圖片來源：https://pixabay.com/photo-3327745/

　　2017年，經(jīng)濟學(xué)人將個人數(shù)據(jù)比作數(shù)字時代的石油，是世界上最珍貴的資源之一，各國也日益重視數(shù)據(jù)的價值，對各自境內(nèi)數(shù)據(jù)訂下不同的使用規(guī)范，上周簡單說明GDPR后，下面將帶讀者更進(jìn)一步了解其運用。

　　2017，數(shù)據(jù)泄漏的一年 (2018-05-28)在Facebook和劍橋分析的數(shù)據(jù)泄漏事件曝光前，2017年就已陸續(xù)爆出多起知名企業(yè)泄漏消費者個人數(shù)據(jù)的大新聞。

　　包括Yahoo承認(rèn)早前的數(shù)據(jù)泄漏事件受害用戶達(dá)30億人、美國電信龍頭Verizon泄漏全球600萬用戶個人數(shù)據(jù)、叫車服務(wù)Uber也認(rèn)了曾為5,700萬筆乘客與駕駛個人數(shù)據(jù)付贖金;此外，多位好萊塢明星的IG賬號遭駭，私人信箱與電話外流…

　　根據(jù)美國身份竊盜資源中心(Identity Theft Resource Center, ITRC)的報告，2017年公布的數(shù)據(jù)泄漏事件多達(dá)1,253起，超過2016年的1,093起。

　　隨著災(zāi)情加劇，民眾的安全意識日益提高。歐盟祭出號稱最嚴(yán)格個人數(shù)據(jù)法GDPR，本篇專題將介紹GDPR的整體影響，以及消費者與企業(yè)對此抱持的態(tài)度。

　　20年來歐盟最嚴(yán)格的個人數(shù)據(jù)保護(hù)法規(guī)：GDPR

　　號稱20年來最嚴(yán)格的GDPR和過往歐盟地區(qū)的個人數(shù)據(jù)保護(hù)法規(guī)相較，究竟什么改變了?

　　?個人數(shù)據(jù)的新定義：

　　所有屬于個人或可用以便是特定個人的數(shù)據(jù)(包含位置信息、計算機IP地址);宗教、 種族、性取向等敏感信息須受到額外保護(hù)。

　　?歐盟居民更多權(quán)利：

　　有權(quán)知道個人數(shù)據(jù)收集與其用途;有權(quán)獲得被企業(yè)收集的數(shù)據(jù)并要求刪除或更正;有權(quán)將數(shù)據(jù)從某服務(wù)提供商轉(zhuǎn)移到另一廠商。

　　?罰金提高：

　　企業(yè)全球年營收的2-4%或2,000萬歐元，取較高者。

　　?同意條款要求更嚴(yán)：

　　企業(yè)必須獲得消費者自由、明確、已知情況下的許可，才能收集并處理其數(shù)據(jù)，目前常見和其他服務(wù)條款捆綁成一包的形式不符合規(guī)定。

　　?影響遍及全球：

　　各國公司凡有顧客在歐盟境內(nèi)即適用。

　　?數(shù)據(jù)處理方的限制：

　　受數(shù)據(jù)控管方(controllers)委托處理數(shù)據(jù)的數(shù)據(jù)處理方(processors)亦受法規(guī)限制;未經(jīng)控制方同意，處理方不得外流相關(guān)數(shù)據(jù)。

　　?數(shù)據(jù)使用：

　　合法、透明、公平，企業(yè)為達(dá)到某目的收集的數(shù)據(jù)不得用于其他用途。

　　?數(shù)據(jù)泄漏通報：

　　若數(shù)據(jù)泄漏，企業(yè)察覺的72小時內(nèi)須通報主管機關(guān)。

　　歸納GDPR引起廣泛關(guān)注主要有三大原因：

　　1、只要企業(yè)收集或處理數(shù)據(jù)的對象身在歐盟地區(qū)，就適用GDPR。

　　2、企業(yè)在做市場調(diào)查時獲得的消費者個人數(shù)據(jù)，受到GDPR保護(hù)。

　　3、過去罰款僅具象征意義，未來違反GDPR的企業(yè)將付出高額代價。

　　歐盟境外組織，也可能受沖擊

　　在歐盟境內(nèi)處理當(dāng)?shù)鼐用駛€人數(shù)據(jù)或監(jiān)控歐盟居民行為的所有組織。

　　成立在歐盟的組織，不管數(shù)據(jù)處理是否發(fā)生在歐盟境內(nèi)。

　　成立在歐盟境外、但處理歐盟居民個人數(shù)據(jù)的組織，包括對歐盟提供服務(wù)或商品者。

　　何種情況適用GDPR?

　　(不需)德國居民利用Google搜尋找到一篇為美國消費者所撰寫英語文章。

　　(適用)德國居民利用Google搜尋找到一篇以德語撰寫，并提到德國客戶或用戶的文章。

　　科技巨頭積極準(zhǔn)備迎接GDPR

　　GDPR保護(hù)與特定個人有關(guān)的所有信息：

　　?個人身份與生物特征數(shù)據(jù)，含電話、地址、車牌、健康數(shù)據(jù)、臉部辨識、指紋、虹膜掃描、相片、影片、電郵內(nèi)容、問卷調(diào)查。

　　?在線定位數(shù)據(jù)，如cookie、IP位置、移動裝置ID、社群活動紀(jì)錄。

　　GDPR生效，首當(dāng)其沖的是擁有大量用戶數(shù)據(jù)的科技大廠，尤其數(shù)字廣告龍頭Facebook、Google。他們的使用者和商業(yè)伙伴遍布?xì)W盟，生意高度依賴用戶數(shù)據(jù)，是被監(jiān)管單位緊盯的對象，該如何做好準(zhǔn)備?

　　改善產(chǎn)品設(shè)計、調(diào)整推出時程與地點：

　　Amazon強化云端保存的數(shù)據(jù)加密技術(shù)。Facebook決定不在歐洲上線一個透過健康數(shù)據(jù)與AI來監(jiān)測該用戶是否有自殺傾向的服務(wù)，也暫緩在當(dāng)?shù)匕l(fā)布臉部 識別軟件。

　　重申用戶對其個人數(shù)據(jù)的權(quán)利：

　　Google已開始讓消費者在訊息控制中心中隨時查看、管理、自由選擇是否要向旗下各產(chǎn)品分享數(shù)據(jù)。Facebook、Yahoo也對會員發(fā)出新的隱私條款聲明，F(xiàn)acebook用戶能夠選擇讓誰看到他的貼文、愿意接受哪類廣告，但在與廣告商分享數(shù)據(jù)的部分，用戶只能選擇同意或是管理數(shù)據(jù)設(shè)定，不能拒絕。未來Amazon仍可能透過消費數(shù)據(jù)向用戶推薦產(chǎn)品，但用戶可以選擇拒絕這項功能。

　　4成企業(yè)坐等，新創(chuàng)StreetLend不玩了

　　歐盟境外的企業(yè)須仔細(xì)檢視自家的在線營銷活動，特別是飯店業(yè)、旅游業(yè)、軟件服務(wù)、電商公司;而有針對歐洲市場制作在地化網(wǎng)絡(luò)內(nèi)容的商家，也應(yīng)該審查網(wǎng)站營運。

　　根據(jù)eMarketer，北美IT專業(yè)人員只有6%認(rèn)為公司已充份準(zhǔn)備好迎接GDPR，近四成則是剛剛開始甚至尚未開始準(zhǔn)備。

　　相較Facebook、Google等大企業(yè)，一般公司面對GDPR則顯得信心不足，主因是大企業(yè)有更多資源及更強大的法律團隊。一份調(diào)查顯示，員工數(shù)小于500的企業(yè)為自己的GDPR準(zhǔn)備工作評分僅2.97，大于500人的企業(yè)平均3.13分。

　　共享新創(chuàng)公司StreetLend就因為擔(dān)心被罰而停止服務(wù)，這個網(wǎng)站和Amazon合作，在用戶搜尋想租借的商品時，同時列出Amazon上的商品，若用戶選擇購買，平臺即可和Amazon拆帳。

　　為了不踩GDPR紅線，微軟建議企業(yè)采取四步驟：

　　1、清查企業(yè)擁有的個人數(shù)據(jù)及所在位置， 評估是否受GDPR影響。

　　2、改善對個人數(shù)據(jù)的存取、管理和使用方式。

　　3、以更進(jìn)階的技術(shù)保護(hù)個人數(shù)據(jù)。

　　4、保存?zhèn)€人數(shù)據(jù)處理紀(jì)錄，向大眾揭露企業(yè)如何保護(hù)和使用個人數(shù)據(jù)。

　　寄確認(rèn)信給取消訂閱的消費者，3品牌受重罰

　　未從頭一步步檢視企業(yè)擁有的數(shù)據(jù)，就急著與消費者溝通，企圖獲得個人數(shù)據(jù)使用的正當(dāng)性，可能反會弄巧成拙。英國信息委員會辦公室(ICO)2016年報告的三起事件皆涉及知名品牌，而他們都只 做了一件事：寄email給客戶。

　　英國廉航Flybe寄信給其數(shù)據(jù)庫中的330萬人，詢問“您的信息是否正確”，但這330萬人過去選擇不接受/取消訂閱營銷信件，F(xiàn)lybe并未取得主動和消費者聯(lián)系的許可，為此被罰7萬英鎊。Honda Motor Europe寫信給近29萬訂戶，詢問“您愿意收到來自Honda的訊息嗎”，以得知他們是否愿意收到接下來的營銷電子郵件，但這封信也不慎發(fā)給了先前已選擇拒絕的消費者，罰金1萬3,000英鎊。連鎖超市Morrisons重新上線“Match & More”客戶忠誠計劃，為了鼓勵更多消費者享用優(yōu)惠，Morrisons寄信給數(shù)據(jù)庫中的23萬人，提醒他們更新賬戶偏好，然而其中 13萬人過去已取消訂閱來自Morrisons的訊息，因此Morrisons被罰了1萬500英鎊。

　　未來GDPR上路后對個人數(shù)據(jù)的認(rèn)定更廣、對同意條款的要求更嚴(yán)，并強調(diào)消費者應(yīng)該有“被忘記的權(quán)利”，當(dāng)消費者明確拒絕再收到營銷訊息時，別再嘗試寄信給他。Morrisons的違規(guī)事件由消費者主動檢舉，顯示大眾對保護(hù)個人數(shù)據(jù)的重視及行動力都在提高。

　　英國僅35%網(wǎng)絡(luò)用戶聽說過GDPR，未成為公眾話題

　　GDPR立意是把對個人數(shù)據(jù)的所有權(quán)利還給消費者，將其重要性置于科技、商業(yè)發(fā)展與便利性之上，但消費者如何看待GDPR?

　　根據(jù)Kantar TNS的調(diào)查，在2018年1月，英國消費者對于GDPR的認(rèn)知度只有35%。而其他針對法國、德國等歐盟國家所做的調(diào)查，則有至少六成網(wǎng)絡(luò)用戶聽過GDPR，知道它是與個人數(shù)據(jù)保護(hù)相關(guān)的法令。

　　Kantar TNS也監(jiān)測了2017全年網(wǎng)絡(luò)上對于GDPR的討論，包括社群、部落格、討論區(qū)，發(fā)現(xiàn)GDPR的網(wǎng)絡(luò)聲量極小，主要仍是專業(yè)人員間的討論，并未成為一個公眾的話題。

　　eMarketer深入分析消費者對于GDPR和個人數(shù)據(jù)收集抱持的心態(tài)，雖然調(diào)查顯示，七成左右的消費者回答“企業(yè)不應(yīng)該收集我的個人數(shù)據(jù)”，但這背后的意義并非是不喜歡透過數(shù)據(jù)提供更好的服務(wù)， 而是擔(dān)憂數(shù)據(jù)濫用、數(shù)據(jù)泄漏、身份盜竊等情況。

　　四分之三消費者認(rèn)為“企業(yè)不應(yīng)該未經(jīng)允許聯(lián)系我”、“如果可以選擇我不會分享個人數(shù)據(jù)”，反映的則是消費者對于個人數(shù)據(jù)掌控權(quán)的重視。

　　此外，eMarketer以廣告攔截系統(tǒng)為例，近三年開始受到關(guān)注的廣告攔截其實早在2006年就已出現(xiàn)，點出大眾即使重視個人數(shù)據(jù)保護(hù)，未必會很快采取更改隱私設(shè)定、撤回數(shù)據(jù)分享等實際行動。

　　品牌應(yīng)聚焦關(guān)鍵數(shù)據(jù)

　　這幾年品牌高度依賴消費者行為數(shù)據(jù)來執(zhí)行數(shù)字廣告、規(guī)劃營銷活動，應(yīng)特別注意數(shù)據(jù)收集、利用過程中的瑕疵，例如首先必須更改隱私條款與服務(wù)條款捆綁的情況，列出明確的同意/拒絕/撤回個人數(shù)據(jù)收集選項，將權(quán)利還給消費者。

　　營銷人員主要應(yīng)關(guān)注的三個面向如下：

　　?DATA PERMISSION 數(shù)據(jù)許可：

　　消費者或合作伙伴必須手動確認(rèn)同意他們未來想持續(xù)被你聯(lián)系，你不能預(yù)設(shè)勾選同意，同意數(shù)據(jù)收集必須是有意的選擇。

　　?DATA ACCESS 數(shù)據(jù)訪問：

　　營銷人員有義務(wù)確保你的消費者能夠輕易訪問他被你收集的數(shù)據(jù)， 并撤回數(shù)據(jù)收集或使用的許可， 例如取消訂閱電子報。

　　?DATA FOCUS 數(shù)據(jù)聚焦：

　　聚焦在你真正需要的數(shù)據(jù)，不要借機“多問一些”其實你并不需要的信息，擁 有少量卻關(guān)鍵的數(shù)據(jù)，也降低泄漏風(fēng)險。

　　GDPR不僅帶來限制，也帶來機會，根據(jù)英國直效營銷協(xié)會(DMA)的調(diào)查，三分之二受訪者認(rèn)為GDPR讓他們更有信心和品牌分享數(shù)據(jù)，長期來看，主動提高數(shù)據(jù)使用標(biāo)準(zhǔn)的企業(yè)將建立在消費者心中的信賴和好感。

　　個人數(shù)據(jù)保護(hù)愈來愈嚴(yán)是全球趨勢

　　歐盟法規(guī)向來是各國標(biāo)竿，帶有強烈重視人權(quán)的色彩，GDPR同樣展現(xiàn)了個人數(shù)據(jù)保護(hù)趨嚴(yán)的前端思維，將憑借歐盟的全球影響力引領(lǐng)變革。其他國家可能陸續(xù)啟動在地法規(guī)的調(diào)整，向GDPR靠攏，從和歐盟多生意往來的企業(yè)與地區(qū)逐漸擴散出去。

　　亞洲各國和地區(qū)都有自己的數(shù)據(jù)隱私條例，如在新加坡和菲律賓，任何私人企業(yè)的數(shù)據(jù)共享都需要消費者同意。中國最新“信息安全技術(shù)個人信息安全規(guī)范”樹立的標(biāo)準(zhǔn)在很多方面都與GDPR齊肩甚至更加嚴(yán)格，但它并沒有強制力，未來是否能影響法規(guī)與企業(yè)作為仍待時間檢驗。

　　美國戰(zhàn)略與國際研究中心(CSIS)指出，歐洲、中國兩大經(jīng)濟體在個人數(shù)據(jù)保護(hù)的觀念和作法上日漸趨同，美國的數(shù)據(jù)政策則相對顯得孤立、被動。

　　目前各國的數(shù)據(jù)政策存在的分歧，將對跨國數(shù)據(jù)流動、網(wǎng)絡(luò)產(chǎn)業(yè)的跨境服務(wù)造成障礙與挑戰(zhàn)，因此未來隨著GDPR生效，可能會看到更加一致的亞洲標(biāo)準(zhǔn)甚至全球標(biāo)準(zhǔn)，但這還有很長的路要走。

　　結(jié)語

　　2017年，經(jīng)濟學(xué)人就將個人數(shù)據(jù)比作數(shù)字時代的石油，是世界上最珍貴的資源之一，因為數(shù)據(jù)改變了企業(yè)與顧客溝通的方式，并對消費者體驗造成正面影響。各國日益重視數(shù)據(jù)的價值， 也對各自境內(nèi)數(shù)據(jù)訂下不同的使用規(guī)范。

　　網(wǎng)絡(luò)打通全球市場，模糊了國界，GDPR雖然是歐盟法規(guī)，但影響范圍遍及全球，不管是為 了在層出不窮的數(shù)據(jù)泄漏事件后挽回消費者信心，還是為了在做跨境生意時避免高額罰款， 愈來愈嚴(yán)格的個人數(shù)據(jù)保護(hù)與數(shù)據(jù)運用都是不可擋的趨勢。

　　無論在歐盟境內(nèi)或境外，仰賴數(shù)據(jù)的商業(yè)行為和營銷活動不可能消失，品牌在收集個人數(shù)據(jù)時應(yīng) 聚焦關(guān)鍵數(shù)據(jù)，提高使用數(shù)據(jù)的透明度，將選擇與監(jiān)管權(quán)歸還消費者。雖然在初期需要投入 的成本并不小，但提早準(zhǔn)備能幫助品牌化被動為主動，長期更能提高品牌形象。