在GDPR正式生效的第一天,两大科技巨头谷歌和Facebook就因在分享用户数据方面涉嫌违规,遭遇法律诉讼,面临的罚金总额分别为37亿欧元和39亿欧元(总额约为88亿美元)。
一、什么是GDPR?
GDPR(通用数据保护条例)是新的欧盟立法,涵盖欧盟公民的数据保护和隐私,适用于所有向欧盟人民提供商品或服务的公司。只要你的客户中有欧洲人,即使你不在欧盟,也适用于这条法规。
GDPR会在5月25日生效,有一些最重要的变化需要注意:
1、公司和其他组织必须更加透明、清楚地陈述他们收集信息的用途、收集方式以及是否与他人共享信息。企业只能收集与其预期用途直接相关的信息。如果收集的信息还将用于其他用途,必须再次获得用户的许可。
2、披露中的信息需要用通俗易懂的语言编写,并且“允许自由选择、具体、明智和明确”。个人还必须采取明确表示同意其所收集信息的行动,不允许预先同意或者强制同意的措施。
3、消费者有权查看任何公司中有关自身的信息,要求纠正不正确的信息,撤销其数据的保存权限,并将其数据导出。如果有人决定不提供信息,组织需要及时从系统中删除这些信息。
4、组织还必须能够证明他们正在采取的步骤是否合规。这可以包括记录人们如何选择参与营销列表和关于如何保护客户信息的文档。
5、GDPR就如何存储和保护信息提出了要求。如果发生数据泄露,则必须在72小时内通知消费者。不遵守GDPR会带来一些非常严峻的后果。如果因违规而发生数据泄露事件,公司可能会受到巨额罚款,高达2000万欧元或公司年度全球收入的4%,以高的为准。
二、警告:操作Google Analytics时的注意事项
当您直接与欧洲的某个人打交道时,他们会向您提供关于他们自己的个人身份信息(PII),您通常在所谓的“数据管理员”中工作。当您在网站上使用Google Analytics等产品时,Google将扮演数据处理者的角色。
为了不缴纳44亿美元的罚款,Google一定会把风险降到最低,会比监管要求更严格地关闭违反其条款的帐户,以下情况很可能会出现
结果1:GA的默认数据保留设置将删除您的数据
从5月25日开始,Google将更改数据保留的默认值,这意味着如果您不采取措施,再次之前的某些数据将被自动删除。
严格意义上这并不是GDPR带来的影响,是因为它与谷歌正在做出的改变有关。它为您提供了您可能需要的工具,但与您的GDPR合规性并不严格相关。
企业需要的行动:检查您的法律团队所做出的承诺以及您的新隐私政策,以了解您组织的正确时间安排设置。在对用户没有明确承诺的情况下,我的理解是,除非您收到针对它的删除请求,否则您可以保留您首先允许捕获的任何数据。因此,虽然大多数组织至少会对隐私策略做出一些更改,但大多数 GA用户可以更改以无限期地保留这些数据。
结果2:Google正在删除用于捕获PII的GA帐户
最近Google似乎在更加努力地检查PII(个人身份信息)的存在,将它的工作流程简单化来说就是,Google会在你找到PII时删除你的账户。
不能直接说Google的行动和GDPR相关,但Google可以轻而易举的向监管机构证明他们正在对违反PII相关条款的任何人采取严格措施。就像之前的观点一样,我之所以说这与谷歌的回应有关到GDPR生效的时候,完全有可能获得用户的许可,将其数据记录在GA等第三方服务中,并完全遵守相关规定。
企业需要的行动:审核您的GA配置文件并实施PII风险:
您可以通过多种方式在GA内进行搜索,以查找可以在页面标题,URL,自定义数据等位置进行个人识别的数据
您还可以通过查看标签管理器中的规则或查看关键页面上的代码来审核,重点关注提供额外我个人信息比如住房退房等活动的地方。