93亿美元天价罚款!GDPR是什么,中国出海企业必看
腾讯辟谣“QQ 国际版停止欧盟服务”、小米生态链供应商 Yeelight 暂停向欧洲用户提供服务、多家美国媒体网站在欧洲直接下线,GDPR (《一般数据保护条例》)生效前后,已经引爆多颗响雷。而鉴于 App 开发者历来依赖于用户数据进行 App 优化、制定营销策略,移动互联网将受到新政来自各个角度的全方位监管。
作为 App 开发者和发行商,应该避开哪些坑,白鲸出海根据公开信息做了如下整理。
简明介绍一下 GDPR
《一般数据保护条例》(GDPR)于 2018 年 5 月 25 日正式生效。关于该条例,欧盟议会讨论了四年,出台了全球现有数据隐私保护法规中覆盖面最广、监管条件最严格的政策。
最直观的体现就是,该条例才生效,奥地利一家数据隐私保护倡导组织 Noyb.eu 就向法国、比利时、德国、奥地利的监管机构提出申请,就谷歌和 Facebook 违反隐私法规的行为处以罚款。如果获得监管机构同意,谷歌和 Facebook 及后者旗下的 WhatsApp 和 Instagram,最高或面临 93 亿美元的罚款。
那么到底开发者是否受 GDPR 监管?在 GDPR 中扮演什么角色,承担哪些义务呢?
受影响群体:只要欧洲公民的数据都适用于 GDPR,也就是如果公司或产品涉及欧盟公民的个人数据,就必须遵守 GDPR,即使公司的注册地不在欧盟境内。说 GDPR 为史上最严格条例是因为,即使在欧盟境内没有营业机构,企业只是为向欧盟居民销售产品或者服务而收集信息(如保修卡),或者收集网站浏览数据以分析欧盟公民用户习惯,也同样受制于 GDPR,这是多家美媒直接停止欧洲站服务的原因。这也就是说,只要与欧盟企业发生业务往来、涉及任何欧盟公民的数据,都在监管范围内。普华永道指出:“这将影响在欧洲内外保存或使用欧洲公民个人数据的每个实体。”
此处,值得注意的一点是,有外媒称欧盟立法机构除了自己落实 GDPR 之外,还在联合包括中、美、日、韩等互联网市场大国实施类似法规。立法不是一两天的事情,但在数据隐私保护的大趋势下,开发者可以早做准备。
在 GDPR 中,大概分为三个角色,分别是 Controller、Processor 以及 Subject。在移动互联网圈,分别对应 App 开发者和发行商、第三方服务机构、以及 App 用户。
数据控制机构(controller),是指为了实现商业目标而使用数据的自然人或法人,也就是 App 开发者或发行商。
数据处理机构(processor),是指代表控制机构处理数据的自然人或法人,一般为第三方服务公司,例如谷歌、HockeyApp 等,在某些情况下,合作开发公司或外包开发公司也会被认为是数据处理机构。
数据主体(Subject),其数据被处理的自然人,在本文讨论范围内,也就是 App 用户。
如果被认定违反 GDPR,App 开发者或发行商或被处以最高 2000 万欧元或者公司上一财年全球营业额的 4%,且以两者较高值为准。可能受到处罚的情况包括,在没有获得用户许可的情况下处理个人数据,侵犯数据主体的权利、或者将用户的个人数据转移给第三方国家内不符合 GDPR 条例的机构或个人。
个人数据收集和处理的几项重要原则(非全部):一、收集、使用和保留个人数据必须保留在绝对必要的范围内且必须获得用户许可。二、必须给与用户多元选择,Facebook 和谷歌面临罚款是因为只给与用户许可平台使用信息或放弃使用平台两个选项;三、数据隐私政策必须清晰明了,包括收集和使用的具体目的等内容,此为硬性规定;四;确保用户对数据的遗忘权,用户可要求删除或更改个人信息。
GDPR 对开发者的具体影响
GDPR 对 App 的影响发生在各个阶段,设计研发、运营、客服等等。GDPR 引入了一些十分严格的新规,这要求开发者在设计和研发 App 的过程中就必须将相关要求考虑进去,App 的开发者必须相应变更数据处理和存储习惯,尤其是在涉及第三方服务时(SDK)。
下方,白鲸出海根据公开信息整理了一些开发者最可能遇到的疑惑及对应的专业意见。
具体用例
1、开发者只拥有 App 中匿名数据的访问权,例如注册 ID、以及 Google Analytics 或类似工具中的一些数据,会违反 GDPR 吗?
个人数据的定义是,某一自然人提供的可用于识别其身份的任何信息,在开发 App 的过程中开发者应牢记,信息与某一个人是否直接或紧密相关并不重要,重要的是你是否能够通过信息识别某一个人。
判定 App 是否符合 GDPR 要求的一个准则是,去匿名化(也就是识别某一个人身份)是否需要在已获取信息的基础上消耗大量人力和资源。
2、在一个 App 中,用户可以创作内容,例如写评论或者聊天、甚至上传短视频,他们可能会在其中放入个人数据。这种情况是否会有影响?
答案是会有影响。在设计和开发 App 时,开发者也必须考虑到这一点,根据 GDPR 的规定,每个用户都有权要求平台删除可用于识别其身份的个人数据,也就是说作为开发者必须为用户提供删除此类数据的选项,且平台不能通过任何方法来恢复数据。平台请求用户开放数据的条款以及数据删除选项条款都必须简单易懂并放在显眼位置,同时说明收集和使用用户个人数据的目的,再次强调,此为硬性条款。
3、开发者使用 Google Analytics、Crashlytics、或者 HockeyApp 作为第三方解决方案为 App 的开发提供支持。这些平台是否合规会对开发者造成影响吗?
答案同样令人崩溃。你需要确保你使用的第三方服务符合 GDPR 规范,且按照 GDPR 规定,如果第三方泄露个人数据,App 的开发者或发行商需要承担连带责任。你可以在第三方平台的服务条款中进行确认。例如,Fabric 称其在 2018 年 5 月 25 日之前达到 GDPR 要求。
开发者日常合作的第三方还包括客户关系管理体系以及电子邮件服务提供商。
4、在进入 App 时,用户使用 Facebook 或谷歌账号登陆,App 会发送一个令牌给后台,自动读取用户的 ID(或电子邮件地址),但不会读取姓名。在令牌有效期内(30 分钟),在理论上 App 是可以人工摘录个人数据的。是否违反规定?
关于这个问题,GDPR 未做明确表述。
5、App 仅使用电子邮箱和用户名就可以登陆(没有要求用户提供姓名),是否会被视作个人或数据?
答案为是。很难有方法来认定电子邮箱地址是否包含个人数据。但是用户会在多个端口使用昵称登陆,可能会关联到其它数据。
6、电商 App 需要用户个人数据来发货,应该在服务条款中添加哪些内容?
电商 App 的服务条款必须包含一条规定,明确表示消费者在 App 中输入的所有信息,包括姓名、别名、电话号码、地址、电子邮箱及其他信息,都会得到保护。此外,服务条款中还应附上完整的用户权利清单,例如访问、编辑和删除个人数据的权利。
此外,为了实现 App 的某些功能,平台可能需要处理用户的个人数据,这时必须获得用户的许可。也就是在 App 里,必须为用户提供接受该条款的一个选项,且条款必须简单明了。
7、App 内设有 Bug 报告系统,如果涉及个人信息,会有问题吗?
这个问题需要分情况来看,如果,具体要看报告中的数据类型及访问报告的个人或机构。如果使用第三方服务,还需要看服务供应商是否符合 GDPR 要求。
8、是否必须聘请数据保护官?
这一点,GDPR 未做强制性规定。开发者也可以选择一名自己的员工来负责数据工作、或者将这部分工作外包出去来降低成本。
在确保自身是否符合 GDPR 规定的时候,有几个重要工作必须做到,确定 App 是否需要之前收集的全部数据、告知用户并获得同意、对用户请求做出回复、加密用户数据、确保用户时刻了解安全事故。
此外,虽然开发团队和 QA 团队不是必须接受个人数据保护培训,但如果具备相关知识,可以更快地递交合规产品。另外,如果发生违反 GDPR 的情况,必须在 72 个小时之内上报给监管机构。
了解更多出海企业知识,发送“出海企业”给您看白鲸出海策划的最新文章!
本文由 jqyjr 编辑排版
推荐阅读