尊重客户隐私,到底需要关注哪些客户信息和权利?
前言:从315晚会集中曝光违规收集和使用客户数据开始,到6月10日推出《中华人民共和国数据安全法》,再到7月4日国家网信办下架滴滴出行APP,可以看到中国对个人数据安全和隐私的保护越来越重视。那么到底什么样的客户信息属于客户隐私,客户对自己的数据应该拥有什么样的权利?
2018年5月25日,欧盟通用数据保护规则(General Data Protection Regulation ,GDPR) 开始生效,规定个人拥有对自己数据的掌控权并受到保护。GDPR针对任何触及到欧盟公民数据的企业,这些企业可能是个人数据的控制者,也可能是处理者(提供个人数据相关处理系统/服务),无论企业业务是在什么地方,只要收集和使用的个人数据是欧盟公民的数据,就会在GDPR的管辖范围之内。一旦企业被举报,需要配合监管部门调查个人数据相关系统,证明企业符合法规要求。违规要接受罚款2000万欧元或者企业全球总收益的4%的处罚。目前还没有单一的GDPR认证机制。2019年1月欧盟委员会(European Union,EC)四位高级官员的联合声明披露,自GDPR生效8个月以来,欧盟(EU)的国家数据保护监督机构已收到超过9.5起欧盟公民投诉,指控个人数据处理不当。欧盟民众主要投诉的三大类别为电话营销、电子邮件营销,以及视频监控。
谈到个人数据保护,经常会提及个人可识别信息(Personal Identifiable Information,PII),通常包括:诸如姓名,电话,身份证,驾照或者银行卡之类的标识符;诸如电子邮件地址或移动设备id之类的在线标识符;以及诸如IP地址、cookie或可追溯到个人的其它标识符之类的元数据或其它关联数据。GDPR规定的能够识别个人的信息更广泛,包括:社交媒体上点赞,个人照片, 个人行为数据等,它扩大了已知的特殊类别个人数据的目录,例如:宗教信仰、伦理渊源或健康状况,还包括基因数据、用于唯一识别自然人的生物特征数据以及与刑事定罪和犯罪有关的数据。GDPR的核心和本质是让消费者掌控自己数据,涉及到个人数据的收集和使用。它包括了一些具体的消费者权利,细节见下图。
企业在“以客户为中心”的战略下,开始通过各种技术手段,在与客户的互动过程中,逐步收集客户相关数据,形成统一的,完善的的客户360。然而在企业收集和使用这些客户数据的时候,忽略了客户的权利。GDPR明确规定了消费者对自己数据的个人权利,包括:告知权、访问权、认证权、删除权等。其中最重要的是告知,认证/同意和删除这三个重要权利。
· 告知权和访问权
企业需要在收集消费者信息的时候,明确告知消费者会收集什么样的信息,要用做什么用途。无论消费者是在匿名或者已知客户阶段,企业在收集信息时候,都需要告知消费者。现在很多APP下载安装,都会弹出窗口提示会获取移动设备相关权限,获取消费者同意。当消费者访问网站,都会出现提示:Cookie会收集消费者行为数据,获取消费者同意。然而传统第三方Cookie技术已经无法满足GDPR这样严格的个人数据合规要求,因为它没有办法很清晰的告知消费者会收集什么信息,会用于什么目的,更没有办法细分这些信息和使用目的,给消费者选择性授权某些信息的收集和使用。所以各大主流浏览器(Chrome,Safari, Firefox)都已宣称会禁用第三方Cookie,用其他更合规的技术取代。GDPR明确规定了不能过度收集和使用个人数据,需要给出相关的使用范围或者渠道,明确告知消费者用途,只向消费者提出收集需要的数据,不可收集使用范围外的数据。
企业要能够让消费者随时随地的访问到自己的数据,这些数据是在收集的时候已经清楚告知消费者,并获得消费者同意的。例如:消费者登录后,可以在个人信息页面浏览自己的基本信息,订阅,喜好和授权/同意信息,以及自己的消费记录等。消费者有权获得其提供给企业的相关个人数据,这些个人数据应当是结构化的、普遍可使用的和机器可读的。消费者可以随时发出“SAR(Subject Access Request)”, 要求企业提供存储了哪些个人信息,企业需要在30 天内回复。 其中,详细的SAR信息包括: 全部收集过的个人信息、个人信息被如何使用、所有接触过和被分享过的第三方、数据被存储多久、是否被泄露过等。
· 认证/同意权
企业无论在何时收集个人数据,必须事先征得消费者的同意,而且"同意"必须是具体的、清晰的, 是消费者在充分知情的前提下自由做出的。目前很多APP和网站在收集个人数据前,弹出一个隐私相关的协议申明,篇幅很长,内容复杂难懂,消费者并不能选择具体某些数据,给予认证/同意,授权只收集这些数据。这样其实并不符合GDPR法规要求,例如:在GDPR生效的第一天,Google在法国被举报,最后法国数据隐私机构国家数据保护委员会(CNIL)判定谷歌 “缺乏透明度,信息不足以及缺乏有关广告个性化的有效同意”,罚款5000万欧元。企业不可随意把消费者的数据的移为他用,无论是将数据提供给了第三方,还是把数据作为企业对外服务的一部分, 例如:提供给广告企业作为营销推广对象,或者作为对外发布的报告中的案例,都必须重新获取消费者的授权和同意。
· 更新权和删除权
消费者可以随时更改自生数据信息,例如:通过自助服务,更改订阅,授权等信息。当消费者向企业提出不能再使用其数据,要求删除时,企业要有能力从所有系统中删除该消费者的相关记录。GDPR赋予消费者可以随时更新、删除的权利,企业应当明确告知消费者有该权利,并为消费者方便地行使该权利提供便利。当消费者有数据更新,或者提出删除要求,企业必须将原始数据以及基于这些数据处理之后的信息删除并及时更新。企业在特定时间可以留存备用消费者个人数据,但需要保护数据不为他用,保护其安全性。在超过使用时间期限后,企业需要及时进行删除处理,如果数据在使用期间已经交给第三方,企业也需要让第三方作出同步删除或者更新。
企业除了要保障以上消费者权利外,还要以适当的技术或措施,确保消费者个人数据的适当安全,包括:防止未经授权或非法处理,防止意外损失、破坏或损坏。GDPR规定企业一旦发生数据泄漏,需要在72小时内通告管理部门,并及时告知相关受影响的人员。2019年英国航空和万豪酒店都是由于客户数据泄露,违背GDPR而被处罚。由此可见,GDPR是赋权于消费者,帮助他们获得对个人数据的掌控。它在为个人有效行使权利提供法律保障的同时,也对企业处理和使用个人数据提出了严格的要求。 GDPR 虽然致力于个人信息保护,但对于企业来说,通过让消费者透明知晓并控制自身数据的管理方式,可以建立消费者对品牌的信任。
大数据时代的个人信息保护和监管,从全球来看,是个世界性的难题。在2017年,全球已有近90个国家和地区制定了个人信息保护的法律,个人信息保护专项立法已成为国际惯例。中国《网络安全法》(China Cybersecurity law - CCSL)在2017年生效,是首次发布了关于个人信息和重要数据安全评估措施的草案。中国《网络安全等级保护》2.0(Cybersecurity Classified Protection Scheme,CCPS)在2019年生效,是网络安全法授权的,企业运营合规的云服务的安全认证。中国《数据安全法》在2021年6月推出,将在9月正式实施,旨在保障数据安全,同时关注数据处理活动与数据开发利用。GDPR作为史上最严格的个人数据保护法规,为全球各个地区的个人信息保护立法提供了参考依据。以下是全球其他地区的主要个人信息保护法规。
· 美国加利福尼亚州,California Consumer Privacy Act - CCPA,中文名《加利福尼亚州的消费者隐私法案》,2020年1月1日生效,旨在保护消费者隐私权益。
· 日本,Amended Act on the Protection of Personal Information – APPI,中文名是《个人信息保护法》,2017年新版生效,旨在保护公民的个人数据免遭泄露,丢失或损坏; 监督处理数据的员工和托管数据的第三方。
· 印度,Personal Data Protection Bill – PDPB,中文名《个人数据保护法草案》,2019年新版草案,核心是要求印度公民的个人数据要在本地化进行储存,个人关键数据限制出境。
· 巴西,Lei Geral de Proteção de Dados Pessoais – LGPD,中文名《巴西通用数据保护法》,2020年生效,是巴西第一部关于数据保护的综合性法律,为公司和个人收集、使用、处理和存储数据提供了全面的法律框架。
· 俄罗斯,涉及个人数据保护的国家专门立法主要有两部,分别为《信息、信息技术和信息保护法》和《联邦个人数据法》。2006年重新颁布《信息、信息技术和信息保护法》,旨在强调公民私生活不可侵犯,未经本人同意,不能收集、保存、利用和传播与个人私生活有关的信息。同是2006年,俄罗斯颁布了个人数据保护领域的首部专门立法—《联邦个人数据法》,旨在保障公民个人数据处理中的权利和自由,明确提出个人数据本地化存储。
· 泰国,涉及个人数据保护的国家专门立法主要有两部,分别为《网络安全法》(Cybersecurity Act)和《个人数据保护法》(Personal Data Protection Act),其中,2019年推出《个人数据保护法》是泰国第一部关于个人数据保护的综合法律并具有域外效力。
· 马来西亚,Personal Data Protection Act – PDPA,中文名《个人数据保护法》,2010年推出,旨在监管数据使用者对个人信息的收集,存储,处理和使用。
菲律宾,Data Privacy Act – DPA,中文名《数据隐私法》,2016年推出实施细则和条例,是一部管理菲律宾数据隐私保护的综合性法律。
相关资源推荐
