GDPR 的整體影響，以及消費(fèi)者與企業(yè)態(tài)度

　　圖片來源：https://pixabay.com/photo-3327745/

　　2017年，經(jīng)濟(jì)學(xué)人將個(gè)人數(shù)據(jù)比作數(shù)字時(shí)代的石油，是世界上最珍貴的資源之一，各國也日益重視數(shù)據(jù)的價(jià)值，對(duì)各自境內(nèi)數(shù)據(jù)訂下不同的使用規(guī)范，上周簡單說明GDPR后，下面將帶讀者更進(jìn)一步了解其運(yùn)用。

　　2017，數(shù)據(jù)泄漏的一年 (2018-05-28)在Facebook和劍橋分析的數(shù)據(jù)泄漏事件曝光前，2017年就已陸續(xù)爆出多起知名企業(yè)泄漏消費(fèi)者個(gè)人數(shù)據(jù)的大新聞。

　　包括Yahoo承認(rèn)早前的數(shù)據(jù)泄漏事件受害用戶達(dá)30億人、美國電信龍頭Verizon泄漏全球600萬用戶個(gè)人數(shù)據(jù)、叫車服務(wù)Uber也認(rèn)了曾為5,700萬筆乘客與駕駛個(gè)人數(shù)據(jù)付贖金;此外，多位好萊塢明星的IG賬號(hào)遭駭，私人信箱與電話外流…

　　根據(jù)美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報(bào)告，2017年公布的數(shù)據(jù)泄漏事件多達(dá)1,253起，超過2016年的1,093起。

　　隨著災(zāi)情加劇，民眾的安全意識(shí)日益提高。歐盟祭出號(hào)稱最嚴(yán)格個(gè)人數(shù)據(jù)法GDPR，本篇專題將介紹GDPR的整體影響，以及消費(fèi)者與企業(yè)對(duì)此抱持的態(tài)度。

　　20年來歐盟最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法規(guī)：GDPR

　　號(hào)稱20年來最嚴(yán)格的GDPR和過往歐盟地區(qū)的個(gè)人數(shù)據(jù)保護(hù)法規(guī)相較，究竟什么改變了?

　　?個(gè)人數(shù)據(jù)的新定義：

　　所有屬于個(gè)人或可用以便是特定個(gè)人的數(shù)據(jù)(包含位置信息、計(jì)算機(jī)IP地址);宗教、 種族、性取向等敏感信息須受到額外保護(hù)。

　　?歐盟居民更多權(quán)利：

　　有權(quán)知道個(gè)人數(shù)據(jù)收集與其用途;有權(quán)獲得被企業(yè)收集的數(shù)據(jù)并要求刪除或更正;有權(quán)將數(shù)據(jù)從某服務(wù)提供商轉(zhuǎn)移到另一廠商。

　　?罰金提高：

　　企業(yè)全球年?duì)I收的2-4%或2,000萬歐元，取較高者。

　　?同意條款要求更嚴(yán)：

　　企業(yè)必須獲得消費(fèi)者自由、明確、已知情況下的許可，才能收集并處理其數(shù)據(jù)，目前常見和其他服務(wù)條款捆綁成一包的形式不符合規(guī)定。

　　?影響遍及全球：

　　各國公司凡有顧客在歐盟境內(nèi)即適用。

　　?數(shù)據(jù)處理方的限制：

　　受數(shù)據(jù)控管方(controllers)委托處理數(shù)據(jù)的數(shù)據(jù)處理方(processors)亦受法規(guī)限制;未經(jīng)控制方同意，處理方不得外流相關(guān)數(shù)據(jù)。

　　?數(shù)據(jù)使用：

　　合法、透明、公平，企業(yè)為達(dá)到某目的收集的數(shù)據(jù)不得用于其他用途。

　　?數(shù)據(jù)泄漏通報(bào)：

　　若數(shù)據(jù)泄漏，企業(yè)察覺的72小時(shí)內(nèi)須通報(bào)主管機(jī)關(guān)。

　　歸納GDPR引起廣泛關(guān)注主要有三大原因：

　　1、只要企業(yè)收集或處理數(shù)據(jù)的對(duì)象身在歐盟地區(qū)，就適用GDPR。

　　2、企業(yè)在做市場(chǎng)調(diào)查時(shí)獲得的消費(fèi)者個(gè)人數(shù)據(jù)，受到GDPR保護(hù)。

　　3、過去罰款僅具象征意義，未來違反GDPR的企業(yè)將付出高額代價(jià)。

　　歐盟境外組織，也可能受沖擊

　　在歐盟境內(nèi)處理當(dāng)?shù)鼐用駛€(gè)人數(shù)據(jù)或監(jiān)控歐盟居民行為的所有組織。

　　成立在歐盟的組織，不管數(shù)據(jù)處理是否發(fā)生在歐盟境內(nèi)。

　　成立在歐盟境外、但處理歐盟居民個(gè)人數(shù)據(jù)的組織，包括對(duì)歐盟提供服務(wù)或商品者。

　　何種情況適用GDPR?

　　(不需)德國居民利用Google搜尋找到一篇為美國消費(fèi)者所撰寫英語文章。

　　(適用)德國居民利用Google搜尋找到一篇以德語撰寫，并提到德國客戶或用戶的文章。

　　科技巨頭積極準(zhǔn)備迎接GDPR

　　GDPR保護(hù)與特定個(gè)人有關(guān)的所有信息：

　　?個(gè)人身份與生物特征數(shù)據(jù)，含電話、地址、車牌、健康數(shù)據(jù)、臉部辨識(shí)、指紋、虹膜掃描、相片、影片、電郵內(nèi)容、問卷調(diào)查。

　　?在線定位數(shù)據(jù)，如cookie、IP位置、移動(dòng)裝置ID、社群活動(dòng)紀(jì)錄。

　　GDPR生效，首當(dāng)其沖的是擁有大量用戶數(shù)據(jù)的科技大廠，尤其數(shù)字廣告龍頭Facebook、Google。他們的使用者和商業(yè)伙伴遍布?xì)W盟，生意高度依賴用戶數(shù)據(jù)，是被監(jiān)管單位緊盯的對(duì)象，該如何做好準(zhǔn)備?

　　改善產(chǎn)品設(shè)計(jì)、調(diào)整推出時(shí)程與地點(diǎn)：

　　Amazon強(qiáng)化云端保存的數(shù)據(jù)加密技術(shù)。Facebook決定不在歐洲上線一個(gè)透過健康數(shù)據(jù)與AI來監(jiān)測(cè)該用戶是否有自殺傾向的服務(wù)，也暫緩在當(dāng)?shù)匕l(fā)布臉部 識(shí)別軟件。

　　重申用戶對(duì)其個(gè)人數(shù)據(jù)的權(quán)利：

　　Google已開始讓消費(fèi)者在訊息控制中心中隨時(shí)查看、管理、自由選擇是否要向旗下各產(chǎn)品分享數(shù)據(jù)。Facebook、Yahoo也對(duì)會(huì)員發(fā)出新的隱私條款聲明，F(xiàn)acebook用戶能夠選擇讓誰看到他的貼文、愿意接受哪類廣告，但在與廣告商分享數(shù)據(jù)的部分，用戶只能選擇同意或是管理數(shù)據(jù)設(shè)定，不能拒絕。未來Amazon仍可能透過消費(fèi)數(shù)據(jù)向用戶推薦產(chǎn)品，但用戶可以選擇拒絕這項(xiàng)功能。

　　4成企業(yè)坐等，新創(chuàng)StreetLend不玩了

　　歐盟境外的企業(yè)須仔細(xì)檢視自家的在線營銷活動(dòng)，特別是飯店業(yè)、旅游業(yè)、軟件服務(wù)、電商公司;而有針對(duì)歐洲市場(chǎng)制作在地化網(wǎng)絡(luò)內(nèi)容的商家，也應(yīng)該審查網(wǎng)站營運(yùn)。

　　根據(jù)eMarketer，北美IT專業(yè)人員只有6%認(rèn)為公司已充份準(zhǔn)備好迎接GDPR，近四成則是剛剛開始甚至尚未開始準(zhǔn)備。

　　相較Facebook、Google等大企業(yè)，一般公司面對(duì)GDPR則顯得信心不足，主因是大企業(yè)有更多資源及更強(qiáng)大的法律團(tuán)隊(duì)。一份調(diào)查顯示，員工數(shù)小于500的企業(yè)為自己的GDPR準(zhǔn)備工作評(píng)分僅2.97，大于500人的企業(yè)平均3.13分。

　　共享新創(chuàng)公司StreetLend就因?yàn)閾?dān)心被罰而停止服務(wù)，這個(gè)網(wǎng)站和Amazon合作，在用戶搜尋想租借的商品時(shí)，同時(shí)列出Amazon上的商品，若用戶選擇購買，平臺(tái)即可和Amazon拆帳。

　　為了不踩GDPR紅線，微軟建議企業(yè)采取四步驟：

　　1、清查企業(yè)擁有的個(gè)人數(shù)據(jù)及所在位置， 評(píng)估是否受GDPR影響。

　　2、改善對(duì)個(gè)人數(shù)據(jù)的存取、管理和使用方式。

　　3、以更進(jìn)階的技術(shù)保護(hù)個(gè)人數(shù)據(jù)。

　　4、保存?zhèn)€人數(shù)據(jù)處理紀(jì)錄，向大眾揭露企業(yè)如何保護(hù)和使用個(gè)人數(shù)據(jù)。

　　寄確認(rèn)信給取消訂閱的消費(fèi)者，3品牌受重罰

　　未從頭一步步檢視企業(yè)擁有的數(shù)據(jù)，就急著與消費(fèi)者溝通，企圖獲得個(gè)人數(shù)據(jù)使用的正當(dāng)性，可能反會(huì)弄巧成拙。英國信息委員會(huì)辦公室(ICO)2016年報(bào)告的三起事件皆涉及知名品牌，而他們都只 做了一件事：寄email給客戶。

　　英國廉航Flybe寄信給其數(shù)據(jù)庫中的330萬人，詢問“您的信息是否正確”，但這330萬人過去選擇不接受/取消訂閱營銷信件，F(xiàn)lybe并未取得主動(dòng)和消費(fèi)者聯(lián)系的許可，為此被罰7萬英鎊。Honda Motor Europe寫信給近29萬訂戶，詢問“您愿意收到來自Honda的訊息嗎”，以得知他們是否愿意收到接下來的營銷電子郵件，但這封信也不慎發(fā)給了先前已選擇拒絕的消費(fèi)者，罰金1萬3,000英鎊。連鎖超市Morrisons重新上線“Match & More”客戶忠誠計(jì)劃，為了鼓勵(lì)更多消費(fèi)者享用優(yōu)惠，Morrisons寄信給數(shù)據(jù)庫中的23萬人，提醒他們更新賬戶偏好，然而其中 13萬人過去已取消訂閱來自Morrisons的訊息，因此Morrisons被罰了1萬500英鎊。

　　未來GDPR上路后對(duì)個(gè)人數(shù)據(jù)的認(rèn)定更廣、對(duì)同意條款的要求更嚴(yán)，并強(qiáng)調(diào)消費(fèi)者應(yīng)該有“被忘記的權(quán)利”，當(dāng)消費(fèi)者明確拒絕再收到營銷訊息時(shí)，別再嘗試寄信給他。Morrisons的違規(guī)事件由消費(fèi)者主動(dòng)檢舉，顯示大眾對(duì)保護(hù)個(gè)人數(shù)據(jù)的重視及行動(dòng)力都在提高。

　　英國僅35%網(wǎng)絡(luò)用戶聽說過GDPR，未成為公眾話題

　　GDPR立意是把對(duì)個(gè)人數(shù)據(jù)的所有權(quán)利還給消費(fèi)者，將其重要性置于科技、商業(yè)發(fā)展與便利性之上，但消費(fèi)者如何看待GDPR?

　　根據(jù)Kantar TNS的調(diào)查，在2018年1月，英國消費(fèi)者對(duì)于GDPR的認(rèn)知度只有35%。而其他針對(duì)法國、德國等歐盟國家所做的調(diào)查，則有至少六成網(wǎng)絡(luò)用戶聽過GDPR，知道它是與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的法令。

　　Kantar TNS也監(jiān)測(cè)了2017全年網(wǎng)絡(luò)上對(duì)于GDPR的討論，包括社群、部落格、討論區(qū)，發(fā)現(xiàn)GDPR的網(wǎng)絡(luò)聲量極小，主要仍是專業(yè)人員間的討論，并未成為一個(gè)公眾的話題。

　　eMarketer深入分析消費(fèi)者對(duì)于GDPR和個(gè)人數(shù)據(jù)收集抱持的心態(tài)，雖然調(diào)查顯示，七成左右的消費(fèi)者回答“企業(yè)不應(yīng)該收集我的個(gè)人數(shù)據(jù)”，但這背后的意義并非是不喜歡透過數(shù)據(jù)提供更好的服務(wù)， 而是擔(dān)憂數(shù)據(jù)濫用、數(shù)據(jù)泄漏、身份盜竊等情況。

　　四分之三消費(fèi)者認(rèn)為“企業(yè)不應(yīng)該未經(jīng)允許聯(lián)系我”、“如果可以選擇我不會(huì)分享個(gè)人數(shù)據(jù)”，反映的則是消費(fèi)者對(duì)于個(gè)人數(shù)據(jù)掌控權(quán)的重視。

　　此外，eMarketer以廣告攔截系統(tǒng)為例，近三年開始受到關(guān)注的廣告攔截其實(shí)早在2006年就已出現(xiàn)，點(diǎn)出大眾即使重視個(gè)人數(shù)據(jù)保護(hù)，未必會(huì)很快采取更改隱私設(shè)定、撤回?cái)?shù)據(jù)分享等實(shí)際行動(dòng)。

　　品牌應(yīng)聚焦關(guān)鍵數(shù)據(jù)

　　這幾年品牌高度依賴消費(fèi)者行為數(shù)據(jù)來執(zhí)行數(shù)字廣告、規(guī)劃營銷活動(dòng)，應(yīng)特別注意數(shù)據(jù)收集、利用過程中的瑕疵，例如首先必須更改隱私條款與服務(wù)條款捆綁的情況，列出明確的同意/拒絕/撤回個(gè)人數(shù)據(jù)收集選項(xiàng)，將權(quán)利還給消費(fèi)者。

　　營銷人員主要應(yīng)關(guān)注的三個(gè)面向如下：

　　?DATA PERMISSION 數(shù)據(jù)許可：

　　消費(fèi)者或合作伙伴必須手動(dòng)確認(rèn)同意他們未來想持續(xù)被你聯(lián)系，你不能預(yù)設(shè)勾選同意，同意數(shù)據(jù)收集必須是有意的選擇。

　　?DATA ACCESS 數(shù)據(jù)訪問：

　　營銷人員有義務(wù)確保你的消費(fèi)者能夠輕易訪問他被你收集的數(shù)據(jù)， 并撤回?cái)?shù)據(jù)收集或使用的許可， 例如取消訂閱電子報(bào)。

　　?DATA FOCUS 數(shù)據(jù)聚焦：

　　聚焦在你真正需要的數(shù)據(jù)，不要借機(jī)“多問一些”其實(shí)你并不需要的信息，擁 有少量卻關(guān)鍵的數(shù)據(jù)，也降低泄漏風(fēng)險(xiǎn)。

　　GDPR不僅帶來限制，也帶來機(jī)會(huì)，根據(jù)英國直效營銷協(xié)會(huì)(DMA)的調(diào)查，三分之二受訪者認(rèn)為GDPR讓他們更有信心和品牌分享數(shù)據(jù)，長期來看，主動(dòng)提高數(shù)據(jù)使用標(biāo)準(zhǔn)的企業(yè)將建立在消費(fèi)者心中的信賴和好感。

　　個(gè)人數(shù)據(jù)保護(hù)愈來愈嚴(yán)是全球趨勢(shì)

　　歐盟法規(guī)向來是各國標(biāo)竿，帶有強(qiáng)烈重視人權(quán)的色彩，GDPR同樣展現(xiàn)了個(gè)人數(shù)據(jù)保護(hù)趨嚴(yán)的前端思維，將憑借歐盟的全球影響力引領(lǐng)變革。其他國家可能陸續(xù)啟動(dòng)在地法規(guī)的調(diào)整，向GDPR靠攏，從和歐盟多生意往來的企業(yè)與地區(qū)逐漸擴(kuò)散出去。

　　亞洲各國和地區(qū)都有自己的數(shù)據(jù)隱私條例，如在新加坡和菲律賓，任何私人企業(yè)的數(shù)據(jù)共享都需要消費(fèi)者同意。中國最新“信息安全技術(shù)個(gè)人信息安全規(guī)范”樹立的標(biāo)準(zhǔn)在很多方面都與GDPR齊肩甚至更加嚴(yán)格，但它并沒有強(qiáng)制力，未來是否能影響法規(guī)與企業(yè)作為仍待時(shí)間檢驗(yàn)。

　　美國戰(zhàn)略與國際研究中心(CSIS)指出，歐洲、中國兩大經(jīng)濟(jì)體在個(gè)人數(shù)據(jù)保護(hù)的觀念和作法上日漸趨同，美國的數(shù)據(jù)政策則相對(duì)顯得孤立、被動(dòng)。

　　目前各國的數(shù)據(jù)政策存在的分歧，將對(duì)跨國數(shù)據(jù)流動(dòng)、網(wǎng)絡(luò)產(chǎn)業(yè)的跨境服務(wù)造成障礙與挑戰(zhàn)，因此未來隨著GDPR生效，可能會(huì)看到更加一致的亞洲標(biāo)準(zhǔn)甚至全球標(biāo)準(zhǔn)，但這還有很長的路要走。

　　結(jié)語

　　2017年，經(jīng)濟(jì)學(xué)人就將個(gè)人數(shù)據(jù)比作數(shù)字時(shí)代的石油，是世界上最珍貴的資源之一，因?yàn)閿?shù)據(jù)改變了企業(yè)與顧客溝通的方式，并對(duì)消費(fèi)者體驗(yàn)造成正面影響。各國日益重視數(shù)據(jù)的價(jià)值， 也對(duì)各自境內(nèi)數(shù)據(jù)訂下不同的使用規(guī)范。

　　網(wǎng)絡(luò)打通全球市場(chǎng)，模糊了國界，GDPR雖然是歐盟法規(guī)，但影響范圍遍及全球，不管是為 了在層出不窮的數(shù)據(jù)泄漏事件后挽回消費(fèi)者信心，還是為了在做跨境生意時(shí)避免高額罰款， 愈來愈嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)運(yùn)用都是不可擋的趨勢(shì)。

　　無論在歐盟境內(nèi)或境外，仰賴數(shù)據(jù)的商業(yè)行為和營銷活動(dòng)不可能消失，品牌在收集個(gè)人數(shù)據(jù)時(shí)應(yīng) 聚焦關(guān)鍵數(shù)據(jù)，提高使用數(shù)據(jù)的透明度，將選擇與監(jiān)管權(quán)歸還消費(fèi)者。雖然在初期需要投入 的成本并不小，但提早準(zhǔn)備能幫助品牌化被動(dòng)為主動(dòng)，長期更能提高品牌形象。