状态,疾病状态,疾病倾向、遗传数据等;
- 生物识别数据,如指纹、虹膜、脸部特征等;
- 种族或民族、及对种族民族的相关态度;
- 政治观点、性取向及对性取向的态度;
GDPR规定的用户关于隐私权的权利要点
- 数据处理(收集,存储,使用等)的目的与方法应向用户清晰说明;
- 数据处理需要基于同意,此同意过程必须清晰易懂;
- 数据主体有权随时撤回同意,撤回同意和做出同意同样容易;
- 赋予数据主体选择删除自己个人数据的权利,当用户选择删除,数据控制者应有义务无不当延误地删除个人数据;
- 数据主体可以选择更正自己个人数据的权利,当用户选择更正,数据控制着应有义务不拖延的予以配合;
- 数据注意可迁移自己个人数据的权利,即可从数据控制者出下载自己的个人数据及数据处理过程数据;
基于GDPR规定企业对于用户隐私权的行为要点
- 未明确获得授权前,停止对应的用户数据处理;
- 非业务需要,尽量不收集用户隐私数据;
- 限制对用户隐私数据的可见范围;
- 保护好已有数据,出现用户数据泄露,及时向监管部门通报;
针对2C跨境电商企业,GDPR的合规风险
只要你的客户是欧盟的居民,无论你的公司所在地是哪里,你都受到GDPR的制约。
虽然你是一家中国的企业(或个人),如果你违反了该法规,在运营中不小心泄露了用户的信息,都可能面临巨额罚款。
最基本的,一个客户通过你的网站输入了他的姓名、邮箱、生日、地址、电话等信息,这些数据都毫无疑问的属于GDPR定义的个人数据,
你获取此类数据的行为即为收集个人数据行为。
而如果商家收集了这些信息,不论是个人的,职业相关的,还是公开的信息,都需要遵守GDPR的要求。
太抽象了?就举些违反GDPR要求的例子:
- 在销售以及与客户沟通的过程中,获取了客户的信息,之后,把这些信息用作其他的用途,甚至包括向客户邮箱里发推广性的邮件,如果客户去投诉/起诉了;
- 如果你的网站上有用户注册系统,如果用户注册了,你把这些注册的信息反复利用,或者分享给其他第三方使用;
- 通过Facebook等SNS媒体结交好友,然后,有了一些用户的信息,再然后,你把这些信息用作他途;
- 同时在运营多个平台的卖家,把从Ebay上收集到的用户信息拿过来,通过EDM邮件等方式推广自己的亚马逊店铺;、
基本的营销范畴对于GDPR的风险规避
比如真的想用收集到的用户信息,那就不要匆忙的直接暴露自己的平台或者平台……
这个问题比较庞大,具体到2C企业对用户进行邮件营销,
2B解企业对新客户的开发信营销等等,
我们会在接下去的文章中继续展开。
转载至穿云箭CPArrow
9541
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
