APP推广合作
联系“鸟哥笔记小乔”
欧盟GDPR法案解读:超250人公司必设“首席数据保护官”
2018-07-04 11:03:34


注:GDPR,即《一般数据保护条例》,于 2018 年 5 月 25 日正式生效。这是欧盟议会经过四年讨论,***的全球现有数据隐私保护法规中,覆盖面最广、监管条件最严格的政策。



第一部分: GDPR 法律条款解读


一、GDPR 法案的适用范围


欧盟一般数据保护法案是欧盟议会推出一部处理个人信息框架性法律,所谓框架性法律就是欧盟范围内确立基础性的一些原则和处理方法,欧盟成员国根据 GDPR 一般原则来立法,标准不低于 GDPR 的规定。GDPR 管辖的范围涵盖所有处理欧盟居民数据的公司,在欧盟地区的企业肯定需要遵守 GDPR,欧盟之外的企业只要处理欧盟居民的数据也需要尊重 GDPR。


任何违反 GDPR 的违法行为将导致最高 2000 万美金或母公司所有营业额 4% 的罚金,二者取金额大者。这项法律对于用户保护是最严格的,一定程度上将加重企业的合规成本,精神是值得赞扬的,但企业如果真的实施起来成本奇高,尤其对于中国出海创业企业更是如此。


二、GDPR基本原则


GDPR法案一共 11 章 99 条款,88 页,将于 2018 年 5 月 25 日在欧盟范围内生效,虽然条款众多,但是 GDPR 基本原则也是比较简单的:


1.  合法,公平,透明三原则:与数据主体个人相关的数据信息应当以合法,公正,透明方式处理

2.  数据收集应当有明确的目的:个人信息收集应当目的特定,明确和合法,任何与上述目的不符合的方式将不能继续处理数据。

3.  数据收集的最小化原则:个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据。

4.  准确性:个人数据应当准确,如果需要尽可能保持最新的数据。

5.  存储限制:在不超过个人数据处理目的之必要的情形下,允许以数据主体以可识别的形式保存;

6.  完整性与机密性:以确保个人数据适度安全的方式处理,包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施(“完整性和机密性”)。

7.  问责制:控制者(企业或组织)应该对并且能够证明其企业符合GDPR的规定。


三、GDPR 个人数据定义(Personal Data) 


“个人数据”是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。


个人信息实例:

·      a name and surname; (名字)

·      a home address; 地址

·      an email address such as name.surname@company.com; 邮箱

·      an identification card number; 身份证号

·      location data (for example the location data function on amobile phone)*; 地理位置

·      an Internet Protocol (IP) address; IP地址

·      a cookie ID*; COOKIE ID

·      the advertising identifier of your phone; 广告 ID

·      根据用户画像可以确定某一类人的信息,均为个人信息。


四、数据主体的权利


1.  信息透明度和信息机制:数据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式,也就是让用户知道你在收集那些数据,为什么收据数据,用于何种目的,另外也需要让用户可以随时对自己的数据进行控制。


2.  数据访问权,控制者应当保证数据主体可以随时访问自己的数据。


3.  纠正权:数据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据。考虑到处理的目的,数据主体应当有权使不完整的个人数据完整,包括通过提供补充声明的方式。


4.  被遗忘权:数据主体有权要求控制者删除其数据,比如谷歌的用户可以要求谷歌移除关于其个人不利的搜索结果。


5.  限制处理权:数据主体有权限制数据主体处理其个人数据


6.  关于纠正或删除个人数据或限制处理的通知义务:除非被证明不可能完成或者包含不成比例的工作量,控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制,传达给已向其披露个人数据的接收者。如果数据主体请求,控制者应当通知数据主体这些接收者。


7.  反对权:如果为了直接营销的目的而处理个人数据,数据主体有权在任何时候反对有关其的个人数据为进行此类营销而被处理,其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的的处理,则个人数据不得再为此目的而被处理。


8.  拒绝权和自主决定权。


9.  自主化的个人决策分析。


五、控制者或数据处理者的义务


1.  控制者应该在确定处理手段和在处理的同时,实施适当的技术和组织措施,如匿名化,即目的是实施数据保护原则,如数据最小化,以有效的方式,在处理时实施必要的保障措施,以符合法律要求,保护数据主体的权利。


2.  控制者应该实施适当的技术和组织措施以确保,在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量,数据处理的程度,数据的存储期限和数据的可及性。特别是,这些措施应确保在没有个人对无限数量自然人的干预下,个人数据在默认情况是不可访问的。


3.  在欧盟成员国的范围内指派欧盟代表,可以为合作伙伴,客户或第三方中介等。


4.  数据处理者应当以数据控制者名义处理数据。


5.  数据处理活动应当有记录。


6.  和监督机构合作和配合,应当积极配合监管机构的调查。


7.  处理过程的安全性:(a)个人数据的匿名化和加密;(b)数据系统保持持续的保密性、完整性、可用性以及弹性的能力;(c)在发生自然事故或者技术事故发的情况下,存储有用信息以及及时获取个人信息的能力;(d)定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理,力求确保处理过程的安全性。


8.  数据泄露 72 小时报告义务:在个人数据泄露的情况下,控制者不能不当延误,而且至少应当在知道之时起 72 小时以内,根据第 55 条向监管机构进行通知,除非个人数据的泄露不会导致自然人权利和自由的风险。如果通知迟于 72 小时,需要对迟延原因进行解释。

9.  与数据主体进行交流:个人数据泄露可能对自然人权利和自由形成很高的风险时,控制者应当毫不延误地就个人数据泄露的主体进行交流。


10.  数据保护影响评估以及事先咨询。


11.  超过 250 人公司或处理海量数据的公司必须设置首席数据保护官。


六、转移个人数据(欧盟)到第三国或国际组织


1.  数据转移到第三国或国际组织,第三国或国际组织应当对用户数据隐私和安全提供足够的保护。


2.  欧盟数据委员会会在官网及欧洲联盟公报上公布第三国或国际组织是否能够对个人数据提供足够的保护。


3.  数据处理者或控制者拟向第三国或国际组织转移数据,而第三国或国际组织没有列入符合欧盟个人数据保护要求的,通过提供适当的安全措施,以及在可强制执行的数据主体权利和对数据主题的有效法律补救措施时就绪的条件下,一个控制者或处理者可以将个人数据转移到第三个国家或国际组织。


4.  转移数据通过如下方式传输,无需取得任何欧盟当局批准和授权:a) 政府当局或公共机构之间具有法律约束力的、可执行的工具;b) 依照第 47 条制定的具有约束力的公司规则;c) 欧洲委员会根据第 93 条第 2 款所述审查程序通过的标准数据保护条款; d) 监察机构根据第 93 条第 2 款所述审查程序通过的标准数据保护条款; e) 根据第 40 条的规定批准的行为准则,以及第三国控制者或处理者的具有约束力的、可执行的,用以采用适当保障措施约定,包括关于数据主体权利的;或 f) 根据第 42 条获得批准的认证机构,以及第三国控制者或 处理者的具有约束力的、可执行的,用以采用适当保障措施约定,包括关于数据主体权利的。


七、评估措施、数据安全与数据泄露通知义务


1.  评估措施与安全措施


a. GDPR要求所有公司或组织实施最广泛的措施降低违反GDPR的风险,并保证合规处理数据。

b. 这包括可评估的措施比如数据隐私影响评估,审计,政策检查,活动记录,任命数据官等一些列可衡量的措施。

c. 公司或组织需要部署人员和财力来准备合规工作

d. Privacy Impact Assessments (PIAs) 开展隐私影响评估工作,需要形成书面文档

e. 记录数据处理工作,形成工作文档备查


2.  数据泄露通知义务


a. 数据控制者和处理者应履行数据泄露通知义务

b. 数据处理者必须把数据泄露通知给数据控制者

c. 数据控制者必须把数据泄露通知给监管当局

d. 数据泄露必须 72 小时通知监管当局,并根据情况通知到数据泄露的用户

e. 必须确保有现成的数据泄露发现,调查,内部报告机制(内部要有规范性文档,流程等)

f. 数据泄露必须保存记录,无论是否有报告义务


第二部分:企业 GDPR 的合规工作(以游戏公司为例)


一、事先评估清单:The Assessment


1. 我们存储和收集哪些数据?

2. 我们是否公平获取数据?我们是否获得必要授权,数据主体是否已被通知我们使用数据的特定目的?我们是否清晰没有模糊向他们说明目的,并告知他们可以随时撤回授权。

3. 我们是否遵循了不超过必要限度的最小化数据收集原则?

4. 数据存储是否安全?是否采取了加密存储方式?

5. 我们是否需要收集敏感信息?

6. 我们是否需要转移数据到欧盟之外的地区,是否有采取足够的管理措施保护数据的安全?


二、游戏公司一般会收集那些数据?


1. 游戏公司主动收集的数据:姓名,邮箱,用户名,密码,个人背景信息,游戏内聊天信息,客服聊天信息,以及为了玩游戏而获取的其它个人信息等。


2. 自动收集的信息:游戏进度(游戏数值),IP地址,设备ID(苹果,谷歌广告ID,MAC地址,IMEI等),地理位置,游戏交互信息等。


3. 从合作伙伴获得的用户信息,游戏公司主要合作伙伴分为三大类:买量平台(FB、谷歌),追踪平台(AppsFlyer 等)及 OFFER 平台(网盟),其中以买量平台和追踪平台为主。在隐私条款中需向用户披露合作伙伴收集的信息。


三、游戏公司收集个人数据的的目的(原因)


1. 为享受游戏服务,必须从用户处收集的个人信息比如用户名,邮箱等。


2. 为提升游戏体验,需要经过用户授权收集的信息,比如用户反馈和留言,游戏内交互,设备兼容适配信息等。


3. 为推广游戏或展示广告而收集信息,比如追踪用户卸载安装游戏及针对特定受众推广游戏的买量行为。此类信息收集应当保障用户随时撤销授权。


4. 为第三方合作伙伴合作而收集的信息,包括 Appsflyer、买量平台、云服务等各种第三方服务。


5. 其他可能向用户收集的个人信息。


四、形式合规


起草一份符合欧盟要求的隐私协议及服务条款,其中隐私协议应该列出以下内容:


1.  收集和存储了哪些数据;


2.  收集数据的目的,尽可能和收集数据的类型相匹配,逐条列出具体明确的可分割的目的;


3.  数据处理的方式,是否会追踪用户的数据,是否会采用cookie等类似的用户画像技术辨识客户;


4.  披露合作伙伴和第三方;


5.  数据安全保护措施;


6.  是否转移欧盟用户到境外,如何保证数据安全;


7.  保证GDPR规定的用户权利,访问权,更正权,遗忘权,撤销权等,并在隐私协议中提供实现方式,如果无法自动实现,可以让用户提交反馈表,核实后一个月内手动实现;


8.  年龄限制:请说明不收集13岁以下儿童的任何信息(不含13岁),收集13岁以下儿童信息需要监护人的同意;

其它可能需要向用户说明的信息:

1.  Privacy impact assessment form (PIA):PIA 是一个内部隐私评估自查流程,要形成文档以备欧盟检查,具体内容会在以后的文章中说明;

2.  和第三方或合作伙伴签订协议,明确双方在数据处理中义务和责任,所有协议应当留档;

3.  跨境转移政策及流程:形成规范性文档;

4.  数据泄露应急预案:形成规范性文档;

5.  个人数据保护政策:形成规范性文档;

6.  数据保留政策:形成规范性文档;

7.  数据收集用户授权表:嵌入到游戏内部或以申请表形式要求用户在线提交。


五、产品合规


1.  按照 GDPR 的基本原则来收集数据;

2.  加入明确授权和撤回按钮,让用户可随时撤回授权,随时访问数据,更正数据,删除,注销账户等。以 GDPR 数据主体权利为基准保证产品符合规定。网站或 APP 可加入隐私及数据控制面板,让用户可以随时访问、纠正、删除自己的数据等;

3.  所有用户授权与同意,应留存证据,可以以电子形式保存(截图,电子合同等);

4.  保证产品中的 SDK 及第三方合作伙伴数据收集也符合 GDPR 规定;

5.  产品隐私及数据安全技术措施处理;

6.  保证产品数据存储安全。


第三部分:总结


一、合规工作


1.  GDPR 合规工作需要涉及到方方面面,从产品调整到隐私政策,从内部数据安全到跨境传输,是一个系统工程。中小企业或欧盟业务量不大的游戏公司可参考行业内领先公司的做法,先把形式工作做好,随着欧盟用户量增加逐步进行产品调整。

2.  形式合规工作需要业务团队和法务(外部律师)配合一起完成,业务团队应把数据收集整个过程梳理清楚,法务(外部律师)帮忙起草相关文件,尤其是隐私条款和服务协议。隐私条款和服务协议应当发布在官网或游戏内。

3.  产品或业务线应预先做好准备工作,以配合GDPR整体合规工作。

4.  GDPR 法规学习工作,GDPR 合规不是一个人的工作,公司可以请外部律师或法务对公司涉及欧盟业务线的高管和骨干进行培训,尤其是产品线和技术线员工。


二、恶意竞争和市场壁垒


1.  竞争对手的恶意举报可能成为市场竞争一种手段,尤其欧盟本土企业可能利用此种手段打击中国出海企业;

2.  欧盟可能以 GDPR 不合规问题设置行业壁垒,大家都知道欧盟没有巨型互联网企业,所以 GDPR 主要防备美国和中国的互联网企业,毕竟数据不掌握在自己手上,谁也不会放心。


三、那些企业是欧盟重点的监管对象?


1.  巨型互联网企业:FB、GOOGLE、TWITTER、ALIBABA等;

2. 收到用户举报的企业,可能来自于竞争对手的恶意举报;

3. 可能存在数据泄露或已发生数据泄露的企业。



* 资源汇总:

个人数据收集委员会英国办公室官网(民间独立机构): 

https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr

GDPR 信息站点: https://www.eugdpr.org

GDPR 英文全文(可按章节查看):https://gdpr-info.eu

欧盟官网:https://ec.europa.eu/info/law/law-topic/data-protection_en


运营那些事儿
分享到朋友圈
收藏
收藏
评分

综合评分:

我的评分
Xinstall 15天会员特权
Xinstall是专业的数据分析服务商,帮企业追踪渠道安装来源、裂变拉新统计、广告流量指导等,广泛应用于广告效果统计、APP地推与CPS/CPA归属统计等方面。
20羽毛
立即兑换
一书一课30天会员体验卡
领30天VIP会员,110+门职场大课,250+本精读好书免费学!助你提升职场力!
20羽毛
立即兑换
顺丰同城急送全国通用20元优惠券
顺丰同城急送是顺丰推出的平均1小时送全城的即时快送服务,专业安全,准时送达!
30羽毛
立即兑换
运营那些事儿
运营那些事儿
发表文章49317
确认要消耗 羽毛购买
欧盟GDPR法案解读:超250人公司必设“首席数据保护官”吗?
考虑一下
很遗憾,羽毛不足
我知道了

我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。


一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
    1)反对宪法所确定的基本原则;
    2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
    3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
    4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
    5)煽动民族仇恨、民族歧视,破坏民族团结;
    6)破坏国家宗教政策,宣扬邪教和封建迷信;
    7)散布谣言,扰乱社会秩序,破坏社会稳定;
    8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
    9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
    10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
    11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
    12)危害未成年人身心健康的;
    13)含有法律、行政法规禁止的其他内容;


2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
    1)轻蔑:贬低、轻视他人及其劳动成果;
    2)诽谤:捏造、散布虚假事实,损害他人名誉;
    3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
    4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
    5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
    6)谩骂:以不文明的语言对他人进行负面评价;
    7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
    8)威胁:许诺以不良的后果来迫使他人服从自己的意志;


3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
    1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
    2)单个帐号多次发布包含垃圾广告的内容;
    3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
    4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
    5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
    6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
    7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
    8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。


4. 色情低俗信息,主要表现为:
    1)包含自己或他人性经验的细节描述或露骨的感受描述;
    2)涉及色情段子、两性笑话的低俗内容;
    3)配图、头图中包含庸俗或挑逗性图片的内容;
    4)带有性暗示、性挑逗等易使人产生性联想;
    5)展现血腥、惊悚、残忍等致人身心不适;
    6)炒作绯闻、丑闻、劣迹等;
    7)宣扬低俗、庸俗、媚俗内容。


5. 不实信息,主要表现为:
    1)可能存在事实性错误或者造谣等内容;
    2)存在事实夸大、伪造虚假经历等误导他人的内容;
    3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。


6. 传播封建迷信,主要表现为:
    1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
    2)求推荐算命看相大师;
    3)针对具体风水等问题进行求助或咨询;
    4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;


7. 文章标题党,主要表现为:
    1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
    2)内容与标题之间存在严重不实或者原意扭曲;
    3)使用夸张标题,内容与标题严重不符的。


8.「饭圈」乱象行为,主要表现为:
    1)诱导未成年人应援集资、高额消费、投票打榜
    2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
    3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
    4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
    5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序


9. 其他危害行为或内容,主要表现为:
    1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
    2)不当评述自然灾害、重大事故等灾难的;
    3)美化、粉饰侵略战争行为的;
    4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。


二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。


三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)

我知道了
恭喜你~答对了
+5羽毛
下一次认真读哦
成功推荐给其他人
+ 10羽毛
评论成功且进入审核!审核通过后,您将获得10羽毛的奖励。分享本文章给好友阅读最高再得15羽毛~
(羽毛可至 "羽毛精选" 兑换礼品)
好友微信扫一扫
复制链接