3833金沙app下载

「大咖博闻」个人信息保护“法时代”,如何尊重客户隐私?

创建日期:2021-09-10
浏览:0

      SAP合作伙伴生态系统

315晚会集中曝光违规收集和使用客户数据,到610日推出《中华人民共和国数据安全法》,再到国家网信办下架某出行 APP,中国对个人数据安全和隐私的保护越来越重视。到底什么样的客户信息属于客户隐私?客户对自己的数据应该拥有什么样的权利?大咖博闻第二期,继续邀请 SAP 大中华区客户体验解决方案专家 — 闵勇分享如何“合法合规收集和使用客户信息”。

2018年525日,欧盟通用数据保护规则(General Data Protection Regulation,简称 GDPR)开始生效,规定个人拥有对自己数据的掌控权并受到保护。GDPR 的生效,正式拉开客户隐私保护大战的序幕。处于数字化转型加速时期的企业,该如何应对 GDPR?在业务中更加关注哪些客户信息和权利?


GDPR  我们真的搞明白了吗?

GDPR 一出台,就被冠以“全球最严苛个人隐私保护法”之称,更是虐得不少企业嗷嗷叫。为什么 GDPR 的威力这么大呢?其实,GDPR 针对任何触及到欧盟公民数据的企业,这些企业可能是个人数据的控制者,也可能是处理者(提供个人数据相关处理系统或服务),无论企业业务是在什么地方,只要收集和使用的个人数据是欧盟公民的数据,就会在 GDPR 的管辖范围之内。一旦企业被举报,需要配合监管部门调查个人数据相关系统,证明企业符合法规要求。违规要接受罚款2000万欧元或者企业全球总收益的4%的处罚。


目前还没有单一的 GDPR 认证机制。20191月欧盟委员会(European Union,简称 EC)的四位高级官员的联合声明披露,自 GDPR 生效8个月以来,欧盟(EU)的国家数据保护监督机构已收到超过9.5万起欧盟公民投诉,指控个人数据处理不当。欧盟民众主要投诉的三大类别为电话营销、电子邮件营销,以及视频监控。

谈到个人数据保护,经常会提及个人可识别信息(Personal Identifiable Information,即 PII),通常包括:诸如姓名,电话,身份证,驾照或者银行卡之类的标识符;诸如电子邮件地址或移动设备 id 之类的在线标识符;以及诸如 IP 地址、cookie 或可追溯到个人的其它标识符之类的元数据或其它关联数据。GDPR 规定的能够识别个人的信息更广泛,包括:社交媒体上点赞,个人照片,个人行为数据等,它扩大了已知的特殊类别个人数据的目录,例如:宗教信仰、伦理渊源或健康状况,还包括基因数据、用于唯一识别自然人的生物特征数据以及与刑事定罪和犯罪有关的数据。GDPR 的核心和本质是让消费者掌控自己数据,涉及到个人数据的收集和使用。它包括了一些具体的消费者权利,细节见下图:



保护消费者个人数据,保护的究竟是什么?

“以客户为中心”是每个企业都在努力践行的核心战略。在这一战略下,企业不断通过技术手段,与客户进行互动,逐步收集客户相关数据,形成统一完善的客户360°画像。但企业在收集和使用客户数据时,往往会忽略客户的权利,有没有提前告知客户?是否征得客户同意?GDPR 明确规定了消费者对自己数据的个人权利,包括:告知权、访问权、认证权、删除权等。其中,最重要的是告知、认证/同意和删除这三项重要权利。


·    消费者权利一:告知权和访问权

企业在收集消费者信息时,需要明确告知消费者会收集什么样的信息,要用做什么用途。无论消费者是在匿名或者已知客户阶段,企业在收集信息时候,都需要告知消费者。现在很多 APP  下载安装,都会弹出窗口提示会获取移动设备相关权限,以获取消费者同意。当消费者访问网站,都会出现提示:Cookie 会收集消费者行为数据,以获取消费者同意。

然而传统第三方 Cookie 技术已经无法满足 GDPR 这样严格的个人数据合规要求,因为它没有办法很清晰的告知消费者会收集什么信息,会用于什么目的,更没有办法细分这些信息和使用目的,给消费者选择性授权某些信息的收集和使用。所以各大主流浏览器(Chrome,Safari, Firefox)都已宣称会禁用第三方 Cookie,用其他更合规的技术取代。GDPR 明确规定了不能过度收集和使用个人数据,需要给出相关的使用范围或者渠道,明确告知消费者用途,只向消费者提出收集需要的数据,不可收集使用范围外的数据。


企业要能够让消费者随时随地的访问到自己的数据,这些数据是在收集的时候已经清楚告知消费者,并获得消费者同意的。例如:消费者登录后,可以在个人信息页面浏览自己的基本信息,订阅,喜好和授权/同意信息,以及自己的消费记录等。消费者有权获得其提供给企业的相关个人数据,这些个人数据应当是结构化的、普遍可使用的和机器可读的。消费者可以随时发出“SAR(Subject Access Request)”, 要求企业提供存储了哪些个人信息,企业需要在30天内回复。其中,详细的 SAR 信息包括: 全部收集过的个人信息、个人信息被如何使用、所有接触过和被分享过的第三方、数据被存储多久、是否被泄露过等。


·    消费者权利二:认证/同意权

企业无论在何时收集个人数据,必须事先征得消费者的同意,而且"同意"必须是具体的、清晰的, 是消费者在充分知情的前提下自由做出的。目前很多 APP 和网站在收集个人数据前,弹出一个隐私相关的协议申明,篇幅很长,内容复杂难懂,消费者并不能选择具体某些数据,给予认证/同意,授权只收集这些数据。这样其实并不符合 GDPR 法规要求,例如: GDPR 生效的第一天,Google 在法国被举报,最后法国数据隐私机构国家数据保护委员会(CNIL)判定谷歌 “缺乏透明度,信息不足以及缺乏有关广告个性化的有效同意”,罚款5000万欧元。企业不可随意把消费者的数据的移为他用,无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分,例如:提供给广告企业作为营销推广对象,或者作为对外发布的报告中的案例,都必须重新获取消费者的授权和同意。


·    消费者权利三:更新权和删除权

消费者可以随时更改自身数据信息,例如:通过自助服务,更改订阅,授权等信息。当消费者向企业提出不能再使用其数据,要求删除时,企业要有能力从所有系统中删除该消费者的相关记录。GDPR 赋予消费者可以随时更新、删除的权利,企业应当明确告知消费者有该权利,并为消费者方便地行使该权利提供便利。当消费者有数据更新,或者提出删除要求,企业必须将原始数据以及基于这些数据处理之后的信息删除并及时更新。企业在特定时间可以留存备用消费者个人数据,但需要保护数据不为他用,保护其安全性。在超过使用时间期限后,企业需要及时进行删除处理,如果数据在使用期间已经交给第三方,企业也需要让第三方作出同步删除或者更新。


企业除了要保障以上消费者权利外,还要以适当的技术或措施,确保消费者个人数据的适当安全,包括:防止未经授权或非法处理,防止意外损失、破坏或损坏。GDPR 规定企业一旦发生数据泄漏,需要在72小时内通告管理部门,并及时告知相关受影响的人员。2019年英国航空和万豪酒店都是由于客户数据泄露,违背 GDPR 而被处罚。


由此可见,GDPR 是赋权于消费者,帮助他们获得对个人数据的掌控。作为史上最严格的个人数据保护法规,GDPR 为全球各个地区的个人信息保护立法提供了参考依据。它在为个人有效行使权利提供法律保障的同时,也对企业处理和使用个人数据提出了严格的要求。GDPR 虽然致力于个人信息保护,但对于企业来说,通过让消费者透明知晓并控制自身数据的管理方式,可以建立消费者对品牌的信任。

 

大数据时代的个人信息保护和监管,从全球来看,是个世界性的难题。在2017年,全球已有近90个国家和地区制定了个人信息保护的法律,个人信息保护专项立法已成为国际惯例。中国《网络安全法》(China Cyber Security Law - CCSL)在2017年生效,是首次发布了关于个人信息和重要数据安全评估措施的草案。中国《网络安全等级保护》2.0(Cyber Security Classified Protection Scheme - CCPS)在2019年生效,是网络安全法授权的,企业运营合规的云服务的安全认证。中国《数据安全法》在20216月推出,将在9月正式实施,旨在保障数据安全,同时关注数据处理活动与数据开发利用。

 


资料来源于微信公众号"SAP合作伙伴生态系统",侵删。

Baidu
sogou