GDPR 指南:通用數據保護條例

已發表: 2021-03-09

2018 年 5 月通過的通用數據保護條例 (GDPR) 旨在保護公民免受由於疏忽或不良行為者造成的數據洩露。 歐洲法規是試圖讓消費者的數字環境更加安全的眾多法規之一:加利福尼亞的 CCPA、巴西的 LGPD、中國的 PIPL、加拿大的 PIPEDA。

GDPR 是對歐洲公眾對數據隱私日益關注的回應。 歐盟已使用該法規來保護歐盟和歐洲經濟區的數據保護,並嚴格執行規則、調查權和對違規行為或數據洩露事件處以巨額罰款。

GDPR 為消費者提供數據保護,包括:

  1. 知情權
  2. 訪問權
  3. 整改權
  4. 刪除權
  5. 限制處理的權利
  6. 數據可移植性的權利
  7. 反對權
  8. 與自動決策和分析相關的權利

誰需要關心 GDPR 合規性

不用說,如果您是一家歐洲公司,或者一家在歐洲開展任何業務的公司,您需要了解 GDPR 的要求。

美國的企業也應該注意 GDPR,因為儘管該法規是針對歐洲的,但它會影響到歐盟和歐洲經濟區以外也處理歐洲消費者數據的企業。 全球經濟不是孤立的,溢出效應很大; 您應該檢查與您合作的供應商,以確保他們符合合規要求以避免任何責任。

如果您是一家電子商務公司,那麼您作為商家就是負責消費者數據的數據控制者。 選擇合適的合作夥伴將是您實現完全合規的一部分。 例如,Shopify 擁有大量 GDPR 相關資源,可幫助您了解自己的義務並證明自己的合規性。

美國消費者也應該對 GDPR 感興趣,因為它可能在他們不知情的情況下使他們受益。 GDPR 不僅為歐洲公民提供保護,還為任何數據在歐洲被販賣的消費者提供保護,例如度假或出差的消費者。 它還應該提醒人們哪些數據在美國受到保護,哪些不受保護。

消費者對數據保護的態度

RSA 數據隱私和安​​全報告對法國、德國、意大利、英國和美國的 7,500 多名消費者進行了調查,了解“隱私、數據和法規對他們與企業的關係的影響”。

它表明了對在線營銷人員的不信任和對黑客的恐懼,因為“超過 40% 的受訪者承認在在線註冊產品和服務時會偽造個人信息和數據”,以避免被營銷或丟失敏感數據。

80% 的受訪者將金融和銀行信息列為數據洩露中數據洩露的擔憂,以及他們的密碼 (76%) 和護照和駕駛執照等身份信息 (72%) 的擔憂。

其他有趣的人口統計數據包括 51% 的德國受訪者對他們的基因數據持保護態度,51% 的年輕千禧一代(18-24 歲)擔心個人信息被用於勒索。

建立一個消費者可以信任的在線空間勢在必行,但也有激勵企業改進其數據安全實踐的動力:82% 的英國受訪者聲稱他們會抵制一家不斷證明他們不尊重數據安全的公司保護客戶數據。

儘管抵制的威脅可能不足以激勵公司進行自我監管,但歐洲國家已經制定了一個實質性和漸進的監管框架,迫使公司認真對待數據安全問題,他們並不害怕徵收巨額罰款以證明問題的嚴重性。

GDPR 保護哪些類型的個人數據

作為 GDPR 廣泛合規法規的一部分,公司必須保護消費者數據,包括:

  • 個人身份信息 (PII),例如姓名、地址和身份證號碼。
  • Web 數據,例如 IP 地址、cookie 數據和 RFID 標籤。
  • 健康和遺傳數據。
  • 政治觀點。
  • 性取向。

GDPR 的好處

GDPR 是徹底和進步的。 徵收的高額罰款可能惹惱了谷歌,但它們是達到目的的一種手段——一個更安全、更安全的數字環境,可以保護消費者並讓公司對設計更好的系統負責。 蘋果首席執行官蒂姆庫克曾表示,“這應該是世界各地的法律”,政府應該為消費者數據隱私採取立場。

儘管 GDPR 可能不適用於所有北美公司,但作為數據安全實踐的早期採用者對您的業務是有益的。 Michael Fimin 在《福布斯》雜誌上撰文,承認 GDPR 合規的五個好處。

1. 加強網絡安全

GDPR“要求組織確定其安全策略並採取適當的管理和技術措施來保護歐盟公民的個人數據。” 實施這些做法可以保護您的數據並提高您的網絡安全。

2. 改進的數據管理

在審查您的數據收集和存儲時,“擺脫組織保留的冗餘、過時和瑣碎 (ROT) 文件”,並使您的數據可搜索。 如果您的系統精簡、可索引和可​​搜索,您的員工將更有效率。

3. 通過更多合格的潛在客戶提高投資回報率

當您將 cookie 政策更改為用戶必須選擇加入的政策時,您可能擁有一個較小的數據池,但因為該池中的每個人都必須積極做出決定以允許您使用他們的數據,所以他們應該被認為更有資格。

4. 消費者信任

消費者擔心他們的數據是如何被收集、使用和暴露在網上的風險中的。 超越美國的要求,將您的客戶數據保護到 GDPR 標準,這凸顯了您對他們的個人數據的重視程度以及您對數據洩露威脅的重視程度。

5.市場差異化

作為早期採用者有很多好處。 在後期採用者進入該領域之前,您可以通過多次數據安全實踐迭代來完善您的系統,您可以預見任何未來法規的要求,並且可以在強制性或可執行之前實現合規性,這將使您在海洋中脫穎而出尚未在數據安全方面採取行動的競爭對手。 正如 Fimin 所說,GDPR 合規性是您“實施珍視人類隱私的新商業文化”的機會。 GDPR 是您脫穎而出的機會。”

GDPR 的缺點

對如此嚴格的法規的擔憂是,合規成本可能是新公司進入數字領域的障礙,數字領域被認為是一種獎勵新公司風險、創新和破壞的環境。 與市場上已經存在的較大競爭對手相比,快速擴張的公司可能缺乏競爭力。

對於較大的公司或處理大量個人數據的公司,僱用或提升負責保護數據和遵守歐洲當局的數據保護官會產生相關成本。 罰款可能很重且具有勸阻性,但與合規相關的成本也是如此。 額外的開銷可能是 SMB 的喪鐘。

合規性是需要積極管理的東西。 小公司可能無法以與大公司相同的能力跟上合規性。 這保留了這些大公司已經擁有的競爭優勢。

公司如何收集、存儲和使用數據的限制將影響許多中小企業所依賴的廣告技術方面。 如果沒有出於營銷目的而對質量數據的洞察力,公司將難以接觸到他們的目標受眾,並且可能會為消費者提供相關性較低的廣告。 當正確的產品出現在正確的眼前時,偉大的廣告對消費者和廣告商都有好處。

對 GDPR 的另一個批評是它走得太遠了,過度監管將導致消費者不斷被要求在線徵得同意。 要么用戶會看到持續不斷的 cookie 橫幅,要么公司不會首先收集敏感數據,而是使用替代數據分析來實現合規性,而無需向網站訪問者提出任何選擇加入請求。

如何實現 GDPR 合規

數據隱私是一個全球性問題,GDPR 影響任何處理歐盟居民數據的公司。 如果您的網站使用分析軟件收集用戶數據,則此規定會影響您,您必須從選擇退出切換到選擇加入數據收集。

審核您正在收集的數據。

了解您處理的數據類型、存儲方式以及組織中的哪些人可以訪問這些數據。 監控從您的網站收集數據的供應商,並檢查他們關於遵守 GDPR 的聲明。

解決各個級別的隱私問題。

不要只關注系統的設計方式或信息的存儲方式,還要關注誰可以本地訪問帳戶。

採取基於風險的方法。

數據安全合規需要協作; 收集組織中每個人的見解和意見。 通過共同確定您最大的風險並確定其修復的優先級,您可以有效地識別您的風險並實現合規性。

數據控制

歐洲消費者現在對其個人數據的收集方式和使用方式擁有擴展權利,但他們也擁有“數據可移植性”的權利,這意味著他們可以要求提供有關他們的個人數據的副本或要求予以糾正或刪除。

在數字空間和任何級別傳輸個人數據方面投入巨資的企業將不得不開發實踐和技術,使他們能夠輕鬆遵守法規。

  • 持續監控和保護數字資產。
  • 採取適當的控制措施來保護數據免遭洩露。
  • 在“合理的時間內”向數據主體提供數據。

如果您不遵守會發生什麼:GDPR 處罰

對 GDPR 的高調處罰是巨大的。 在新規則實施的第一年,谷歌被處以 5000 萬歐元的罰款。 Intersoft Consulting 在 GDPR 罰款中寫道,這些罰款旨在“對每個案例都有效、相稱且具有勸阻性”。

該法規採用兩級精細結構來懲罰公司:

輕微侵權“將被處以最高 1000 萬歐元的行政罰款,或者就企業而言,最高可達上一財政年度全球年營業額的 2%,以較高者為準。”

嚴重違規行為“將被處以最高 2,000 萬歐元的行政罰款,或者就企業而言,最高可達上一財政年度全球總營業額的 4%,以較高者為準。”

可以根據以下因素決定處罰:

  • 侵權的性質、嚴重性和持續時間,考慮到相關處理的性質範圍​​或目的以及受影響的數據主體的數量和他們遭受的損害程度。
  • 侵權行為的故意或過失性質。
  • 控制者或處理者為減輕數據主體遭受的損害而採取的任何行動。
  • 考慮到他們實施的技術和組織措施,控制者或處理者的責任程度。
  • 控制者或處理者之前的任何相關侵權行為。
  • 與監管機構的合作程度,以糾正侵權行為並減輕侵權行為可能產生的不利影響。
  • 受侵權影響的個人數據類別。
  • 侵權行為被監管機構知曉的方式,特別是控制者或處理者是否以及在多大程度上通知了侵權行為。
  • 如果第 58 條第 2 款所述的措施先前已針對同一主題對相關的控制者或處理者下達命令,則應遵守這些措施。
  • 遵守根據第 40 條批准的行為準則或根據第 42 條批准的認證機制。
  • 適用於案件情況的任何其他加重或減輕因素,例如直接或間接從侵權中獲得的經濟利益或避免的損失。

違反 GDPR 的平均罰款是多少?

GDPR 於 2018 年 5 月成為法律,僅在當年剩下的時間裡,就有 91 起罰款總額為 55,955,871 歐元。 在大多數情況下,備受關注的是備受矚目的巨額罰款,但並非所有 GDPR 罰款都被公佈或成為頭條新聞。 當您從數據中刪除交給 Google 的 5000 萬歐元異常罰款時,一家公司面臨的 GDPR 平均罰款約為 66,000 歐元。

荷蘭數據保護局 (DPA) 於 2019 年 3 月發布了處罰違規行為的指南。他們根據違規的嚴重程度開發了一個分級處罰系統,分為四類。

I 類適用於簡單或文書違規的情況,例如“未能分享公司數據保護官 (DPO) 的聯繫方式或未充分記錄處理者或聯合控制者的責任”。 罰款範圍為 0 – 200,000 歐元; 標準罰款 100,000 歐元。

當公司不履行特定的 GDPR 義務和要求時,II 類適用。 罰款範圍為 120,000 歐元至 500,000 歐元; 標準罰款 310,000 歐元。

當公司拒絕對其用戶或荷蘭數據保護局 (DPA) 保持透明、拒絕將違規情況通知 DPA 或拒絕與 DPA 合作時,適用 III 類。 罰款範圍為 300,000 歐元至 750,000 歐元; 標準罰款 525,000 歐元。

當公司從事敏感數據的非法處理、非法分析或拒絕遵守荷蘭 DPA 的特定指令時,第四類適用。 罰款範圍為 450,000 歐元至 1,000,000 歐元; 標準罰款 725,000 歐元*
*僅適用於 20,000,000 歐元/年營業額的 4% 的情況

GDPR 執行的顯著實例

2020 年秋季,在 2018 年發生對消費者造成不利影響的單獨數據洩露事件後,萬豪和英國航空公司均被處以巨額罰款。

英國航空公司 | 2585 萬美元 | 英國,2020

英國航空公司被罰款 2585 萬美元,其 40 萬客戶的數據在數據洩露中受到損害。 在調查發現他們一直在處理“大量個人數據而沒有採取足夠的安全措施”後,信息專員辦公室 (ICO) 對他們處以罰款是因為他們的數據安全漏洞。

儘管罰款是 ICO 開出的最大罰款,但在考慮到 Covid-19 對航空業的經濟影響之前,他們最初提議罰款 2.29 億美元。 ICO 還讚揚 BA 在攻擊後“顯著改善其 IT 安全性”並遵守調查員的要求——這兩者都有助於降低最初的罰款總額。

萬豪國際 | 2380 萬美元 | 英國,2020

2020 年,萬豪酒店因數據洩露事件被處以 2,380 萬美元的罰款,該數據洩露事件導致 3.39 億條賓客記錄洩露,影響了整個歐盟的 3,000 萬用戶。 萬豪案的有趣之處在於,最初的違規行為可追溯到 2014 年,但直到 2018 年才被發現,並且“處罰僅涵蓋自 2018 年 5 月 25 日(GDPR 生效之時)以來的違規行為部分” 。”。

與英國航空公司的罰款一樣,在萬豪罰款前幾週,英國政府將罰款總額從 1.23 億美元降低到了 Covid-19 的經濟影響以及公司的緩解努力和合規性。

谷歌 | 5700 萬美元 | 法國,2018

自 GDPR 成立以來,谷歌一直是法國數據監管機構的憤怒。 2018 年,該公司因“在廣告個性化方面缺乏透明度、信息不足和缺乏有效同意”而被罰款 5000 萬歐元。

谷歌 | 1.21億美元| 法國,2020

2020 年底,法國監管機構再次對谷歌處以 1 億歐元的罰款,儘管谷歌目前正在法庭上與該金額作鬥爭。 罰款是因為當用戶訪問 google.fr 時,“在他們採取任何行動之前,他們的終端設備上放置了七個 cookie。”

亞馬遜 | 4200 萬美元 | 法國,2020

亞馬遜還因同樣的 cookie 違規行為被法國監管機構罰款 3500 萬歐元。 法國當局認定,谷歌和亞馬遜都不符合“為用戶提供事先、清晰和完整信息的要求,也不符合獲得他們同意的要求,並且反對這些 cookie 的機制存在部分缺陷。”

H&M | 4130 萬美元 | 德國,2020

雖然 GDPR 執法的其他引人注目的例子是由於消費者受到數據洩露和公司行為的影響,但 H&M 的罰款是因為非法監視其在德國的員工。

漢堡數據保護局 (HmbBfDI) 宣布罰款,這是自 GDPR 實施以來德國最大的罰款,此前該公司被發現過度監控其員工的私人生活。 至少從 2014 年開始,一些工作人員就被“廣泛記錄他們的私人生活細節”。

“在假期和病假等缺勤後,監督團隊負責人與員工進行了所謂的歡迎回來會談。 在這些會談之後,在許多情況下,不僅記錄了員工的具體假期經歷,還記錄了疾病和診斷的症狀,”HmbBfDI 說。 “此外,一些主管通過個人和現場談話獲得了對員工私生活的廣泛了解,從相當無害的細節到家庭問題和宗教信仰。”

2019 年 10 月,在內部錯誤導致信息可以訪問數小時後,數據收集實踐被曝光。 漢堡數據保護和信息自由專員約翰內斯·卡斯珀教授在談到罰款時說:“因此,罰款金額足以有效阻止公司侵犯員工隱私。”

我們對 GDPR 的看法

GDPR 是一項進步和全面的法案,它為保護消費者的數據保護設定了標準,這對個人來說是一件好事。 處罰旨在相稱且有效,以迫使公司了解數據保護問題的嚴重性並勸阻違規行為。

我是歐洲人,所以我可能有偏見; GDPR 符合我的歐洲感受。 但我的首要任務是為我提供價值的公司,我相信增強的數據安全實踐也符合他們的最大利益。

是的,對於那些不能足夠快地合規或無法負擔聘請合規專業人員來管理特定風險的成本的公司來說,這一變化可能會帶來一些初期的痛苦。 儘管如此,罰款還是足夠高的,可以考慮投資合規專業人員或至少審計您現有的風險。

它有助於歐洲數據執法機構與數據控制者合作,以減輕任何或潛在違規行為的後果。 他們不只是處罰,他們還積極希望數字環境更安全、更智能、更完善; 恢復消費者對數字空間的信心; 並為用戶提供對其個人數據的權利和保護。

通過選擇加入對您的網站訪問者進行再營銷的方法,再營銷可能會變得更精簡。 您可以放心,您列表中的用戶有意識地決定選擇加入。 擁有適當的系統來組織和審核您自己的數據也可以清除數據中的大量噪音; 刪除冗餘、過時和瑣碎 (ROT) 數據。 您的數據將是黃金,您會想要保護它,您的團隊將更加高效。

我們不是律師; 我們無法幫助您審核並實現網絡安全合規性,但我們可以建立一個符合 GDPR 要求的出色網站,我們可以與您的數據管理團隊一起創建一個數字環境,以建立消費者對您的品牌的信心並滿足您的業務目標。