GDPR生效在即，有欧洲生意的同学需要注意了！！

欧盟的“通用数据保护条例”（GDPR，General Data Protection Regulation）即将于2018年5月25日生效，而好多企业对GDPR并不十分了解。就目前看来，行业对于这项条例的观念仍有不当之处。尽管企业为GDPR的来临需要做大量准备工作，才能合规，但是许多人还在拖拖拉拉。

数十年来，欧洲一直是隐私和数据保护问题的先行者。现在，随着通用数据保护条例（GDPR）全面隐私法的通过，欧盟（EU）又开创了新局面。如果你的在企业收集，存储或使用有关欧洲居民的个人信息，那么GDPR可能会对你的业务流程产生深远影响。

该指令适用于1995年当时的技术情况，但随后几年技术的快速变化需要更新。欧盟立法者发布了一般数据保护条例（GDPR），以便在收集到比以往更多的数据的情况下能够保持用户隐私。他们还希望确保整个欧盟设立统一的法律，避免国家之间的重大分歧。 GDPR显着扩大了授予个人的隐私权，为运用个人信息的企业设置了许多新的义务。自2018年5月25日起GDPR就要生效，大家准备好了吗？

什么是GDPR？

经过四年多的协商，2016年4月欧洲议会和欧洲理事会通过GDPR。这项条例赋予欧盟公民更多的个人数据控制权，另外对那些收集、处理和存储个人数据的公司提出更高的责任要求，特别是数据泄露。

从五月份开始，除非有明确的法律依据，否则企业将不再被允许收集或处理一个欧洲公民的消费者数据，例如获得公民自愿给予和“明确的”同意。 如果没有提供适当通知或管理办法，公司也将被禁止使用以前收集的数据。

GDPR取代了1995年数据保护指令的条例，将使28个欧盟及欧洲经济共同体成员国的隐私保护法，更具有一致性和现代性。根据1995年指令，每个成员国都制定了自己的数据保护规则，这导致了在欧盟开展业务的公司监管环境和合规不一致的难题。

GDPR的大部分内容实际上并不新鲜，因为包含了“数据保护指令”中既存的理念。 但GDPR确实引入了一些新的概念，包括针对不合规对象的巨额罚款和增强的数据主体权利。这对任何在欧盟开展业务的公司或任何在其数据库中存有欧盟公民个人数据的公司都具有约束力。

以下是相关的GDPR的术语，可以帮我们更好的理解文章中的概念

GDPR有什么新东西？

个人数据：

以前的隐私制度将个人数据定义为姓名、照片、电子邮件地址、电话号码、实际地址或个人身份证号码、银行帐号或社保卡号。

但GDPR扩大了定义，时期包括“已识别”（identified）和“可识别”(identifiable)的数据信息。这意味着个人数据指的是任何可用于识别个人的信息，包括位置数据、移动设备ID以及某些情况下的IP地址。（生物特征数据和遗传数据被认为是“敏感的个人数据”）

匿名数据是一种潜在的合规性信息，即经过散列、加密或以某种技术方法进行匿名处理的个人数据。 通过将其与附加数据相结合后重新定位识别的数据也被视为个人数据。如下类型的隐私数据将受到GDPR保护：

• 基本的身份信息，如姓名、地址和身份证号码等；
• 网络数据，如位置、IP地址、Cookie数据和RFID标签等；
• 医疗保健和遗传数据；
• 生物识别数据，如指纹、虹膜等；
• 种族或民族数据；
• 政治观点；
• 性取向；

个人权利：1995年的数据保护指令已经赋予了公民要求企业删除其数据的权利，如果这些数据被非法处理或不再用于其原始目的。

GDPR通过要求数据管理员采取合理步骤，确保参与数据共享的第三方删除，扩大了被删除的权利，也被称为被遗忘的权利。

数据当事人也享有在多个平台数据不自动打通的权利，以及根据要求以电子形式免费获得经处理的个人数据副本的权利，包括这些数据被用于何处，以及使用数据的目的。

记录保存要求：数据管理员和任何外包商必须保存其数据处理活动的书面记录，包括他们处理数据的原因以及他们计划保存数据的时间。 此信息必须根据要求提供给数据保护机构。

问责原则：虽然GDPR并没有详细说明问责制，但数据控制者必须清楚地记录他们所采取的所有行动。GDPR称之为“通过设计和默认的数据保护”。如果监管机构要求提供合规证明，公司必须能够提供。

数据保护官员（DPO）：

GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定数据保护官DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定DPO。那么，如果你的公司内已经存在了一个发挥类似作用的人员，能够确保PII安全是最好的。否则，你将需要重新聘请一名DPO。根据企业自身的情况，DPO可以不要求一定是全职，在这种情况下，企业就可以选择一名兼职DPO人员。加上GDPR新规允许一名DPO同时为多个企业工作，所以聘请一名兼职DPO人员将是一个很好的选择。

目前，根据GDPR如何广泛地解释“系统地监督或处理”仍然是一个悬而未决的问题。DPO旨在帮助企业遵守GDPR，直接向企业CXO汇报，同时保持完全自主性。

更大的罚款：每一单GDPR违规行为将受到高达2000万欧元的严重处罚，或者上一年全球年营业额的4％，以较高者为准。

监管部门在设定罚款时可以考虑减轻因素，比如，尽快改正或是举报违规行为的企业可以受到稍微轻点的处罚。

无论如何，这些罚款意味着小公司巨大灾难，“这不是开玩笑的情。”Todd Ruback说。

“要么他们会倒闭，要么就会被吞并。” 他表示，“我们将最终形成一个更清洁的生态系统，但也会减少竞争。Facebook和谷歌受到欧盟委员会严格的审查，除非有意外发生否则他们难以幸免”

违规通知

而对于企业来说，其中最具挑战性的合规要求应该是，公司必须在发现违规事件的72小时内，向监管当局和受到违规事件影响的个人通报数据违规行为。执行影响评估的另一个要求是，通过识别漏洞以及制定漏洞解决方案来帮助减轻漏洞导致的安全风险。

数据控制方与数据处理方

GDPR为数据控制方和数据处理方建立了不同的规则。数据控制方决定为什么以及如何处理个人数据，并被要求建立处理数据的法律依据。条例规定数据处理方“代表控制方处理个人数据”。处理方必须合法和负责任地进行处理，控制方必须确保处理方做着合规的工作。

虽然对控制方的规则更为严格，但控制方和处理方都处于GDPR之下。与以前的隐私制度不同，数据处理方如果不遵守条例，可能要承担重大处罚。

不过，目前还不清楚，广告技术公司将被视为控制方还是处理方？总体来说，广告技术公司可以作为处理方式从数据中收集洞察，使客户受益。但是他们也有可能涉足控制方领域，因此合规负担可能会变得更重。

合法理由

如果公司有法律依据，则可以处理数据。 例如，保险公司必须处理客户数据才能执行合同条款。 银行必须处理数据以遵守法律。

但我们应该知道两个法律基础：合法权益和许可。

合法权益

能够证明“合法利益”的公司在某些情况下可以在未经同意的情况下合法处理个人数据：数据是合法收集的，有正当理由去使用数据以及数据处理的过程也是合规的。

要获得合法权益，数据控制方需要进行一个称为“平衡测试”。这个测试将数据控制方的利益与数据当事人的权利进行权衡，其中包括数据当事人对数据处理方式的合理期望是怎样的，以及控制方是否有正确的保障措施。

合法权益的例子包括预防犯罪、欺诈检测、网络安全，以及进行员工背景调查等。 “直效营销”在GDPR中也被认为特殊的对个人数据的合法使用，但也有一定的注意事项。

只要控制方确保用户可以有随时选择不参与（opt-out）的权利，那么个性化的沟通、定向广告、汇总分析以创建趋势报告和跟踪广告效果，点击后跟踪和受众测量在GDPR下都可行。

目前尚不清楚的是，参与互联网行为广告和程序化广告的公司是否可以要求合法权益。反广告屏蔽公司PageFair负责人Johnny Ryan认为这不太可能：“有些广告技术公司似乎已经相信自己被合法利益所覆盖，但是你不能用合法权益来为RTB发生的所有疯狂的事情辩护。”他补充道，“至少在私下里，任何知道他们在说什么的人都会承认。”

许可

许可一直是欧洲隐私法的基石，但GDPR大大提高了这个标准。

决定如何使用个人数据的数据控制方，必须得到他们计划使用数据的目的“明确的”许可。换句话说，如果一家企业不被许可做一件事，那它也不能使用这些数据来做其他事情。

许可必须是自愿以及明确的

选择退出模式（或者说，预选框的形式）不会消失。当网站在加载页面的同时，加载追踪cookie，务必通知访客，该网站会使用cookie。（通常是以弹出窗口的形式）。在用户同意启用cookie之前需要有一个屏蔽页屏蔽该网页内容。

底线是消费者对行为必须是肯定的和知晓的。英国、法国和德国的数据保护机构都同意，消费者可以通过在网站上勾选一个框来表示同意处理，但是只有在事先他们已经被用简单明了语言的通知告知了的情况下才能表示同意处理。

广告技术和营销技术供应商通常与消费者没有直接联系，因此获得跟踪或数据收集的同意是一个棘手的问题。他们很可能不得不依赖面向消费者的实体，比如向媒体方和营销人员代表取得同意。

不是每个人都相信中间商能在GDPR下蓬勃发展。网站数据管理软件Tealium首席技术官兼创始人Mike Anderson说：“第三方生态系统不会在GDPR世界中占据一席之地。 GDPR是关于第一方关系的。”

当有问题时谁负责？

营销者和媒体方可能会对第三方犯下的错误负责，这意味着他们将更加挑剔与谁合作。GDPR因此促进了尽职调查和供应商管理的重要性。

许可不是GDPR合规的“万金油”。得到它后，“你必须确保供应链中没有人会滥用你所分享的数据以至于使你面临法律风险。”Johnny Ryan认为。

然而，对那些在问责制问题上充耳不闻的营销者和广告技术公司来说，未来还是有希望的。

Forrester公司副总裁兼研究总监Melissa Parrish说：“事实是：如果出现问题，他们都会陷入困境。 没有任何方法可以推卸责任。”

与ePrivacy不一致

尽管GDPR成为头条新闻，但ePrivacy，也就是Cookie指令，对于营销人员来说可能更具影响力。GDPR涉及处理个人数据，ePrivacy涵盖与电子通信相关的隐私。

如果您访问过欧洲的一个网站，看到一个弹出式横幅广告，警告您“访问本网站，您需要接受使用Cookie”，那么您已经体验过ePrivacy的措施。

欧洲监管机构正在更新ePrivacy，以使其与GDPR更加一致，并简化了cookie合规性，这已经转化为大量的许可请求。监管机构希望在5月份之前完成ePrivacy并使之生效，以便正式推出GDPR。

但是，如果ePrivacy和GDPR都包含处理相同情况的法规，则以ePrivacy规则为准。目前正在审查的ePrivacy草案不包括处理合法利益的法律依据，因此2018年5月起，营销者能够处理数据的唯一法律依据可能就是许可。（在某些情况下，合同的履行可能会成为法律依据。）

经过修订的ePrivacy规定极有可能在5月份无法获得批准。毕竟GDPR用了四年的时间才能通过，而ePrivacy草案是从今年一月份以来才开始审核修订。

数据技术公司Acxiom全球首席隐私官Sheila Colclasure表示：“目前，ePrivacy与GDPR不一致，所以我们有一个缺口。我们需要确保Cookie法认可合法利益，并且不会破坏创新。但是，如果ePrivacy与GDPR无法同时生效，那针对ePrivacy的执行仍然存在一个灰色地带。”

无论哪种方式，如果ePrivacy 条例不包括合法利益，“这对于广告技术公司来说是个坏消息，”国际隐私专业协会研究和教育副总裁Omer Tene说。

Omer Tene说：“除非有合法利益修改，否则很难看出广告技术公司将如何遵守ePrivacy。 这对广告代理商来说是非常重要的。”

特别是考虑到违规的可能性。 ePrivacy草案中规定的罚款与GDPR中的罚款密切相关：高达2000万欧元，即全球年营业额的4％。

GDPR的误解

对GDPR最大的误读就是，不在欧洲的公司不必担心GDPR。这不对。 GDPR对欧盟公民的个人资料拥有管辖权，无论在哪里（进行数据）处理。

Omer Tene说：“GDPR将在欧盟诞生，但它适用于世界上任何以欧洲受众为目标服务的公司，以有意义的方式收集个人数据或定期监控欧洲人的信息。与以前你必须在场才受到数据保护指令的政权相比，这是一个巨大的变化。”

无论如何，许多中小型广告技术公司和营销技术公司似乎都采取观望GDPR的方法。而这不是一个明智之举，Evidon的 Todd Ruback说。

“他们没有积极主动地应对，这是一个糟糕的商业战略，特别是当媒体方和品牌主已经与他们的数字化供应商达成协议，并调整了他们与第三方之间的免责条款。”Todd Ruback说。

公司正在开始获得提示。根据国际隐私专业人员协会和安永会计师事务所10月份发布的联合年度治理报告，95％的受访者（75％位于欧盟以外）认为GDPR适用于他们，而美国的50％公司认为GDPR法规正在推动他们的隐私计划。

隐私盾

隐私盾（Privacy Shield）是取代避风港条款（Safe Harbor）的欧盟-美国数据传输协议。 它在十月中旬通过了第一次年度审查，这意味着欧洲官员认为它提供了适当的跨境数据保护。在2018年5月之前通过Privacy Shield进行自我认证是美国公司确保其拥有有效机制在欧盟和美国之间传输个人数据的一种方法。

同样，隐私保护只适用于国际数据传输，并不保证遵守GDPR的其他关键原则，包括获得许可，进行隐私影响评估和任命数据保护人员等。

清单

GDPR是一个庞大的立法文件，有99个密集的文章，要确保合规性并不容易。在处理最棘手的问题之前，最好先处理更简单的问题。

Todd Ruback表示：“监管机构需要的只是一台浏览器，一台笔记本电脑和一系列网站，以查看谁是透明的。你是否有消费者中心，并可以用简单的方式递交你的数据行为，以及让个人控制他们的个人数据？在监管机构开始深入公司内部流程并查看是否实现信息可被遗忘的权利之前，这是他们最容易施行的所在。”

确定您的公司是控制方还是处理方。这将影响法规对你产生怎样的影响。

进行数据保护影响评估（DPIA）：对数据流程进行风险分析。第一步是绘制数据流导图，并清楚地了解你从哪里收集数据、与谁共享数据、数据泄漏的可能性以及您如何维护，保留和保护数据。 DPIA帮助企业弄清楚他们是否符合GDPR和/或他们还需要做多少工作才能满足。

看看你的合同：检查你的供应链合作伙伴，以确定你与合作伙伴的协议是否是最新的，并包括与GDPR有关的条款。例如，如果出现违反或执法的情况，该怎么办。这可以是DPIA流程的一部分。

需要一个DPO吗？一家公司是否需要任命一名数据保护官员取决于其数据追踪的范围和规模。法律规定：“定期和系统的大规模监督”但是拥有DPO永远比没有DPO好。

文档：控制方必须证明，表现他们完成的数据处理符合GDPR的标准，包括（用户）许可选择，数据保存和管理的内部政策。如果一个数据保护监督机构敲门，你需要手头的书面证明。