歐盟的「通用數據保護條例」(GDPR)即將於2018年5月25日生效——數位廣告業剛剛開始興起。
但是關於監管的錯誤觀念是無處不在的。 儘管公司為準備和遵守GDPR需要做大量的工作,但許多人仍然拖延著自己的腳步。
數位數據治理解決方案提供商Evidon的首席隱私官Todd Ruback說:「過去六個月里,我聽到了很多事情,讓我十分頭疼「。
隨著時間的流逝,這是一個快速和骯髒的指南,是過去二十年歐洲隱私監管最重要的一塊。 還有很多事情要做。
什麼是GDPR?
GDPR于2016年4月由歐洲議會和歐洲理事會經過四年多的談判通過,賦予歐盟公民更多的個人數據控制權,使得收集,處理和存儲個人數據的公司需要負更多的責任,特別是數據泄露。
從五月份開始,公司將不再被允許收集或處理一個歐洲公民的消費者數據,除非獲得明確的合法基礎,例如獲得(公民)自由給予和「明確的」同意。 如果沒有提供適當的通知和同意措施,公司也將被禁止使用以前收集的數據。
這個規定是為了協調28個歐盟成員國和歐洲經濟區內的隱私保護法律並使之現代化。 GDPR取代了1995年正式確定的數據保護指令。之前,根據1995年的指令,每個成員國都制定了自己的數據保護規則,這導致了在歐盟開展業務的公司監管環境和合規不一致的難題。
GDPR中所蘊含的大部分內容實際上並不新鮮,而且還包含了「數據保護指令」中已有的思想。 但GDPR確實引入了一些新的概念,包括針對不合規的巨額罰款和增強的數據主體權利,這對任何在歐盟開展業務的公司或任何在其資料庫中存有歐盟公民個人數據的公司都是有約束力的。
GDPR有什麼新東西?
**個人數據:**在GDPR下處理個人特徵數據如氪石。
以前的隱私制度將個人數據定義為姓名,照片,電子郵件地址,電話號碼,實際地址或個人身份證號碼,如銀行帳號或社會安全號碼。
但GDPR擴大了定義,包括「已確定」和「可識別」的數據。 這意味著個人數據現在是可用於識別個人的任何訊息,包括位置數據,移動設備ID以及某些情況下的IP地址。 (生物特徵數據和遺傳數據被認為是「敏感的個人數據」)
**匿名數據:**是一種潛在的合規性訊息,即經過散列,加密或以某種技術方法進行匿名處理的個人數據。 通過將其與附加數據相結合后重新定位識別的數據也被視為個人數據。
**個人權利:**以前的數據保護指令已經賦予了如果該數據被非法處理或不再用於其原始目的,歐盟公民可以要求公司刪除其數據的權利。
GDPR通過要求數據管理員採取合理步驟,確保參與數據共享的第三方刪除,擴大了被刪除的權利,也被稱為被遺忘的權利。
數據主體也有權在在線平台之間進行數據移植; 不受自動數據處理(如分析)的權利; 以及根據要求以電子形式免費獲得經處理的個人數據副本的權利,包括使用地點和目的。
記錄保存要求: 數據管理員和任何外包商必須保存其數據處理活動的書面記錄,包括他們處理數據的原因以及他們計劃保存數據的時間。 此訊息必鬚根據要求提供給數據保護機構。
問責原則: 雖然GDPR並沒有詳細說明問責制,但數據控制者必須清楚地記錄他們為遵守所採取的所有行動。GDPR稱之為「通過設計和默認的數據保護」。如果監管機構要求提供合規證明,公司必須能夠輕鬆提供。
數據保護官員(DPO): 核心活動涉及大規模系統數據監控或處理的組織(如醫院,保險公司和銀行)必須指定一個DPO。 根據法律如何廣泛地解釋「系統地監督或處理」仍然是一個懸而未決的問題。
DPO旨在幫助企業遵守GDPR,直接向高管彙報,同時保持完全自主。 一些廣告行業內部人士認為,擁有DPO也是一種自信的表現,可能會使監管者處於困境。
更大的罰款: GDPR違規行為將受到高達2000萬歐元的嚴重處罰,或者上一年全球年營業額的4%,以較高者為準。
監管部門在設定罰款時可以考慮減輕因素。 儘快遵守和報告違規行為的公司可以受到稍微輕點的處罰。
無論如何,這些罰款的可能規模可能意味著小公司的全部(資產),「這是不小的諷刺,」Ruback說。
他說:「要麼他們會倒閉,要麼就會被吞併。」 「我們將最終形成一個更清潔的生態系統,但也會減少競爭。 臉書和Google受到歐盟委員會嚴格的審查,實際上可能意外取勝」。
數據控制方與數據處理方
GDPR為數據控制方和數據處理方建立了不同的規則。
數據控制方決定為什麼以及如何處理個人數據,並被要求建立處理數據的法律依據。條例規定數據處理方「代表控制方處理個人數據」。
處理方必須合法和負責任地進行處理,控制方必須確保處理方做著合規的工作。
雖然對控制方的規則更為嚴格,但控制方和處理方都處於GDPR之下。與以前的隱私制度不同,處理方需要遵守合規行動,如果不遵守,可能要承擔重大處罰。
不過,目前還不清楚,廣告技術公司將被視為控制方還是處理方?廣告技術人員開始從數據中收集見解(處理方),儘管是聚合層面,以使客戶受益。他們也有可能跨越線路進入控制方領域,合規負擔可能會變得更重。
合法理由
如果公司有法律依據,則可以處理數據。 例如,保險公司必須處理客戶數據才能執行合同條款。 銀行必須處理數據以遵守法律。
但行銷人員應該知道兩個法律基礎:合法利益和許可。
合法利益
能夠證明「合法利益」的公司在某些情況下可以在未經同意的情況下合法處理個人數據:數據是合法收集的,是否有正當理由使用以及處理是否合規負責的。
建立合法的利益需要數據控制方進行一個稱為「平衡測試」的練習,在這個練習中,它將權衡自己的利益與數據主體的權利進行權衡,包括個人對數據處理方式的合理期望以及控制方有正確的保障措施。
合法利益的例子包括預防犯罪,欺詐檢測,網路安全,進行員工背景調查等。 「直接行銷」在GDPR中也被認為特殊的對個人數據的合法使用,但也有一定的注意事項。
只要控制方確保用戶可以隨時輕鬆退出,個性化的溝通,定向廣告,匯總分析以創建趨勢報告和跟蹤廣告效果,點擊後跟蹤和受眾測量在GDPR下都可行。
目前尚不清楚的是,參與在線行為廣告和程序化廣告的公司是否可以要求合法利益。 PageFair生態系統負責人Johnny Ryan說,這是不太可能的。
他說:「有些廣告技術公司似乎已經相信自己被合法利益所覆蓋,但是你不能用合法利益來證明RTB發生的所有瘋狂的事情。 「任何知道他們在說什麼的人都會承認,至少在私下裡。」
許可
許可一直是歐洲隱私法的基石,但GDPR大大提高了這個標準。
數據控制方 - 決定如何使用個人數據的各方 - 必須得到他們計劃使用數據的目的「明確的」許可。換句話說,一個公司不能被許可做一件事,然後轉而使用這些數據來做其他事情。
許可必須是自由的,具體的。
選擇模式(aka預選框)將不會起作用。知情許可模式也不是什麼知識同意模式,即當網站在載入頁面的同時載入cookie跟蹤通常以彈出窗口的簡要通知,提醒訪問者網站會使用cookie。在用戶同意啟用跟蹤之前需要有一個阻擋頁阻塞內容的展示。
底線是消費者對行為必須是肯定的和知情的。英國,法國和德國的數據保護機構都同意,消費者可以通過在網站上勾選一個框來表示同意處理,但是只有在事先他們已經被用簡單明了語言的通知告知了的情況下才能表示同意處理。
廣告技術和行銷技術供應商通常與消費者沒有直接聯繫,因此獲得跟蹤或數據收集的同意是一個棘手的問題。他們很可能不得不依賴面向消費者的實體,比如向出版商和行銷人員代表取得同意。
Evidon正在通過通用的GDPR合規平台採取不同的方式,聲稱為消費者提供選擇數據收集的能力,了解正在收集的訊息並修改正在跟蹤的內容。
但是並不是每個人都相信中間商能在GDPR下蓬勃發展。
Tealium的首席技術官兼創始人Mike Anderson說:「第三方生態系統不會在GDPR世界中佔據一席之地。 GDPR是關於第一方關係的。
當有問題時誰負責?
市場行銷人員和出版商可能會對第三方犯下的錯誤負責,這意味著他們將更加挑剔與誰合作。 GDPR因此促進了盡職調查和供應商管理的重要性。
許可不是GDPR合規的保障。 得到它后,「你必須確保供應鏈中沒有人會濫用你所分享的數據以至於使你面臨法律風險,」Ryan說。
然而,希望在行銷人員和廣告技術公司之間永遠存在,這些公司似乎在問責制問題上埋頭。
Forrester公司副總裁兼研究總監Melissa Parrish說:「事實是:如果出現問題,他們都會陷入困境。 沒有任何方法可以推卸責任。」
與ePrivacy不一致
儘管GDPR成為頭條新聞,但ePrivacy,也就是Cookie指令,對於行銷人員來說可能更具影響力。 GDPR涉及處理個人數據,ePrivacy涵蓋與電子通信相關的隱私。
如果您訪問過歐洲的一個網站,看到一個彈出式橫幅廣告,警告您「訪問本網站,您需要接受使用Cookie」,那麼您已經體驗過ePrivacy的措施。
這是自2002年指令通過以來的常態。但很快基本的cookie通知不會削弱它(GDPR)。
歐洲監管機構正在更新ePrivacy,以使其與GDPR更加一致,並簡化了cookie合規性,這已經轉化為大量的許可請求。監管機構希望在5月份之前完成ePrivacy並使之生效,以便正式推出GDPR。
但是,如果ePrivacy和GDPR都包含處理相同情況的法規,則以ePrivacy規則為準。其中存在的一個問題是:目前正在審查的ePrivacy草案不包括作為因此處理合法利益的法律依據,因為5月份行銷人員處理數據的唯一可能的法律依據是許可。 (在某些情況下,合同的履行可能會成為法律依據。)
經過修訂的ePrivacy規定極有可能在五月份獲得批准 - 用了四年的時間才能通過GDPR,而且ePrivacy草案自一月份以來一直在審核之中,這就造成了不確定性。
Acxiom全球首席隱私官Sheila Colclasure表示:「目前,ePrivacy與GDPR不協調,所以我們有一個差距。 「我們需要確保Cookie法認可合法利益,並且不會破壞創新,但是,如果ePrivacy法規不規定,GDPR生效的時候仍然存在一個灰色地帶,ePrivacy將如何運作以及歐洲如何在ePrivacy指令下運作。「
無論哪種方式,如果ePrivacy regs不包括合法利益,「這對於廣告技術公司來說是個壞消息,」國際隱私專業協會研究和教育副總裁Omer Tene說。
Tene說:「除非有合法利益修改,否則很難看出廣告高科技企業可以如何遵守ePrivacy。 這對廣告中介人來說是非常重要的。」
特別是考慮到違規的可能性。 ePrivacy草案中規定的罰款與GDPR中的罰款密切相關:高達2000萬歐元,即全球年營業額的4%。
GDPR的誤解
對GDPR最大的誤讀:不在歐洲的公司不必擔心GDPR。
不對。 GDPR對歐盟公民的個人資料擁有管轄權,無論在哪裡(進行數據)處理。
Tene說:「GDPR將在歐盟誕生,但它適用於世界上任何以歐洲受眾為目標服務的公司,以有意義的方式收集個人數據或定期監控歐洲人的訊息。與以前你必須在場才受到數據保護指令的政權相比,這是一個巨大的變化,。」
無論如何,許多中小型廣告技術公司和行銷技術公司似乎都採取觀望GDPR的方法 - 這不是一個明智之舉,Evidon的Ruback說。
「他們沒有積極主動,這是一個糟糕的商業戰略,特別是當出版商和品牌已經與他們的數位供應鏈進行對話,並修改他們由於第三方違規的賠償協議情況下,」 Ruback說。
但是,公司正在開始獲得提示。根據國際隱私專業人員協會和安永會計師事務所10月份發布的聯合年度治理報告,95%的受訪者(75%位於歐盟以外)認為GDPR適用於他們,而美國的50%公司認為GDPR法規正在推動他們的隱私計劃。
隱私盾
Privacy Shield是取代Safe Harbor的EU-US數據傳輸協議。 它在十月中旬通過了第一次年度審查,這意味著歐洲官員認為它提供了適當的跨境數據保護。 在2018年5月之前通過Privacy Shield進行自我認證是美國公司確保其擁有有效機制在歐盟和美國之間傳輸個人數據的一種方法。
同樣,隱私保護只適用於國際數據傳輸,並不保證遵守GDPR的其他關鍵原則,包括獲得許可,進行隱私影響評估和任命數據保護人員等。
清單
–
GDPR是一個龐大的立法文件,有99個密集的文章,要確保合規性並不容易。在處理最棘手的問題之前,最好先處理更簡單的問題。
Ruback表示:「監管機構需要的只是一台瀏覽器,一台筆記本電腦和一系列網站,以查看誰是透明的。 您是否有一種以消費者為中心的簡單方式來溝通您的數據實踐,並讓個人控制他們的個人數據?在監管機構開始深入公司內部流程並查看是否實現訊息可被遺忘的權利之前,這是他們的最低期望「
確定您的公司是控制方還是處理方 。這種區別將影響您如何遵守法規。
進行數據保護影響評估(DPIA): 對數據流程進行風險分析。第一步是映射您的數據流,並清楚地了解您從哪裡收集數據,您與誰共享數據,數據泄漏的可能性以及在您如何維護,保留和保護數據。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。
看看你的合同: 檢查你的供應鏈,以確定你與合作夥伴的協議是否是最新的,並包括與GDPR有關的條款 - 例如,如果出現違反或執法的情況,該怎麼辦。這可以是DPIA流程的一部分。
需要一個DPO嗎?一家公司是否需要任命一名數據保護官員取決於其數據追蹤的範圍和規模。法律規定:「定期和系統的大規模監督…」但是擁有DPO永遠比沒有DPO好。
**文檔:**控制方必須證明,表現他們完成的數據處理符合GDPR的標準,包括(用戶)許可選擇,數據保存和管理的內部政策。如果一個數據保護監督機構敲門,你需要手頭的書面證明。