還記得2017年支付寶年度賬單風波嗎？支付寶年賬單首頁入口處，有一行特別不起眼的小字：“我同意《芝麻服務協(xié)議》”，不但字特別小，而且已經(jīng)幫你選好了“同意”，同樣，近期臉書面臨的信息泄露問題，使企業(yè)陷入自建立以來的***危機。個人信息安全是個老話題，在GDPR的影響下，數(shù)據(jù)關系著一個企業(yè)的生死存亡，那么企業(yè)該如何更有責任的保護會員以及用戶數(shù)據(jù)安全？

[[230074]]

什么是GDPR？

通用數(shù)據(jù)保護條例GDPR (General Data Protection Regulation)是一項新的歐盟條例，它將取代1995年頒布的《數(shù)據(jù)保護指令》(Data Protection Directive 95/46/EC)。該條例將于5月25日正式生效。條例的主要內(nèi)容可概括為增強數(shù)據(jù)監(jiān)管力度，提高對歐盟公民的隱私保護，***限度的降低企業(yè)濫用數(shù)據(jù)的問題。

GDPR的四大轉(zhuǎn)變

1.全球適用，一站式監(jiān)管

GDPR要求在多個歐盟國家設有辦事處的組織將有一個“核心的監(jiān)督機構(gòu)”作為執(zhí)行的中心點，以一個點作為***的監(jiān)督執(zhí)行機構(gòu)，確保不會因地域不同引起紛爭。同時GDPR還包含了一個新的要求，即在正式生效后，企業(yè)必須在得知個人數(shù)據(jù)泄露的72小時內(nèi)通知其國家的監(jiān)管當局，除非數(shù)據(jù)是匿名的或加密的。可能對個人造成傷害的違規(guī)行為，如身份盜竊或違反保密性，也必須向有關人員報告。也就是說全世界的公司，無論數(shù)據(jù)存儲和處理地點在哪兒，即便業(yè)務范圍不在歐盟境內(nèi)，但只要公司有任何來自歐盟成員國的用戶，就必須遵守GDPR。并且企業(yè)主成立地所在國家的監(jiān)管機構(gòu)將作為主導監(jiān)管機構(gòu)對企業(yè)的所有數(shù)據(jù)活動負有監(jiān)管權(quán)力，其效力輻射于全歐境內(nèi)。

2.數(shù)據(jù)保護，用戶權(quán)利

企業(yè)在收集用戶提交的注冊、報名、下載、參與活動等個人信息時，必須確保用戶已經(jīng)同意企業(yè)行為。GDPR在要求獲得同意時，提高了公式的標準，遵循用戶“自由地給予、明確、知情”，企業(yè)需要使用“清晰易懂”的法律語言來進行用戶權(quán)益闡述，不可以通過其他國家語言或其他方式來模糊權(quán)益說明。同時企業(yè)還必須能夠提供證明，用戶的同意行為是自愿的，而非強制同意，同時也必須通知他們有權(quán)撤回該同意。

3.內(nèi)部程序

對于處理個人數(shù)據(jù)，有若干新的原則，包括在開發(fā)系統(tǒng)時在數(shù)據(jù)隱私的設計構(gòu)建要求，企業(yè)有義務在使用“新技術”或以風控方式處理數(shù)據(jù)隱私影響評估。數(shù)據(jù)隱私影響評估是一個系統(tǒng)地考慮項目可能對個人隱私造成潛在影響的過程，從而***限度減少觸碰數(shù)據(jù)隱私紅線的風險。

在安全方面，GDPR將要求許多企業(yè)擁有數(shù)據(jù)隱私官（DPO）來監(jiān)督他們的遵守情況。需要DPO的組織包括公共機構(gòu)，其活動涉及大規(guī)模的數(shù)據(jù)主體的定期和系統(tǒng)監(jiān)控，或組織（如醫(yī)院，保險公司和銀行）大規(guī)模處理當前已知的敏感個人數(shù)據(jù)。

4.責任與處罰

GDPR將要求企業(yè)在運營過程中，進行數(shù)據(jù)的授權(quán)記錄、授權(quán)實施過程等，能夠在地方監(jiān)督當局證明他們符合GDP要求。同時應培訓員工，并采取適當?shù)募夹g和組織措施確保和證明符合性。GDPR的重要性可以從懲罰措施中得以重，違規(guī)企業(yè)將被處罰以1000萬歐元或全球營收入的2%（兩者取其高），嚴重者處罰以2000萬歐元或全球營收入的4%（兩者取其高）（折合約1.5億元人民幣）。

以上為Focussend總結(jié)GDPR部分觀點，在GDPR的影響下，絕大多數(shù)以互聯(lián)網(wǎng)作為業(yè)務開展的公司都會在某些環(huán)節(jié)產(chǎn)生困擾。

在GDPR下企業(yè)該怎么辦?

以下為Focussend針對企業(yè)應對GDPR規(guī)范，應做的調(diào)整進行詳細梳理。

1.內(nèi)容準備：企業(yè)GDPR說明文本清晰明確

• 企業(yè)內(nèi)部的“服務協(xié)議”和“隱私條款”需要針對 GDPR 做相應調(diào)整，制定適合企業(yè)自身情況的規(guī)則說明文檔。

• 清晰明確表明企業(yè)將收集的數(shù)據(jù)、使用及用戶享有的許可或撤銷許可權(quán)益。

• 保證多語言版本，不可利用語言不同等，模糊規(guī)定而獲取用戶的許可。

2.新用戶：表單入口明確權(quán)益告知

• 在訂閱、注冊等全部數(shù)據(jù)采集入口設置明顯告知用戶窗口。

• 位置醒目、內(nèi)容明確清晰

• 不可存在自動勾選強制同意行為，獲得用戶主觀許可后才可使用。

3.已有會員：發(fā)送“請求授權(quán)”的郵件，申請獲取授權(quán)

• 針對全部已有會員用戶發(fā)送申請許可郵件，未授權(quán)用戶三天后繼續(xù)發(fā)送，盡快獲取授權(quán)。（郵件模板可直接選用后臺模板）

• 用戶點擊郵件內(nèi)的 "DO IT NOW" 按鈕，跳轉(zhuǎn)到我們在 "GDPR" 功能模塊中生成的授權(quán)鏈接。

4.已有會員：用戶自主完成授權(quán)

• 授權(quán)頁面默認不勾選用戶授權(quán)的內(nèi)容，需要用戶自己進行勾選然后點擊“授權(quán)”

• GDPR 正式生效后，可在郵件發(fā)送界面的“排除組”那里進行勾選，對未獲得授權(quán)的用戶不再進行發(fā)送。

5.已有會員：允許隨時撤銷許可或修改授權(quán)

• 針對一直未對是否授權(quán)做明確回應用戶，以及已許可用戶，在后期每封郵件推送中，均需設置明顯的撤銷許可標識。

• 允許用戶隨時取消授權(quán)行為。

• 允許用戶隨時修改個人信息內(nèi)容。

大數(shù)據(jù)時代不能變成一個沒有隱私、沒有禁忌的時代，相反，應該更加注重保護隱私。人們在享受互聯(lián)網(wǎng)帶來技術紅利的同時，不能忘了技術發(fā)展的初衷。企業(yè)。須知無視法律法規(guī)、缺少社會責任，終究會作繭自縛、失去信賴。企業(yè)與個人唯有共同守住數(shù)據(jù)保護的紅線，我們才能進入真正大數(shù)據(jù)。