關於歐盟GDPR,你需要知道的事!

歐盟《一般數據保護條例》(GDPR)將於2018年5月25日起正式施行,該條例是近三十年來數據保護立法的最大變動,旨在加強對歐盟境內居民的個人數據和隱私保護。此外,它還將通過統一數據和隱私條例來簡化對跨國企業的監管框架。它將取代1995年頒布的[《數據保護指令》]。

1995年的《數據保護指令》95/46/EC是歐盟版的隱私保護條例。其主要目標包括協調數據保護立法,以及規範將個人數據轉移到歐盟以外的「第三國」的情形。除了其它一系列措施,各個盟國還各自成立獨立的公共機構,監督該指令的實施,並作為與企業和公民互動的監管機構。整體而言,該指令符合經濟合作與發展協會(OECD)的最初建議以及隱私權是基本人權的核心概念。

雖然《數據保護指令》旨在團結不同盟國的立法,但這隻是一項指令,當置換到各國獨立的法律時仍有一定的解釋空間。加上當今數據格局的快速變化,尤其是Facebook、LinkedIn等社交平台以及雲技術的興起,勢必要升級歐盟地區的監管環境。即將到來的GDPR是一項更大的立法,並且在各個成員國即刻可執行。

條例 vs. 指令

這項變化的一個重要特徵就是歐盟GDPR是一項條例取代原有的指令。條例直接適用於歐盟各成員國,而對於指令,各成員國有權酌情決定數據保護法的實施。因而,除了嚴格的數據和隱私保護,條例的實施還將通過在歐盟地區統一數據和隱私法規而簡化監管框架。對於跨國企業來說,這將幫助他們在與多個數據和隱私保護機構溝通時消除當地法律之間的不一致性,從而降低行政成本和負擔。

處罰力度加大

GDPR將繼續通過監管機構和法院執行,除了民事補救還有刑事和行政處罰。然而,根據國際隱私專業人士協會的數據,GDPR加大了行政處罰的力度,根據案情情況最高可罰款兩千萬歐元,或公司年營業額的4%。

新擴大的管轄權將影響在歐盟地區開展業務的中國企業

該條例的一個重要特徵是新擴大的管轄權,可能會影響到歐盟以外的企業。新條例適用於為歐盟境內的個人提供商品和服務,或監控個人行為(如商業網站或行動應用的運營商)的企業。這一規定將影響很多中國企業。

GDPR規定同意書將仍是處理個人數據的一個要求,併為同意書設立了更嚴格的條件。 EUDataProtectionLaw.com 指出,對這些條件的定義是「數據主體通過申明或一個清晰的肯定動作,在知情的情況下自主、具體而明確地表明自己的意願,即表示他們同意個人相關數據被處理。」

規定新權利

歐盟GDPR還建立了兩項新的個人隱私權,「刪除權」和「移植權」。刪除權是對「被遺忘權」的擴充,讓個人有權要求刪除其個人數據。而移植權則讓個人可以更輕鬆地訪問自己的數據。個人可以要求將其數據從一個供應商轉移到另一個供應商。此類數據轉移將為個人創造更多方便,而加大了供應商之間的競爭。

如何確保合規

GDPR不止適用於歐盟內的企業,還適用於歐盟以外的企業——如果他們為歐盟境內的數據主體提供商品或服務,或者監控其行為。GDPR也適用於處理或持有歐盟境內數據主體數據的企業,不論該企業位於何處。

很多企業之前並未遵循過歐盟數據和隱私法,因而很多細節(如範圍、實施等)都不清楚。對於在歐盟境內運營的企業,或是向歐洲個人提供商品、服務或監控其行為的企業,您可以通過以下步驟提前為明年做準備。

  • 根據現有資料深入解讀GDPR
  • 理解GDPR規定下個人數據的廣泛範圍
  • 創建、更新或審查有關個人訊息和安全措施的文檔
  • 根據GDPR,創建、更新或審查有關違規行為、事件報告以及風險評估的政策和程序的文檔
  • 創建、更新或審查任何必要的合同和協議語言
  • 判斷使用雲端人力資源或薪酬供應商是否有利於公司減輕合規風險。

人力資源領導者需要注意居住在歐洲的中國公民將受到GDPR保護,而居住在歐盟以外的歐盟公民則不受這些法規保護。

雖然很多公司已經採取數據和隱私措施以遵守《數據保護指令》,然而GDPR包含了新的保護措施,並適用於更廣泛的領域,包含歐盟境內外的企業,這將需要額外的合規措施。企業必須儘快採取行動為2018年5月GDPR的正式生效做好準備。

GDPR是General Data Protection Regulation的縮寫,翻譯過來就是《通用數據保護條例》,按照計劃時間表,這條歐盟最新的數據隱私法將於2018年5月25日起開始施行。這條法規的目的是加強歐盟公民對第三方公司使用其個人數據的選擇和權利(拒絕其訊息被濫用的權利),GDPR條例對跨境數據流中的個人數據處理也做了明確的規定。

根據條例的條款,這條新法規的對象包括所有位於歐洲的企業以及服務的客戶居住在歐洲的其他地區的企業,如果違背了本法規中的隱私保護事項,企業將可能面臨巨額罰款(最高2000萬歐元或是年收益的4%)。

說白了,只要你的客戶是歐盟的居民,無論你的公司所在地是哪裡,你都必須遵守該法規。

敲一下黑板,這也正是我們跨境電商賣家需要關注的重點。就是說,雖然你是一家中國的企業(或個人),如果你違反了該法規,在運營中不小心泄露了用戶的訊息,都可能面臨巨額罰款。

在GDPR的條文中,對於個人數據的定義包括所有能用來直接或間接定位一個人的訊息數據。比如,一個客戶通過你的網站輸入了他的姓名、郵箱、生日、地址、電話等訊息,這些數據都毫無疑問的屬於GDPR定義的個人數據,而你獲取此類數據的行為即為收集個人數據行為。而如果商家收集了這些訊息,不論是個人的,職業相關的,還是公開的訊息,都需要遵守GDPR的要求。

好吧,這條法規很大,內容也很多,對於我們跨境電商賣家來說,我們就說點直接的吧。

一個亞馬遜的賣家在銷售以及與客戶溝通的過程中,獲取了客戶的訊息,之後,把這些訊息用作其他的用途,甚至包括向客戶郵箱里發推廣性的郵件,如果這個客戶是較真的人(歐洲較真的人還真不少),如果客戶去投訴/起訴了,對不起,你違法了;

一個亞馬遜的賣家,在銷售過程中,客戶A下了訂單,收到貨后不想要了,要求退貨,而此時,正好客戶B也下了同樣的訂單,賣家為了圖方便,把客戶B的訊息提供給A,讓A把貨物發到B處去,對不起,如果A和B中的某個人或者兩人同時都是較真的人,如果他們去投訴/起訴,對不起,你違法了;

一個做獨立站運營的賣家,如果你的網站上有用戶註冊系統,如果用戶註冊了,你把這些註冊的訊息反覆利用,或者分享給其他第三方使用,對不起,你違法了;

一個非常用心的賣家,通過Facebook等SNS媒體結交好友,然後,有了一些用戶的訊息,再然後,你把這些訊息用作他途,對不起,你違法了;

一個同時在運營多個平台的賣家,把從Ebay上收集到的用戶訊息拿過來,通過EDM郵件等方式推廣自己的亞馬遜店鋪,對不起,你違法了;