GDPR@数字营销⾏行行业⼿手册⽂文 | Morketing 魔客学院 前⾔言GDPR，⼜又称《通⽤用数据保护条例例》（The General Data Protection Regulation），这是⼀一项于2018年年5⽉月25⽇日在欧盟正式实施的新法规。GDPR规定了了个⼈人、企业或组织如何收集、使⽤用和处理理欧盟公⺠民的个⼈人数据，不不仅适⽤用于位于欧盟地区（EU）和欧盟经济区（EEA）的组织和企业，也适⽤用于在欧盟拥有客户和联系⼈人的组织。由于覆盖⽅方⾯面全、惩罚⼒力力度⼤大，GDPR⼜又被媒体称作“欧盟‘史上最严’数据保护法”。GDPR的实施对全球各地的企业均产⽣生了了影响。 为了了给数字营销从业⼈人员提供⼀一个更更加全⾯面和透彻的视⻆角，我们准备了了这份《GDPR@数字营销⾏行行业⼿手册》，从基础事实到⾏行行业动态，从影响到应对，还有业内观点和未来动向，魔客学院为您解读GDPR⽣生效⼀一周后的⽅方⽅方⾯面⾯面。——Morketing 魔客学院 ⽬目录⼀一、关于GDPR⼆二、GDPR最新动态（5⽉月24-29⽇日）三、企业应对四、GDPR对⾏行行业的影响、建议采取的举措五、业内⼈人⼠士观点六、未来⾛走向及其他地区动向七、免责声明⼋八、关于我们九、参考⽂文献（部分） ⼀一、关于GDPR1.GDPR时间表 欧盟通过《关于与个⼈人数据处理理相关的个⼈人数据保护及此类数据⾃自由流动的指令》; 该法案开始⽣生效；2012.01.2 欧盟委员会提出更更新数据保护条例例草案；2013.10.2 欧洲议会公⺠民⾃自由、司法和内务委员会（LIBE）进⾏行行了了定向投票；2015.12.1 欧洲议会、欧盟理理事会和欧盟委员会三⽅方机构协商后产⽣生了了⼀一项联合提案；2016.04.0 欧盟理理事会通过（奥地利利投出了了唯⼀一的反对票）；2016.04.1 欧洲议会通过；2016.05.2 在欧盟官⽅方公报（The Official Journal of the European Union）上公示20⽇日后，GDPR⽣生效；2018.05.2 GDPR正式实施，适⽤用于欧盟所有成员国；2018.07.0 经欧盟经济区联合委员会商讨决定遵守GDPR后，GDPR将同样适⽤用于欧盟经济区成员国；1995.10.241998.10 2012.01.252013.10.212015.12.152016.04.082016.04.162016.05.242018.05.252018.7/8⽉月 ⼀一、关于GDPR2.适⽤用对象•GDPR的⾸首要⽬目标是通过统⼀一欧盟内部的监管，将个⼈人信息的控制权归还到个⼈人⼿手中，并简化国际商业的监管环境。 •相较于1995年年的《个⼈人数据保护指令》，GDPR适⽤用范围更更⼴广。《个⼈人数据保护指令》的适⽤用范围由属地因素决定：机构的成⽴立地在欧盟，或者利利⽤用了了欧盟境内的设备进⾏行行数据传输。⽽而GDPR不不仅考虑了了属地因素，还增加了了属⼈人因素：GDPR适⽤用于处理理欧盟公⺠民个⼈人数据的所有公司，⽆无论处理理过程是否在欧盟进⾏行行，这意味着GDPR不不仅适⽤用于身处欧盟的公司和组织，也对在欧盟有客户或者联系⼈人的公司或组织有约束作⽤用。 •值得注意的是，GDPR中处理理个⼈人数据的⾏行行为包括了了“向数据主体提供货物或服务，或监控数据主体的⾏行行为”，只要公司提供的服务（如⽹网站或软件）能被欧盟境内的个⼈人访问和使⽤用，或者使⽤用了了欧盟语⾔言或货币，开发针对欧盟公⺠民的产品，该公司都需要遵守GDPR的相关规定。这也是GDPR发布后能够在全球造成极⼤大影响的核⼼心原因之⼀一。 ⼀一、关于GDPR3.重⼤大改变3.1.惩罚 违反GDPR的组织将被处以⾼高额罚款。根据GDPR规定，轻者处以1000万欧元（约⼈人⺠民币7500万元）或者上⼀一年年度全球营收额的2%（以较⾼高者为准）的罚款；重者将被处以2000万欧元（约⼈人⺠民币1.5亿元）或者上⼀一年年度全球营收额的4%（以较⾼高者为准）的罚款；3.2.同意 GDPR强调⽤用户的知情权，规定企业在使⽤用数据前必须进⾏行行明确询问并获得⽤用户的同意，询问必须清楚明确，使⽤用清晰明了了的语⾔言并区别于其他事项，⽽而不不能以任何形式默认⽤用户授予数据使⽤用权。同时，GDPR给予⽤用户撤回“同意”的权利利——⽤用户同意企业使⽤用数据后，仍然可以在未来撤销同意许可，企业必须⽀支持这种撤回诉求，并对已经搜集到的⽤用户数据进⾏行行处理理； ⼀一、关于GDPR3.重⼤大改变3.3.被遗忘的权利利 被遗忘的权利利也可以被称作数据擦除，即⽤用户有权让企业删除他/她的个⼈人数据，并停⽌止进⼀一步传播数据。如果数据已经被传播或者提供给第三⽅方使⽤用，企业有责任通知第三⽅方删除⽤用户数据；3.4.泄露露通知 当发现数据泄露露事件时，根据GDPR的相关要求，企业必须在发现数据泄露露的72⼩小时内通知⽤用户和相关部⻔门；3.5.数据保护专员 GDPR要求公共当局、从事⼤大规模系统检测的组织或⼤大规模处理理敏敏感个⼈人数据的组织必须设⽴立数据保护专员（DPO，Data Protection Officers）。数据保护专员需要向执⾏行行委员会报告，并有权监视组织的数据处理理。拥有250名或以上员⼯工处理理敏敏感数据或犯罪记录的组织或企业必须指定数据保护专员，这根据处理理敏敏感数据的具体情况⽽而定，拥有少于250名员⼯工的组织或企业有可能也需要指定数据保护专员； ⼆二、GDPR最新动态（5⽉月24-29⽇日）5⽉月24⽇日 •“欧盟GDPR的影响与应对”⾼高峰论坛在京举⾏行行（国内） •关注互联⽹网个⼈人信息保护，京东法律律研究院推出国内⾸首部GDPR专著（国内） •GDPR正式⽣生效：影响深重 中企国际化绕不不开合规性（国内） 5⽉月25⽇日 （欧盟GDPR正式⽣生效）•5⽉月25⽇日凌晨开始，欧洲⼴广告的需求量量⼀一度下降了了25%-40%（国外） •最严数据保护法GDPR⽣生效 阿⾥里里云已准备就绪（国内） •⼩小⽶米智能灯因欧盟新规停⽌止服务，创始⼈人：是暂时下线（国内） •GDPR“快⼑刀”威慑⼴广告服务商，全球互联⽹网巨头严阵以待（国外） •欧盟“史上最严”数据隐私法⽣生效，⼀一些公司宣布永久撤出欧盟市场（国外） 5⽉月26⽇日•⾕谷歌、Facebook遭诉讼或被罚款88亿美元（国外） •数据保护新规GDPR⽣生效 欧洲程序化⼴广告需求骤降（国外） 5⽉月28⽇日 •微信数据有望彻底删除了了！史上最严隐私法规 GDPR 正式推⾏行行（国内） 5⽉月29⽇日 •GDPR实施反成利利好？⾕谷歌欧洲⼴广告费占⽐比短期⼤大幅提升（国外） 注：所标注时间皆为事件发⽣生时间，⾮非新闻发布时间；⼆二、GDPR最新动态（5⽉月24-29⽇日） 三、企业应对1.Google早在今年年3⽉月，Adwords就在其博客⽂文章中提到，将为GDPR变更更⾃自⼰己的隐私政策。近⽇日，Google官⽅方确认将很快加⼊入互动⼴广告局（IAB）欧洲的透明度框架。Google产品管理理总监Scott Spencer表示Google希望成为IAB框架的⼀一部分。⽽而⽬目前Google正在等待IAB Europe的技术建议回应，并仍在审查框架政策。 三、企业应对2. InstapaperInstapaper是⼀一款最受欢迎的即时阅读App。受GDPR影响，Instapaper通知所有欧洲⽤用户，其服务会在5⽉月24⽇日暂时停⽌止服务，同时表示将继续升级软件，以确保其符合通⽤用数据保护条例例或GDPR。 很明显，GDPR的实施给Instapaper带来了了巨⼤大麻烦，由于GDPR的罚款⾮非常⾼高，企业⼜又⽆无法保证在实施的第⼀一时间保证100%合规，暂时停⽌止欧洲地区的服务，可能是最保险的选择。 三、企业应对3. 微信微信公众平台为遵守GDPR的相关要求，当欧盟地区微信⽤用户撤销授权该公众号获取其个⼈人信息（主要包括该微信⽤用户取消关注公众号或其⾃自⾏行行注销微信个⼈人帐号）时，会以邮件形式告知公众号的注册邮箱删除欧盟⽤用户的信息。 提醒时间：每周⼀一00：00（每周⼀一次） ⽤用户范围：欧盟地区注册的微信⽤用户 删除⽅方法：如果公众号运营者在⾃自⼰己的服务器器中存储了了以上范围内的⽤用户的信息，需要在三周内，从⾃自⼰己的服务器器中删除该⽤用户相关的所有信息，包括⽤用户的昵称、头像、openid以及与该⽤用户关联的服务信息。 三、企业应对4.Facebook对于经历了了剑桥分析数据丑闻的Facebook来说，在丑闻的顶峰并没有宣布应对GDPR相关的举措。直到5⽉月22⽇日，扎克伯格出席欧洲议会听证会作证时就坚持要让Facebook遵循GDPR的规定。5⽉月24⽇日，Facebook的⾸首席隐私官Erin Egan终于揭示了了该公司GDPR实施的范围，并在博客⽂文章中表示，Facebook将在其全球平台上实施规则的规定。据悉，从5⽉月最后⼀一周开始，Facebook⽤用户会在导航到News Feed时看到信息收集提示，并要求他们检查有关⼴广告、⾯面部识别以及确认他们在个⼈人资料料中分享的具体信息。 三、企业应对5.InstagramInstagram在4⽉月底就更更新了了⾃自⼰己的隐私政策，许多Instagram的⽤用户早已收到了了官⽅方宣布对其隐私条款和数据政策进⾏行行更更新的消息——⽽而⽤用户必须接受更更新后的条款才能继续使⽤用Instagram。 在Instagram新的数据政策中，强调了了⼴广告数据的使⽤用规范：“ 我们提供的⼴广告不不会告诉⼴广告商您是谁。政策⽂文件中有更更多关于Instagram与⼴广告商、合作伙伴分享数据的信息，但我们永远不不会出售您的数据。” Instagram收集的数据包括⽤用户提供的内容以及元数据，例例如照⽚片的位置或创建⽂文件的⽇日期。但Instagram在不不断强调，“我们使⽤用来⾃自Instagram和其他Facebook公司产品以及第三⽅方合作伙伴的数据向您展示我们认为对您有意义的⼴广告、优惠信息和其他赞助内容。我们会尽量量让这些内容与Instagram上的所有其他体验相关。” 三、企业应对6.微软GDPR于5⽉月25⽇日正式上路路，未来只要⽹网站或服务会直接或间接搜集、处理理和利利⽤用欧盟⺠民众个⼈人可识别资料料时，都将强制受到GDPR的规范。但微软在22⽇日宣布，其他地区的个⼈人⽤用户也能获得同样的资讯隐私保护。微软于5⽉月更更新了了隐私声明，其中变更更的地⽅方包括加⼊入GDPR要求的⽂文字（如⽤用户权利利及法源），并说明微软搜集的⽤用户资料料种类（语⾳音、使⽤用的内容及上⽹网纪录）、⽤用途（如⽤用于改善产品、提供服务或功能更更新，以及⼴广告）及举例例，且运⽤用简明的⽂文字或条列列⽅方式，⽅方便便⽤用户阅读。 三、企业应对7.⼩小⽶米⼩小⽶米⽣生态链企业、智能灯具Ye e l i g h t近⽇日通知称，由于⽆无法满⾜足欧盟最新出台的《通⽤用数据保护条例例》（GDPR）要求，将不不再向欧洲⽤用户提供服务。但Yeelight CEO姜兆宁在回复中否认公司保存⽤用户隐私数据，并表示此次只是暂时下线，合规后将继续上线。 三、企业应对8.美国营销⾃自动化领军企业Hubspot：企业⾃自查清单8.1.评估 •我们收集/存储什什么种类的个⼈人数据？ •我们是否获得了了⽤用户的同意，并且告知⽤用户我们使⽤用数据的具体⽬目的？ •我们是否向⽤用户清楚明确了了这⼀一⽬目的，并告知他们有随时撤回同意的权利利？ •我们是否使⽤用了了适当的安全级别来保证数据的安全可靠？ •我们是否正在收集或处理理任何特殊类别的个⼈人数据？如果是，我们是否符合收集、处理理和存储这些数据的标准？ •我们是否将个⼈人数据转移到欧盟以外，如果是，我们是否有⾜足够的保