2018年5月25日,全球保护力度最强的数据保护条例GDPR即将来临,很多开发者希望了解自己及第三方服务提供商是否符合GDPR的标准。为此,【友盟+】梳理了几件关于GDPR的小贴士:
什么是GDPR?
GDPR的全称是:General Data Protection Regulation(通用数据保护条例)是由欧盟推动的数据隐私保护法案,GDPR将于2018年5月25日正式生效,个人数据的隐私和保护将更加的透明和具有操作性。
违反GDPR,会有什么后果?
GDPR对违规企业采取根据情况分级处理的方法。如果公司未按要求做好相关记录,或者未将其违规行为通知监管机关和数据主体,或者未进行影响评估,则可能被处以其全球年营业额2%的罚款哦!
如果发生了最为严重的侵犯个人信息安全的行为,譬如,没有充分获得客户同意就处理数据,或者核心理念违反“隐私设计”要求,相关企业还有可能面临最高2000万欧元或企业全球年营业额的4%(以高者为准)的巨额罚款!
我的业务不在欧洲,是否要遵守GDPR?
不管您的业务或公司数据物理地址是否在欧盟,只要业务涉及欧盟用户个人数据采集和处理业务的企业和机构,都要遵守 GDPR的规定哦!如果您还不清楚是否需要遵守GDPR,可以对应如下问题了解:
1、我是中国的开发者,需要遵守GDPR吗?
答:您的App有欧洲用户吗?如果有,则需遵守GDPR。
2、我是美国的开发者,我需要遵守GDPR吗?
答:您的App有欧洲用户吗?如果有,则需遵守GDPR。
3、我的App不在欧洲发布,我需要遵守GDPR吗?
答:您的App有欧洲用户吗?如果没有,则不需要遵守GDPR。
我是GDPR管辖范围的开发者,我应该怎么做?
您属于GDPR项下的数据控制者(data controller),根据GDPR的要求,您需要遵守GDPR对于数据控制者的相关要求,作为您长期的忠实合作伙伴,【友盟+】为您提供了以下的温馨建议:
1、如您的App还没有隐私权政策的,我们强烈建议您准备一份隐私权政策,这是满足GDPR规定的最基本的要求。
2、如您的App已有隐私权政策,我们建议您在与您的用户的隐私权政策中加入GDPR所要求的标准条款,我们已起草了标准条款的中英文版本:https://developer.umeng.com/docs/66632/detail/72076( 复制到浏览器中查看,同时建议您使用pc浏览)
(扫一扫或长按二维码获取)
3、除了在您与用户的隐私权政策加入GDPR所要求的标准条款外,作为数据控制者,您还需要关注以下的合规事项:
a.透明度
从设计着手隐私保护(Privacy by Design),在App产品的设计过程中充分考虑隐私保护,包括充分尊重用户的知情权、选择权、删除权等。关于知情权和选择权,建议您以清晰明确的方式询问用户,而不能以任何方式默认用户授予开发者数据采集和使用的权利。我们精选了以下国内两个App在“Privacy by Design”方面的优秀案例,您可以借鉴和参考:
案例1:采用弹窗方式或用户主动勾选方式(推荐)
关于明确获得用户同意,可以参考GDPR条款:https://gdpr-info.eu/art-7-gdpr/(复制到浏览器中查看)
(扫一扫或长按二维码获取)
以下的案例没有充分体现用户的知情权和选择权,不建议使用:
案例2:默认打勾或默认同意的式样(不推荐)
b.数据处理的法律依据
根据GDPR第6条的要求,数据控制者必须保证数据处理有相应的法律依据,包括取得用户的同意、为履行合同所必须或是为了数据控制者的合法利益等。我们起草的标准条款的中英文版本中的第4条列出了这些法律依据,请您根据实际业务场景进行修订。
c.与关联方或者第三方共享数据的限制
根据现行欧盟法律要求,向欧盟外传输个人数据需要有法律依据。较常用的法律依据是数据主体的同意或是传输双方之间采用标准合同条款(standard contractual clauses) 标准合同条款:http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32010D0087 (复制到浏览器中查看)
(扫一扫或长按二维码获取)
d.数据安全要求
GDPR要求数据控制者采用适当的技术和组织措施确保个人信息的安全。如发生个人信息泄露事件,应及时应对,包括在72小时内通知主管监管机构和受影响的数据主体。
e.完整保存数据采集和处理的记录
GDPR要求数据控制者应该完整保存数据采集和处理的记录,如果您是【友盟+】的用户,我们可以协助您保存有关统计数据处理活动的详细记录。
f.DPO或隐私保护代表
派驻数据保护官(Data Protection Officer,DPO)或隐私保护代表。您应根据GDPR的要求评估是否有义务设立DPO,如果决定不设立DPO则应记录与该决定有关的内部评估。适时开展数据保护影响评估(DPIA)。根据GDPR第37条第一款的规定,数据控制者或处理者数据处理机制的核心业务是需要对数据主体定期进行大规模、系统性的监控,或其核心业务包括对诸如与健康有关的特殊数据或与刑事犯罪或定罪有关的数据进行大规模处理,这家机构需要设立数据保护官。这些规定没有更具体的标准,一些参考的因素包括:
• 数据主体的数量,包括具体的数量和在人口中的比例
• 数据的数量,包括采集处理的字段
• 数据处理活动的时间长短
以上贴士仅供各位开发者参考,如需要专业的法律意见,还请各位开发者小伙伴咨询您的律师或法律顾问哦!