文章美国网站的 GDPR：您需要知道的一切

已发表: 2022-08-12

我们大多数人都记得 2018 年的 GDPR 狂热。您很有可能被有关欧盟 (EU) 及其新的通用数据保护条例 (GDPR) 的信息所淹没。此项全面规定于 2018 年 5 月 25 日生效。

当我第一次开始研究这篇文章时，我对那里的“专家”资源数量感到惊讶。许多出现在 Google 搜索引擎结果页面顶部的链接似乎是“官方”网站。

他们只是为咨询公司推销微型网站以赚钱。虽然这对于广告来说是正确的，但它同样说明了自然结果。这些网站上的一些信息非常好，但几乎在所有情况下都是不完整的，作者的动机也不清楚。

为了避免所有这些混乱和误导，我决定去一个单一的权威来源：欧盟委员会网站。我的事实和建议直接基于 2016/679 号条例 (GDPR) 的文本，我在整篇文章中大量引用。

除了法规文本之外，我还研究了第三方服务提供商（例如 Google 和 Pardot）在下方“第三方并发症”部分中的声明，但仅限于与我们许多客户使用的这些公司的服务相关的声明。

我的目标受众包括以某种身份在欧盟开展业务的美国公司（公共和私人）的代表。我的目标是帮助他们了解他们需要在公司网站上做什么才能遵守新法规。

如果您的公司位于美国以外，您的公司处理敏感数据（即医疗记录）、收集儿童数据、是政府机构或政府机构的服务提供商，那么现在停止阅读……这不适合您。

需要说明的是，我不是律师，这里的任何内容都不应被解释为法律建议。

什么是 GDPR？

欧盟成员国的隐私权标准非常高，收集数据的人承受的负担比美国更大。这不是一个新情况。在 GDPR 之前，欧盟制定了 1995 年制定的数据保护指令 (DPD)，并提出了我们在 GDPR 中发现的许多相同原则。 DPD 和 GDPR 都基于《欧盟基本权利宪章》，该宪章非常简单地说：

每个人都有权保护与他或她有关的个人数据——《欧盟基本权利宪章》第 8 条第 1 款

GDPR 的基本精神是所有“自然人”（稍后会详细介绍该术语）都有权知道何时收集他们的数据并有权拒绝收集数据。如果他们同意收藏，他们有权管理这些数据的使用方式，撤销他们的同意，甚至在以后选择删除所有当前和历史数据。

在旨在保护用户数据的治理和流程方面，对数据“控制器”和“处理器”（稍后也会详细介绍）也有一定的期望。最后，如果发生数据泄露，控制者必须做一些事情。

了解 GDPR 精神的最佳资源之一是其序言。它以简单明了的语言编写，比大多数法律文件更容易理解。然而，这种通俗易懂的语言并不能完全传达法律的绝对文字，也不能替代实际的法规。

与 DPD 不同，GDPR 规则适用于所有成员国。没有要求成员国在该法规被认为生效之前实施该法规。但 GDPR 并不排除成员国的其他法律，这些法律可能会进一步保护某些类型的敏感个人数据，如医疗记录。

GDPR 适用于所有在欧盟开展业务的公司，无论其位于何处。让用户从欧盟访问您的网站并不能确定您在欧盟开展业务的意图。但是，如果您在欧盟积极开展业务，则需要遵守 GDPR。

还有一点需要注意：GDPR 不会取代或取代欧盟 Cookie 法。这条规定仍然有效。

谁和什么受到保护？

居住在欧盟的自然人受 GDPR 保护。该法规在英国退欧之前生效，因此 GDPR 目前包括英国。自然人可以简单地被认为是个人。相比之下，法人可能只是一个法人实体。 GDPR 的保护不会延伸到欧盟以外的人。

任何可以与单个个人相关联的信息，无论其身份当前是否已知，都被视为“个人数据”。

“个人数据”是指与已识别或可识别的自然人（“数据主体”）相关的任何信息；可识别的自然人是可以直接或间接识别的人，特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或特定于身体、生理、该自然人的遗传、心理、经济、文化或社会身份； – GDPR 第 4(1) 条

“可识别”是我们需要解决的一个术语。我们目前没有必要知道个人的身份。以后有手段（cookie、IP 地址等）将数据与个人相关联，使他或她的数据受到 GDPR 标准的保护。

该法规避免涉及特定的数据收集技术（示例中使用除外），因此它与技术无关。鉴于围绕数据收集的创新步伐，这是必要的，因此 GDPR 可以保持相对的面向未来。 GDPR 涵盖了 Cookie、IP 地址、浏览器配置文件、路径中包含用户数据的 RESTful API 以及任何其他可能在未来出现的巧妙技术。

谁负责合规？

你。您的组织是您网站的“控制者”，并最终负责确保以符合 GDPR 的方式处理个人数据。当您选择在您的网站上使用不合规的第三方服务时，您就有过错。

“控制者”是指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共机构、机构或其他机构； – GDPR 第 4(7) 条

添加到您网站的任何服务（即 Google Analytics、Pardot 等）也必须遵守 GDPR。即使您认为您添加的服务不会收集个人数据，您也必须保持警惕。

许多免费服务将包括某种形式的数据捕获，后来用于广告网络。 2011 年，我进行了一些测试，发现了“免费”的社交分享小部件，例如 ShareThis 或 AddToAny 用于多个广告网络的嵌入式跟踪组件。在一个案例中，一个共享小部件启用了六个广告网络的跟踪。

您必须彻底审查您网站上包含的每个应用程序和服务。如果您网站的某些部分由第三方托管（即职业/人力资源或投资者关系），您应确保这些供应商和他们使用的任何第三方遵守 GDPR。

您还必须审查不一定在您的网站上收集数据但以某种方式受托处理已收集数据的任何第三方。分析顾问可能属于这一类。

所有这些第三方都是您用户数据的“处理者”。

“处理者”是指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构； – GDPR 第 4(8) 条

如果您的公司雇员少于 250 人，并且您没有收集可能导致个人权利和自由风险的敏感个人数据，那么对处理活动的记录有一些宽大处理以减轻您的负担。您不能免除遵守 GDPR，但您不必遵守与大型组织相同的标准。

处理的法律依据

要根据 GDPR 接受任何个人数据的收集，它必须至少满足六项标准中的一项。 GDPR 第 6 条第 1 款规定：

只有在以下至少一项适用的情况下，处理才是合法的：

(a) 数据主体已同意出于一个或多个特定目的处理其个人数据；

(b) 处理是履行数据主体所遵守的合同所必需的派对或为了在签订合同之前应数据主体的要求采取措施；

(c) 处理对于遵守控制者所承担的法律义务是必要的；

(d) 为了保护数据主体或其他自然人的切身利益，必须进行处理；

(e) 为执行为公共利益或行使授予控制者的官方权力而执行的任务，处理是必要的；

(f) 出于控制者或第三方追求的合法利益的目的，处理是必要的，除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所凌驾，尤其是其中数据主体是儿童。

在这六个基础中，只有第一个适用于我们大多数客户的网站。对于职业和电子商务部分，或任何需要登录的服务，基础 (B)也可以适用。

鉴别

在确定哪些类型的数据收集不需要 GDPR 下的法律依据时，这是一个非常重要的概念。从某种意义上说，识别很容易理解……我们能否将这些数据与自然人联系起来？如果是这样，那么显然该个人受到 GDPR 的保护。

如果我们通过使用 cookie 或其他一些跟踪技术来跟踪匿名人员，会发生什么？即使那个人是匿名的，以后也可以通过额外的数据收集来识别他或她。因此，该人受到保护。

自然人可能与他们的设备、应用程序、工具和协议提供的在线标识符相关联，例如互联网协议地址、cookie 标识符或其他标识符，例如射频识别标签。这可能会留下痕迹，特别是当与服务器接收的唯一标识符和其他信息相结合时，这些痕迹可用于创建自然人的个人资料并识别他们。 – GDPR 序言(30)

原因是我们不应该在没有事先获得同意的情况下收集个人用户的数据。如果我们要收集数据，然后稍后将其与自然人相关联，我们将违反该原则。

用户权利

在收集个人数据之前必须征得同意。并且必须存储与所述同意相关的所有数据，包括特别是何时给予同意以及用户同意何种形式的处理。相反，如果用户撤销对部分或全部个人数据收集的同意，该撤销也必须被记录。

数据主体的“同意”是指数据主体的意愿的任何自由、具体、知情和明确的指示，通过声明或明确的肯定行动，他或她表示同意处理与他有关的个人数据还是她; – GDPR 第 4(11) 条

请注意，一些第三方可能有自己的机制来确保同意，但是允许这些服务将自己注入到您的用户体验中会让人们迷失方向。除非您使用单一的第三方提供商来存储有关您的用户的信息，否则我们建议您创建自己的单一、简单的、清晰简洁的同意机制。它应该用于管理您网站上的所有各种数据收集方式，包括第三方。

“同意”应通过明确的肯定性行为给予，该行为明确表明数据主体同意处理与他或她有关的个人数据，例如通过书面声明，包括通过电子方式，或口头陈述。 – GDPR 序言(32)

用户有权访问他们的数据，更正他们的数据，当数据处理不再有法律依据时（例如，用户撤销同意或不再是客户），数据主体有权忘记了。这包括控制器通知可能也存储收集的用户数据的处理器。

此外，如果出于收集数据的法律依据或出于同意的目的不再需要个人数据，则应忘记个人数据。

数据保护和认证

GDPR 要求数据控制者（即您）和处理者采取适当的步骤（技术和组织）来保护个人数据。

为了能够证明对本法规的遵守，控制者应采取内部政策并实施措施，特别是符合设计数据保护和默认数据保护原则。除其他外，此类措施可能包括尽量减少对个人数据的处理、尽快对个人数据进行假名化、个人数据功能和处理的透明度、使数据主体能够监控数据处理、使控制者能够创建和改进安全功能。 – GDPR 序言 (78)

这些措施还应包括限制访问、加密和其他基本的数据安全最佳实践。 GDPR 的作者鼓励控制者和处理者识别并遵守数据保护认证，例如 ISO/IEC 27018 个人身份信息保护实践准则。

为提高透明度和遵守本条例，应鼓励建立认证机制和数据保护印章和标志，使数据主体能够快速评估相关产品和服务的数据保护水平。 – GDPR 序言（100）

化名

在我的研究中，我发现假名是 GDPR 中最容易被误解的概念。假名化与匿名化不同；它只是从数据集中删除属性的行为，使用户记录可识别，并使用某种形式的唯一标识符将这些属性存储在单独的数据源中。假名化的数据可以与该单独的数据源进行协调，以识别各个用户。

“假名化”是指以这样一种方式处理个人数据，即在不使用附加信息的情况下，个人数据不能再归属于特定数据主体，前提是此类附加信息单独保存并受技术和组织措施的约束确保个人数据不属于已识别或可识别的自然人； - GDPR 第 4(5) 条

对收集的数据进行假名化不会为处理用户数据创建法律依据。但是，这是安全存储用户数据的最佳实践，尤其是当该数据由处理器或其他第三方存储时。例如，您可以在处理器的数据集中使用唯一标识符，该标识符可以与您自己的数据集结合以识别用户。

数据泄露披露

如果发生个人数据泄露事件，控制者必须在意识到这一点后 72 小时内通知其监管机构。由于您是美国公司的一部分，因此监管机构将是数据主体所在成员国的监管机构。

“个人数据泄露”是指安全漏洞导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据； – GDPR 第 4(12) 条

控制者还必须在发生数据泄露事件时通知受影响的数据主体，尽管此类通知的时间表可能取决于防止持续或类似数据泄露所必需的措施。该指南仅声明应立即联系数据主体，不得无故拖延。

处罚

GDPR 侵权处罚可分为两类：

监管部门的罚款
对权利受到侵犯的数据主体的赔偿

我读过的大多数文章都倾向于关注监管机构可以处以的罚款。

很容易看出原因。

罚款可能高达 20,000,000 欧元，或高达上一财政年度全球年营业额的 4%。这些都是可怕的数字。

但重要的是要明白，这些罚款是上限，只适用于最恶劣和最具破坏性的情况。确定罚款金额时会考虑许多因素。

在决定是否处以行政罚款和分别确定行政罚款数额时，应当注意下列事项：
侵权的性质、严重性和持续时间，考虑到相关处理的性质范围或目的以及受影响的数据主体的数量和他们遭受的损害程度；
侵权行为的故意或疏忽性质；
控制者或处理者为减轻数据主体遭受的损害而采取的任何行动；
考虑到他们根据第 25 条和第 32 条实施的技术和组织措施，控制者或处理者的责任程度；
控制者或处理者之前的任何相关侵权行为；
与监管机构的合作程度，以纠正侵权行为并减轻侵权行为可能产生的不利影响；
受侵权影响的个人数据类别
侵权行为被监管机构知晓的方式，特别是控制者或处理者是否以及在多大程度上通知了侵权行为；
如果第 58 条第 2 款所述的措施先前已针对同一主题对相关的控制者或处理者下达命令，则遵守这些措施；
遵守根据第 40 条批准的行为准则或根据第 42 条批准的认证机制；和
适用于案件情况的任何其他加重或减轻因素，例如直接或间接从侵权中获得的经济利益或避免的损失。
– GDPR 第 83(2) 条

更大的未知数是对权利受到侵犯的数据主体的赔偿。任何违反 GDPR 的行为都不太可能只影响一个人，因此有理由期待某种形式的集体诉讼。

欧盟成员国的国家规则在集体诉讼事项（集体诉讼）方面差异很大。因此，在法规生效之前预测后果是最好留给法律专业人士的工作。也许更好的是，千里眼凝视着水晶球。

一些常见的场景

底线是 GDPR 合规性不必那么难。虽然您需要采取一些基本步骤，但指南是明确且可衡量的。如果您一直在欧盟开展业务，但一直无视数据保护指令，那么您将有一些工作要做。但让我强调一下，这并没有那么糟糕。

BrandExtract 服务的几乎所有业务都有一些常见的场景。通常，除非绝对必要，否则我们会尽量引导客户远离需要征得同意或管理个人数据的情况。但在某些情况下它是有意义的。以下是一些带有建议的具体情况：

谷歌分析

BrandExtract 的立场是，收集和存储用户的完整 IP 地址对于进行质量分析是不必要的。通过删除 IPv4 地址的最后八位字节和 IPv6 地址的最后 80 位来匿名 IP 地址，足以消除谷歌一方识别用户的可能性。

这可以通过使用 GA javascript 库中内置的 IP 地址匿名功能在 Google Analytics 中轻松完成。它可以简单地为所有用户调用，无论他们是否从欧盟内部访问您的站点。使用 IP 地址匿名化时，Google 的服务器上不会记录任何可识别的个人数据。

此外，您可以在您的网站上禁用 Google Analytics cookie。这将导致一些分析数据的丢失（我们正在对此进行测试以查看丢失的内容）。但是通过匿名 IP 地址和删除 cookie，我们不再需要为 Google Analytics 征得同意，因为无法再识别用户。

仍然可以将 Google Analytics 与 cookie 一起使用，但您必须在这样做之前征得同意。还请注意，Google 已承诺使用工具从分析中删除个人用户数据，以确保合规性。这些应该在 5 月 25 日之前到位。

Web 服务器日志文件

默认情况下，对您的 Web 服务器的所有请求都记录在日志文件中。每条记录都包含用户的 IP 地址，该地址被视为个人数据，因为如果后来识别出该用户，则可以使用它来追溯跟踪该用户的活动。应禁用 IP 地址记录，或将 IP 地址匿名化。

帕尔多

与 Google 一样，Pardot 的立场是您是控制器，而您是处理器。 Pardot 的服务产品取决于能够识别用户。因此，如果您打算在您的网站上使用 Pardot 服务，您必须有处理用户数据的法律依据。

Pardot 还没有用于收集或删除用户数据的工具，并且他们不希望在截止日期之前拥有这些工具。所有数据请求和被遗忘的请求都必须通过 Pardot 的服务台完成。

中心点

Hubspot 的部分服务包括摄入表格和用户跟踪。如果您不使用其他第三方提供商来跟踪用户，那么您可以考虑使用 Hubspot 的同意收集机制。这项新功能应在 5 月 25 日之前到位。

如果您使用除 Hubspot 之外的其他提供商，或者将用户数据存储在您自己的系统上，那么您必须创建自己的机制来收集用户数据存储方式的同意。

电子邮件营销

如果您使用电子邮件营销服务提供商或有自己的机制来跟踪用户的电子邮件回复，那么您必须在发送电子邮件之前获得同意或法律依据。对于电子邮件活动，您需要与数据主体建立关系，包括处理的法律依据。

托管字体和其他资产

这很简单……如果您担心 GDPR，请不要使用第三方来托管您网站的字体、javascript 库或其他资产。如果特定字体只能通过第三方主机获得，请使用不同的字体。

所有提供商都有自己的服务条款和合规级别，需要不断监控以确保他们的政策不会改变。尽量避免这种麻烦和风险。

共享服务（ShareThis、AddToAny 等）

它们很糟糕，不要使用它们。甚至在具有新闻价值的 GDPR 发展之前，BrandExtract 就一直在引导我们的客户远离这些伪装成服务的寄生虫。您的用户不需要在 47 个从未听说过的社交网络上分享您的网页。 BrandExtract 具有自定义代码，可在对您的业务真正重要的所有主要平台上共享。

个性化

这个也很简单。除按大洲或国家/地区划分的广泛地理位置之外的任何个性化场景都需要用户识别，并且您必须征得用户同意。根本没有办法解决它。

资源

欧盟委员会网站
GDPR 文本
分析中的 IP 匿名化
禁用分析 Cookie

GDPR 法规可能是压倒性的。希望我们已经帮助巩固了您需要知道的一切。当您考虑对您的网站进行审核时，我们很乐意与您交谈。我们将在我们的 GDPR 播客节目中与我们的专家团队一起深入了解 GDPR 的更多细节。为了更深入地了解您的品牌的网络和数字注意事项，这里有一些提示和资源可以提供帮助：

了解如何使您的网站易于访问。
找出网站安全的关键以及如何确保您的网站安全。
看看如何创建一个引人入胜（和转换）的商业网站。