《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟的條例，是歐盟議會和歐盟理事會在?2016?年?4?月通過，在?2018?年?5?月開始強制實施的規(guī)定。GDPR規(guī)定了企業(yè)了在對用戶的數(shù)據(jù)收集、存儲、保護和使用時新的標(biāo)準(zhǔn)；另一方面，對于自身的數(shù)據(jù)，也給予了用戶更大處理權(quán)。GDPR的目的在于遏制個人信息被濫用，保護個人隱私。

關(guān)于GDPR

GDPR規(guī)定了所有歐盟的公民所享有的數(shù)字生活中的權(quán)利，其前身為?1995?年開始執(zhí)行的《數(shù)據(jù)保護指令》（Data Protection Directive），大部分 GDPR條款都從其繼承而來，同時GDPR在生效后會取代舊的規(guī)定。在歐盟的法律體系中，指令（directive）和條例（regulation）是兩種不同的形式：指令不直接適用于各成員國，還需要成員國自行轉(zhuǎn)化成為其國內(nèi)法，在轉(zhuǎn)化過程中成員國有一定的自主裁量權(quán)；條例則對各成員國有直接適用的效力。在歐洲，事實上也是目前世界范圍中，GDPR 是最完善、最嚴(yán)格的隱私保護規(guī)定。

GDPR在歐盟法律框架內(nèi)屬于“條例”，此前已經(jīng)在歐洲議會（下議院）和歐盟理事會（上議院）通過，可以直接在各歐盟成員國施行，不需要各國議會通過。目前歐盟有28個成員國，大約有5億多人可以直接得到GDPR的保護。值得一提的是，雖然英國已經(jīng)啟動脫歐程序，但也同樣批準(zhǔn)了GDPR，并且同樣從5月25日開始正式推行。

根據(jù)GDPR的規(guī)定，企業(yè)在收集、存儲、使用個人信息上要取得用戶的同意，用戶對自己的個人數(shù)據(jù)有絕對的掌控權(quán)。

新規(guī)緣由

1、為歐盟公民提供更多使用自己的個人資料的權(quán)力；

2、加強數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任；

3、為企業(yè)提供明確的法律框架，通過在歐盟單一市場上制定統(tǒng)一的法律來消除任何區(qū)域差異。

影響

1、GDPR是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護法規(guī)，于2018年5月25日正式生效。

2、任何處理歐洲公民個人數(shù)據(jù)的組織都必須遵守該條例。

3、不遵守GDPR通知義務(wù)可能面臨高達(dá)1000萬歐元或相當(dāng)于全球年營業(yè)總額2%的罰款（以其中較高者為準(zhǔn)）。不遵守監(jiān)管機構(gòu)的命令可能會面臨高達(dá)2000萬歐元或相當(dāng)于全球年營業(yè)總額4%的罰款（以較高者為準(zhǔn)）。

適用地域范圍

1、GDPR適用于在歐盟境內(nèi)設(shè)有業(yè)務(wù)機構(gòu)（establishment）的組織，只要這些組織在業(yè)務(wù)機構(gòu)在歐盟境內(nèi)的活動中處理個人數(shù)據(jù)（而不論此類處理行為是否實際發(fā)生在歐盟境內(nèi)）。

2、如某一組織雖不在歐盟境內(nèi)設(shè)立業(yè)務(wù)機構(gòu)，但卻處理歐盟境內(nèi)個人的個人數(shù)據(jù)，并且此類處理行為與向歐盟境內(nèi)個人提供商品或服務(wù)相關(guān)，無論該等商品或服務(wù)是否收費，則也應(yīng)當(dāng)適用GDPR。

3、GDPR適用于非歐盟組織處理歐盟境內(nèi)個人的個人數(shù)據(jù)，只要此類處理行為涉及對這些個人的行為進(jìn)行監(jiān)控，且該處理行為發(fā)生在歐盟。

GDPR完善和嚴(yán)格的體現(xiàn)

1、企業(yè)部分

（1）首先，企業(yè)在收集用戶的個人信息之前，必須以“簡潔、透明且易懂的形式，清晰和平白的語言”向用戶說明：將收集用戶的哪些信息；收集到的信息將如何進(jìn)行存儲；存儲的信息會如如何使用；企業(yè)的聯(lián)系方式。也就是說，之前的那種通過使用模糊的、容易混淆的語句連哄帶騙的使用戶同意被收集數(shù)據(jù)的做法是不再被允許的。在這個語境中，“個人信息”是指如IP、郵箱地址、用戶名等一切能確定用戶的身份的信息。

（2）其次，GDPR的處罰力度非常高，高到足夠引起所有的公司重視。每次違反條例最高處罰金額為該公司年度營業(yè)額的4%，或者2000萬歐元，取決于哪個數(shù)值更大。

2、用戶部分

（1）概述：用戶作為消費者，隨著 GDPR 的實施，享有多種權(quán)力。

（2）享有的權(quán)力：

①數(shù)據(jù)訪問權(quán)：用戶有權(quán)給予向企業(yè)問詢個人信息是否正在被處理，如果正在被處理的話，可以繼而了解：處理的目的；相關(guān)數(shù)據(jù)類型；數(shù)據(jù)接收方的信息；如果對象是數(shù)據(jù)接收方，可以問詢其數(shù)據(jù)來源。

②被遺忘權(quán)：用戶有權(quán)要求企業(yè)刪除掉個人數(shù)據(jù)，當(dāng)數(shù)據(jù)已經(jīng)披露給第三方時，用戶可以繼而要求他們刪除相關(guān)數(shù)據(jù)。

③限制處理權(quán)：用戶有權(quán)禁止企業(yè)將信息用于特定的用途，像禁止企業(yè)用于垂直營銷。假如最近在購物網(wǎng)站搜索了“精釀啤酒”為關(guān)鍵詞的商品，網(wǎng)站的推薦信息流或者和該網(wǎng)站有合作的其他站點中可能就會向你推薦類似的“精釀啤酒”，我們現(xiàn)在可以要求該公司不能將這件事透露給其他公司，甚至特可以要求該公司本身也不能把這件事用于任何營銷活動。

④數(shù)據(jù)攜帶權(quán)：簡單來說，當(dāng)用戶想離開某個平臺時，可以要求該平臺將用戶在該平臺產(chǎn)生的數(shù)據(jù)，以格式化的、機器可處理的格式提供給用戶。

消費者受益

1、更多隱私：企業(yè)被要求只能收集和處理基于特定目的所需的個人數(shù)據(jù)，并采取措施保護個人數(shù)據(jù)。

2、個人數(shù)據(jù)更安全：隨著對收集和處理個人數(shù)據(jù)實施更嚴(yán)格的規(guī)則，數(shù)據(jù)泄露事件發(fā)生的可能性會更少。

3、更好地控制他們的購物體驗：消費者可以事先決定是否要接收來自企業(yè)的營銷電子郵件，或者是否允許網(wǎng)站追蹤他們的行為用于分析和再營銷。

企業(yè)如何應(yīng)對GDPR

1、內(nèi)容準(zhǔn)備：企業(yè)GDPR說明文本清晰明確。

（1）企業(yè)內(nèi)部的“服務(wù)協(xié)議”和“隱私條款”需要針對GDPR做相應(yīng)調(diào)整，制定適合企業(yè)自身情況的規(guī)則說明文檔。

（2）清晰明確表明企業(yè)將收集的數(shù)據(jù)、使用及用戶享有的許可或撤銷許可權(quán)益。

（3）保證多語言版本，不可利用語言不同等，模糊規(guī)定而獲取用戶的許可。

2、新用戶：表單入口明確權(quán)益告知。

（1）在訂閱、注冊等全部數(shù)據(jù)采集入口設(shè)置明顯告知用戶窗口。

（2）位置醒目、內(nèi)容明確清晰。

（3）可存在自動勾選強制同意行為，獲得用戶主觀許可后才可使用

3、已有會員：用戶自主完成授權(quán)。

（1）授權(quán)頁面默認(rèn)不勾選用戶授權(quán)的內(nèi)容，需要用戶自己進(jìn)行勾選然后點擊“授權(quán)”。

（4）GDPR 正式生效后，可在郵件發(fā)送界面的“排除組”那里進(jìn)行勾選，對未獲得授權(quán)的用戶不再進(jìn)行發(fā)送。

4、已有會員：允許隨時撤銷許可或修改授權(quán)。

（1）針對一直未對是否授權(quán)做明確回應(yīng)用戶，以及已許可用戶，在后期每封郵件推送中，均需設(shè)置明顯的撤銷許可標(biāo)識。

（2）允許用戶隨時取消授權(quán)行為。

（3）允許用戶隨時修改個人信息內(nèi)容。

社交媒體營銷（或廣告）怎么做

1、根據(jù)GDPR，如果想使用客戶數(shù)據(jù)或追蹤他們行為用于廣告目的，您必須獲得這樣做的法律依據(jù)。也就是說，您必須獲得客戶的明確同意。

2、您必須給予您的客戶一個自由和真實的選擇來接受或拒絕（并允許輕松撤回他們的同意）。

3、您必須說明將收集客戶的哪些數(shù)據(jù)以及如何使用這些數(shù)據(jù)。同意的請求必須使用清晰和簡單的語言，方便客戶理解。用戶沒主動反應(yīng)也不構(gòu)成同意。您的客戶必須采取行動。（例如，不允許預(yù)先勾選同意方框。）

4、由于獲得同意的要求非常嚴(yán)格，所以最好直接參閱相關(guān)規(guī)定并與您的法律顧問聯(lián)系。多種社交媒體廣告特征，包括使用您上傳的客戶數(shù)據(jù)，收集個人數(shù)據(jù)或在您的網(wǎng)站上的追蹤用戶行為。如果您有涉及到上述行為，那么進(jìn)一步研究應(yīng)采取的行動將非常有用。

對相關(guān)企業(yè)的影響

Google和Facebook在GDPR生效日分別收到了歐盟39億歐元、37億歐元罰款的訴訟。蘋果、亞馬遜、Linkedin等公司也面臨隱私監(jiān)管機構(gòu)提起的訴訟。GDPR生效后，芝加哥時報、洛杉磯時報等多家美國媒體網(wǎng)站在歐洲的服務(wù)器關(guān)停。

微信海外版、新浪微博國際版等多家互聯(lián)網(wǎng)企業(yè)向歐洲區(qū)用戶更新隱私政策，請求重新授權(quán)。QQ停止部分國際版服務(wù)，并將推出新版本，提示用戶升級。國航、東航均對其APP及官方網(wǎng)站隱私條款進(jìn)行了更新。海爾、華為早已雇請專門團隊?wèi)?yīng)對新規(guī)。