GDPR

欧盟发布的GDPR（一般数据保护条例）将在2018年5月25日正式实行，这一条例将覆盖所有向欧盟居民提供货物或服务，或监控其商业行为的企业，无论企业的营业地点是否位于欧盟地区。
对任何类型的违反GDPR的行为其罚金的范围是1000万欧（7800万人民币）到2000万欧元（1.6亿人民币左右），或企业全球年营业额的2%到4%，而且是按公司全球总收益的4%或2000万欧元中的高者来处罚。
简而言之，如果希望在欧盟内部开展业务，对个人数据的隐私管理，对数据传输出欧盟将会成为一个非常重要的事情。欧洲是一个“程序型”的市场，合规/合法性对相关公司都会是一个严峻的挑战。在GDPR下，处理个人数据要像处理“毒药”那样慎重。

什么是GDPR？

经过四年多的协商，2016年4月欧洲议会和欧洲理事会通过GDPR。这项条例赋予欧盟公民更多的个人数据控制权，另外对那些收集、处理和存储个人数据的公司提出更高的责任要求，特别是数据泄露。

从五月份开始，除非有明确的法律依据，否则企业将不再被允许收集或处理一个欧洲公民的消费者数据，例如获得公民自愿给予和“明确的”同意。 如果没有提供适当通知或管理办法，公司也将被禁止使用以前收集的数据。

GDPR的大部分内容实际上并不新鲜，因为包含了“数据保护指令”中既存的理念。 但GDPR确实引入了一些新的概念，包括针对不合规对象的巨额罚款和增强的数据主体权利。这对任何在欧盟开展业务的公司或任何在其数据库中存有欧盟公民个人数据的公司都具有约束力。

GDPR有什么新东西？

个人数据：在GDPR下，像处理“毒药”那样处理个人数据。

以前的隐私制度将个人数据定义为姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码、银行帐号或社保卡号。

但GDPR扩大了定义，时期包括“已识别”（identified）和“可识别”(identifiable)的数据信息。这意味着个人数据指的是任何可用于识别个人的信息，包括位置数据、移动设备ID以及某些情况下的IP地址。（生物特征数据和遗传数据被认为是“敏感的个人数据”）

匿名数据是一种潜在的合规性信息，即经过散列、加密或以某种技术方法进行匿名处理的个人数据。 通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。

个人权利：1995年的数据保护指令已经赋予了公民要求企业删除其数据的权利，如果这些数据被非法处理或不再用于其原始目的。GDPR通过要求数据管理员采取合理步骤，确保参与数据共享的第三方删除，扩大了被删除的权利，也被称为被遗忘的权利。
数据当事人也享有在多个平台数据不自动打通的权利，以及根据要求以电子形式免费获得经处理的个人数据副本的权利，包括这些数据被用于何处，以及使用数据的目的。

记录保存要求：数据管理员和任何外包商必须保存其数据处理活动的书面记录，包括他们处理数据的原因以及他们计划保存数据的时间。 此信息必须根据要求提供给数据保护机构。

问责原则：虽然GDPR并没有详细说明问责制，但数据控制者必须清楚地记录他们所采取的所有行动。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明，公司必须能够提供。

数据保护官员（DPO）：核心活动涉及大规模系统数据监控或处理的组织（如医院，保险公司和银行）必须指定一个DPO。
目前，根据GDPR如何广泛地解释“系统地监督或处理”仍然是一个悬而未决的问题。DPO旨在帮助企业遵守GDPR，直接向企业CXO汇报，同时保持完全自主性。一些广告行业内部人士认为，拥有DPO也是一种自信的表现，但可能会使监管部门处于困境。

更大的罚款：每一单GDPR违规行为将受到高达2000万欧元的严重处罚，或者上一年全球年营业额的4％，以较高者为准。
监管部门在设定罚款时可以考虑减轻因素，比如，尽快改正或是举报违规行为的企业可以受到稍微轻点的处罚。
无论如何，这些罚款意味着小公司巨大灾难，“这是开玩笑的事情。”Todd Ruback说。
“要么他们会倒闭，要么就会被吞并。” 他表示，“我们将最终形成一个更清洁的生态系统，但也会减少竞争。Facebook和谷歌受到欧盟委员会严格的审查，除非有意外发生否则他们难以幸免”

数据控制方与数据处理方

GDPR为数据控制方和数据处理方建立了不同的规则。

数据控制方决定为什么以及如何处理个人数据，并被要求建立处理数据的法律依据。条例规定数据处理方“代表控制方处理个人数据”。

处理方必须合法和负责任地进行处理，控制方必须确保处理方做着合规的工作。

虽然对控制方的规则更为严格，但控制方和处理方都处于GDPR之下。与以前的隐私制度不同，数据处理方如果不遵守条例，可能要承担重大处罚。

合法权益

能够证明“合法利益”的公司在某些情况下可以在未经同意的情况下合法处理个人数据：数据是合法收集的，有正当理由去使用数据以及数据处理的过程也是合规的。

要获得合法权益，数据控制方需要进行一个称为“平衡测试”。这个测试将数据控制方的利益与数据当事人的权利进行权衡，其中包括数据当事人对数据处理方式的合理期望是怎样的，以及控制方是否有正确的保障措施。

合法权益的例子包括预防犯罪、欺诈检测、网络安全，以及进行员工背景调查等。 “直效营销”在GDPR中也被认为特殊的对个人数据的合法使用，但也有一定的注意事项。

只要控制方确保用户可以有随时选择不参与（opt-out）的权利，那么个性化的沟通、定向广告、汇总分析以创建趋势报告和跟踪广告效果，点击后跟踪和受众测量在GDPR下都可行。

许可

许可一直是欧洲隐私法的基石，但GDPR大大提高了这个标准。

决定如何使用个人数据的数据控制方，必须得到他们计划使用数据的目的“明确的”许可。换句话说，如果一家企业不被许可做一件事，那它也不能使用这些数据来做其他事情。

许可必须是自愿以及明确的。

选择退出模式（或者说，预选框的形式）不会消失。当网站在加载页面的同时，加载追踪cookie，务必通知访客，该网站会使用cookie。（通常是以弹出窗口的形式）。在用户同意启用cookie之前需要有一个屏蔽页屏蔽该网页内容。

底线是消费者对行为必须是肯定的和知晓的。英国、法国和德国的数据保护机构都同意，消费者可以通过在网站上勾选一个框来表示同意处理，但是只有在事先他们已经被用简单明了语言的通知告知了的情况下才能表示同意处理。

广告技术和营销技术供应商通常与消费者没有直接联系，因此获得跟踪或数据收集的同意是一个棘手的问题。他们很可能不得不依赖面向消费者的实体，比如向媒体方和营销人员代表取得同意。

与ePrivacy不一致

尽管GDPR成为头条新闻，但ePrivacy，也就是Cookie指令，对于营销人员来说可能更具影响力。GDPR涉及处理个人数据，ePrivacy涵盖与电子通信相关的隐私。

如果您访问过欧洲的一个网站，看到一个弹出式横幅广告，警告您“访问本网站，您需要接受使用Cookie”，那么您已经体验过ePrivacy的措施。

欧洲监管机构正在更新ePrivacy，以使其与GDPR更加一致，并简化了cookie合规性，这已经转化为大量的许可请求。监管机构希望在5月份之前完成ePrivacy并使之生效，以便正式推出GDPR。

隐私盾

隐私盾（Privacy Shield）是取代避风港条款（Safe Harbor）的欧盟-美国数据传输协议。 它在十月中旬通过了第一次年度审查，这意味着欧洲官员认为它提供了适当的跨境数据保护。在2018年5月之前通过Privacy Shield进行自我认证是美国公司确保其拥有有效机制在欧盟和美国之间传输个人数据的一种方法。

同样，隐私保护只适用于国际数据传输，并不保证遵守GDPR的其他关键原则，包括获得许可，进行隐私影响评估和任命数据保护人员等。

参考文章

A Marketer’s Guide To GDPR