GDPR是什么？

一般數據保護條例（General Data Protection Regulation）是一項全面的法律，賦予了歐盟居民對個人數據的更多控制權，并試圖澄清在線服務商在收集、利用歐洲用戶個人數據的規則和責任。它取代了1995年通過的歐盟關于數據保護的法律，并對現有的公約做出了一些重大改變。

該規定擴大了公司必須考慮到的個人數據范圍，并要求他們密切跟蹤他們存儲的歐盟居民的數據。如果歐盟的某個人想要一個公司刪除他或她的數據，發送數據副本，或者更正數據中的錯誤，該公司必須遵守。

GDPR甚至比這還要更進一步。歐盟居民現在可以反對公司使用他們數據的具體方式。但只要公司停止將這些信息用于特定目的，他們就不介意這家公司保留這些數據。

更重要的是，GDPR要求公司需要在數據泄露的72小時內通知用戶——目前還很少有公司做到這點。例如，在美國個人信用評估機構Equifax的泄露事件中，美國和其他地區的數百萬人的個人信息暴露無遺，該公司花了數周時間來阻止攻擊，然后在通知公眾之前制定好如何處理損失的計劃。

新規源由

(1)為歐盟公民提供更多使用自己的個人資料的權力

(2)加強數字服務提供者與他們所服務的人之間的信任

(3)為企業提供明確的法律框架，通過在歐盟單一市場上制定統一的法律來消除任何區域差異。

影響

《通用數據保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規，將于 2018 年 5 月 25 日生效。

任何處理歐洲公民個人數據的組織都必須遵守該條例。

不合規的企業可能面臨高達 2000 萬歐元或 4% 年營業額的罰款，以較高者為準。

適用對象

如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務，那么適用于GDPR。 這包括使用歐盟語言或貨幣，為歐盟居民量身定制產品，或在歐盟范圍內積極營銷。 “監控”定義為在線跟蹤人員創建個人資料，或分析和預測個人偏好，行為模式或態度。

-GDPR的誤解-

對GDPR最大的誤讀就是，不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權，無論在哪里（進行數據）處理。

適用地域

1. 本法適用于設立在歐盟內的控制者或處理者對個人數據的處理，無論其處理行為是否發生在歐盟內。

2. 本法適用于對歐盟內的數據主體的個人數據處理，即使控制者和處理者沒有設立在歐盟內，其處理行為：

(a) 發生在向歐盟內的數據主體提供商品或服務的過程中，無論此項商品或服務是否需要數據主體支付對價；

(b) 是對數據主體發生在歐盟內的行為進行的監控的。

3.本法適用于設立在歐盟之外，但依據國際公法歐盟成員國法律可適用地的控制者對個人數據的處理。

消費者受益

更多隱私：企業被要求只能收集和處理基于特定目的所需的個人數據，并采取措施保護個人數據。

個人數據更安全：隨著對收集和處理個人數據實施更嚴格的規則，數據泄露事件發生的可能性會更少，例如最近發生的Facebook事件。

更好地控制他們的購物體驗：消費者可以事先決定是否要接收來自企業的營銷電子郵件，或者他們是否允許網站追蹤他們的行為用于分析和再營銷。

企業如何應對GDPR

1. 內容準備：企業GDPR說明文本清晰明確

? 企業內部的“服務協議”和“隱私條款”需要針對 GDPR 做相應調整，制定適合企業自身情況的規則說明文檔。

? 清晰明確表明企業將收集的數據、使用及用戶享有的許可或撤銷許可權益。

? 保證多語言版本，不可利用語言不同等，模糊規定而獲取用戶的許可。

2. 新用戶：表單入口明確權益告知

? 在訂閱、注冊等全部數據采集入口設置明顯告知用戶窗口。

? 位置醒目、內容明確清晰。

? 不可存在自動勾選強制同意行為，獲得用戶主觀許可后才可使用

3. 新用戶：表單入口明確權益告知。

? 針對全部已有會員用戶發送申請許可郵件，未授權用戶三天后繼續發送，盡快獲取授權。（郵件模板可直接選用后臺模板）

? 用戶點擊郵件內的 "DO IT NOW" 按鈕，跳轉到我們在 "GDPR" 功能模塊中生成的授權鏈接。

4. 已有會員：用戶自主完成授權

? 授權頁面默認不勾選用戶授權的內容，需要用戶自己進行勾選然后點擊“授權”

? GDPR 正式生效后，可在郵件發送界面的“排除組”那里進行勾選，對未獲得授權的用戶不再進行發送。

5. 已有會員：允許隨時撤銷許可或修改授權

? 針對一直未對是否授權做明確回應用戶，以及已許可用戶，在后期每封郵件推送中，均需設置明顯的撤銷許可標識。

? 允許用戶隨時取消授權行為。

? 允許用戶隨時修改個人信息內容。

付費社交媒體營銷（或社交媒體廣告）要怎么做

根據GDPR，如果您想使用您的客戶數據或追蹤他們行為用于廣告目的，您必須獲得這樣做的法律依據。也就是說，您必須獲得客戶的明確同意。

重點

您必須給予您的客戶一個自由和真實的選擇來接受或拒絕（并允許輕松撤回他們的同意）。

您必須說明將收集客戶的哪些數據以及如何使用這些數據。同意的請求必須使用清晰和簡單的語言，方便客戶理解。用戶沒主動反應也不構成同意。您的客戶必須采取行動。 （例如，不允許預先勾選同意方框。）

由于獲得同意的要求非常嚴格，所以最好直接參閱相關規定并與您的法律顧問聯系。多種社交媒體廣告特征，包括使用您上傳的客戶數據，收集個人數據或在您的網站上的追蹤用戶行為。如果您有涉及到上述行為，那么進一步研究應采取的行動將非常有用。

發展

1981年，歐洲議會就通過了有關個人數據保護的《保護自動化處理個人數據公約》，這是世界上首個有約束力的有關規范數據使用、保護個人隱私、促進數據交流的國際公約。

1995年，歐洲議會和歐盟理事會通過了《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》（簡稱《個人數據保護指令》）。

2016年4月歐洲議會和歐洲理事會通過GDPR，取代了1995年數據保護指令的條例，并將于 2018 年 5 月 25 日生效。