GDPR,你需要知道什么?

5 评论 22671 浏览 14 收藏 9 分钟

GDPR 最近变得流行起来,如果你的app或者game有来自欧盟(European Union)的用户,你需要阅读这篇文章。

什么是GDPR

GDPR的全称是General Data Protection Regulation,是由欧盟推动的数据隐私保护法案,将于这个月的25号(May 25)正式生效。

简单点说,GDPR生效后,对个人数据的隐私和保护将更加的透明和具有操作性。

我不在欧洲,我需要关注GDPR吗?

首要原则——只要你搜集和处理欧盟成员国的用户的信息,就需要遵守GDPR。

常见的问题:

  1. 我是中国的开发者,我需要遵守GDPR吗? – 你的app有欧洲用户吗?如果有,请记住首要原则。
  2. 我是美国的开发者,我需要遵守GDPR吗?- 你的app有欧洲用户吗?如果有,请记住首要原则。
  3. 我的app不在欧洲发布,我需要遵守GDPR吗?-  你的app有欧洲用户吗?如果没有,不需要遵守。
  4. 我看其他竞争对手也没遵守GDPR,我需要遵守吗?- 你的app有欧洲用户吗?如果有,请记住首要原则。

实践中,常见的问题是,中国开发者认为:

  1. 自己不是欧洲的开发者,不需要遵守GDPR。 如果你这么想了,请看常见问题1。
  2. 自己的竞争对手并没有遵守GDPR,认为自己也不需要遵守。如果你这么想了,请看常见问题4。

一句话总结一下,这是一个非常严格的隐私保护法案,只要你处理欧盟用户的数据,就需要遵守。

违反GDPR的后果是什么?

违反GDPR,将被除以2000万欧元的罚款,或者公司年收入的4%,两者之中,哪个金额大,以哪个作为处罚的金额。

PS:尽管欧盟一再强调违法GDPR的后果,但是相信,肯定还是有很多中国的开发者会铤而走险,特别是那些抱有『竞争对手也违反GDPR了,为什么单独盯着我不放』的心态的开发者。关于这个,也没有太多可说的了,参考中兴的案例吧。

作为开发者,我需要知道什么?

1. 必须明确询问用户,是否允许同意搜集他们的数据

明确的意思说:必须以清晰的方式询问用户,而不能以任何方式默认用户授予开发者数据使用许可权。

如下的询问是明确的(符合GDPR要求):

  • 点击下面的按钮,表示您同意xxx搜集你的数据并用来推荐相关的产品/广告/etc/;
  • 点击下面的按钮,表示您不同意xxx搜集你的数据;
  • 我不同意搜集我的数据。

如下的询问是不明确的(违反GDPR要求):

  • 以复选框的形式呈现,默认勾选『同意搜集数据』;
  • 请阅读下面的关于GDPR的邮件(然后要求用户勾选『我同意上述的条款』。

关于明确获得用户同意,可以参考GDPR的artcile 7

2. GDPR中『用户的数据』是指什么数据

GDPR的关于用户数据定义的非常清楚:personal identifier Information——就是说,如果可以通过该数据定位到用户,则该数据被认为是PII(personal identifier Information)。

任何针对 PII的搜集,都必须明确的询问用户是否同意(关于什么是明确询问,请参考第一点)

什么是PII呢?

GDPR法案中说明:Personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a home address, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address.

由此可见,法案对PII的覆盖相当广泛。

3. 如果用户不同意搜集数据,怎么办?

这是GDPR的难点(如果每个欧盟用户都同意开发者搜集他们的数据,那GDPR就等与形同虚设)

划重点:如果用户不同意搜集他们的数据,开发者必须能够将PII处理为 non PII信息,且不能被反向编译从而变回PII信息。

举例来说:如果用户不同意搜集数据,必须将用户的email address(PII)处理为 non PII 的email address。处理之后,开发者虽然知道这个non PII的信息代表一个email address。

但是,并不能通过处理后的email address来定位到用户。并且,处理后的email address不能被反向编译或者恢复成PII。也就是说,不能通过反向编译或者恢复,定位到该用户。

4. 如果用户开始同意,后来又不同意了,怎么办?

GDPR允许用户撤回自己的『同意许可』——用户同意搜集数据之后,依然可以在未来撤销这样的同意许可,开发者必须支持这种撤回请求。

当用户撤回自己的同意许可之后,开发者必须(1)停止搜集用户的数据(2)对以前搜集到的该用户的数据进行处理,使之成为non PII信息。

划重点:如果用户撤回同意许可,开发者必须对以前搜集到的该用户的数据进行处理,使之成为non PII信息。

如果一个用户想撤回他5年前的数据,我该怎么办?

GDPR法案中没有明确规定需要对用户的数据保留多长时间。但通常,数据应该保留12个月或24个月。

作为产品经理,需要做什么?

  1. 详细检查并确认你的产品是否在欧盟运营,是否有欧盟用户。
  2. 明确获得用户的许可来搜集数据。通常,app或者游戏开发者可以通过弹窗的方式,来明确的获得用户是否许可的信息。
  3. 将自己产品中的用户数据进行归类,比如:PII、non PII、公开信息、非公开信息、保密数据等等,以便能够针对PII 信息做出相应的设计。
  4. 处理PII信息。因为每一个公司处理PII的方法并不相同,这里就不展开了。
  5. 定义数据的存储周期,比如:12个月、24个月等等。
  6. 升级你的产品,使之成为GDPR合规产品。

GDPR对我的产品有什么影响?

因为GDPR使得欧盟的用户对个人数据拥有更明确的处理权限,因此,在产品面上的确造成了一些影响。

比如:数字广告行业,如果用户不同意搜集个人数据,将无法定位用户,因此也将无法为用户提供个性化的广告。

电商,同理,如果用户不同意搜集数据,也将无法为用户推荐个性化的商品。比如:移动游戏,无法向那些『不同意搜集数据』的用户进行邮件的推广,等等。

不过,GDPR是面向所有在欧盟进行运营的开发者的,因此,所有人都受到同样的影响

 

本文由 @ Han Li 原创发布于人人都是产品经理。未经许可,禁止转载

题图来自网络

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 感谢分享,正好需要这个。

    来自广东 回复
  2. 那请问前辈,怎么能判断出这个注册用户到底是不是属于欧盟成员国呢?

    来自广东 回复
    1. IP 地址先判断,然后再处理GDPR

      来自北京 回复
  3. 涨知识了,谢谢您的分享。以后再弄TOC的产品为了不触犯GDRP还是先向用户申请下权限吧,^_^

    来自四川 回复
  4. 了解一下:
    根据国际一般原则相关精神:
    1、按照犯罪属地法律优先的原则进行处理,也就是犯罪所发生的国家的法律进行审判;

    来自上海 回复