2021 年 GDPR 状况:关键更新及其含义

已发表: 2022-03-10
快速总结 ↬作为数字从业者,GDPR 影响了我们职业和个人生活的方方面面。 无论您沉迷于 Instagram、在 WhatsApp 上向家人发送消息、从 Etsy 购买产品或 Google 信息,没有人能逃脱 2018 年引入的规则。

欧盟的指令几乎影响了每一位数字专业人士,因为产品和服务的设计都考虑到了 GDPR,无论您是威斯康星州的网页设计公司还是马耳他的营销人员。 GDPR 的深远影响不仅仅影响数据的处理方式、产品的构建方式以及数据在组织内部和组织之间的安全传输方式。 它定义了欧洲和美国之间的国际数据传输协议。

凯文凯利是世界上最聪明的数字未来学家之一,他声称“技术与自然一样强大”。 他的意思是,用户数据和信息技术正在引发自语言发明以来人类历史上最深刻的时期之一。 看看政府和科技跨国公司努力控制互联网时正在发生的事情。

仅在上周,随着澳大利亚政府开始强制平台所有者向发布商支付在其平台上共享的内容的费用,Facebook 决定在澳大利亚政府的巨大骚动下阻止向澳大利亚用户发送新闻。

这是政府和技术交汇处之前的争议(美国国会大厦暴动的组织、剑桥分析公司丑闻)的补充。

在本文中,我们将了解 GDPR 自 2018 年以来的演变情况。我们将介绍来自欧盟的一些更新、一些关键的发展以及 GDPR 可能演变的地方。 作为设计师和开发人员,我们将探讨这对我们意味着什么。 我们将看看这对欧盟内外的公司意味着什么。

在下一篇文章中,我们将重点关注 cookie 同意和营销人员严重依赖 Google Analytics cookie 数据但需要遵守法规的悖论。 然后我们将深入研究第一方广告跟踪,因为我们开始看到远离第三方 cookie。

  • 第 1 部分:GDPR、关键更新及其含义
  • 第 2 部分:设计师和开发人员的 Cookie 同意

GDPR 快速回顾

让我们首先提醒自己什么是 GDPR。 GDPR 于 2018 年 5 月 25 日在欧盟内成为法律。它基于 7 个关键原则:

  1. 合法、公平、透明
    您必须处理数据,以便人们了解您在处理他们的数据的内容、方式和原因。
  2. 目的限制
    您只应出于明确、指定和合法的目的收集数据。 然后,您不能以与您的原始目的不兼容的方式处理它。
  3. 数据最小化
    您应该只收集您需要的数据。
  4. 准确性
    您的数据必须准确并保持最新。 不准确的数据应该被删除或更正。
  5. 存储限制
    如果数据可以与个人相关联,则您只能在需要执行您指定的目的时保留它。 (科学、统计或历史研究使用的注意事项。)
  6. 完整性和保密性(即安全性)
    您必须确保您持有的个人数据得到安全处理。 您必须保护它免受未经授权或非法的处理以及意外丢失、破坏或损坏。
  7. 问责制
    您现在对您持有的数据负责,并且应该能够证明您遵守 GDPR。
显示 GDPR 七项原则的图表:合法性、完整性、存储和目的限制、数据最小化和准确性以及问责制 - 覆盖透明度、隐私和控制
GDPR 的原则基于透明度、隐私和用户控制。 (图片来源:Cyber​​-Duck)(大预览)

一些定义

  • 欧盟法院
    欧盟法院。 该法院的裁决阐明了 GDPR 等欧盟法律。
  • DPA
    国家数据保护机构。 每个欧盟国家都有一个。 这些机构在国家层面执行 GDPR 并处以罚款。 英国的同等机构是信息专员办公室 (ICO)。 在美国,GDPR 风格的数据隐私在很大程度上由每个州立法。
  • 欧盟委员会
    欧盟的行政部门(本质上是欧盟的公务员)。 欧盟委员会起草了包括 GDPR 在内的立法。
  • GDPR
    2018 年通用数据保护条例。

欧盟的主要更新

GDPR 自 2018 年 5 月以来一直没有停滞不前。以下是自它生效以来发生的事情的快速概览。

欧盟及其成员国如何实施 GDPR?

欧盟委员会报告称,GDPR 几乎在整个欧盟范围内得到全面实施,尽管一些国家——它的名字叫斯洛文尼亚——拖了后腿。 但是,实施的深度各不相同。 欧盟还表示,它认为其成员国正在公平地使用他们的新权力。

然而,它也表达了对一些分歧和分裂正在蔓延的担忧。GDPR 只有在成员国保持一致的情况下才能在欧盟单一市场上有效运作。 如果法律出现分歧,就会使水浑浊。

欧盟希望 GDPR 如何发展?

我们知道欧盟希望个人更容易根据 GDPR 行使其权利。 这意味着跨境合作和集体诉讼。 它希望为银行和电信以外的消费者提供数据可移植性。

它还希望让中小型企业 ( SME ) 更容易遵守 GDPR。 这可能会以额外支持和工具的形式出现,例如更标准的合同条款——本质上是模板化的法律术语,中小企业可以复制/粘贴到合同中——因为欧盟并不热衷于为他们改变规则。

大发展#1:“联合控制者”出人意料的广泛定义

对,这是自 GDPR 成为法律以来的第一个重大变化。 在涉及 Facebook 的两个测试案例中,欧盟法院对“联合控制人”的定义比预期的要广泛得多。

当两个或多个控制者都有责任满足 GDPR 的条款时,就会出现联合控制者的情况。 (这是 ICO 关于联合控制器的一个很好的解释。)本质上:

  • 当您处理客户数据时,您需要与负责管理每个步骤的联合控制者共同决定您是否符合 GDPR。
  • 但是,你们所有人都有责任确保整个过程合规。 你们每个人都对处理任何投诉的国家的数据保护机构负全部责任。
  • 个人可以对每个和所有联合控制人提出投诉。
  • 您应对造成的任何损害负责——除非您能证明您与造成损害的事件无关。
  • 个人可以向任何联合控制人寻求赔偿。 您也许可以从其他控制者那里收回部分补偿。

在第一起 Facebook 案件中,欧洲法院确认,运营 Facebook 粉丝页面的公司与 Facebook 一起被视为联合控制人。 第二,欧洲法院还确认,一家在其网站上嵌入 Facebook Like 按钮的公司与该社交网络具有联合控制者身份。

这些案例在隐私社区引发了冲击波,因为本质上它使社交出版商、网站运营商和粉丝页面版主与 Facebook 等平台一起负责用户数据。

不过,欧盟法院也明确指出,责任共担不等于责任平等。 在这两种情况下,责任主要由 Facebook 承担——只有 Facebook 可以访问数据,只有 Facebook 可以删除它。 因此,这一决定的影响可能没有起初听起来那么严重——但它仍然至关重要。

这可能就是为什么某些网站(例如德国 2020 年欧盟轮值主席国网站)默认阻止嵌入式社交内容的原因,除非您明确选择加入:

eu2020.de 的屏幕截图显示社交信息流内容被阻止,直到第三方跟踪被打开
默认情况下,一些网站开始阻止嵌入式社交提要出现在其网站上,从而为用户提供选择加入跟踪的选择。 (大预览)

大发展#2:再见隐私盾,你好 CPRA

第二个重大变化更容易预测: Privacy Shield是一种让美国企业更容易处理欧洲客户数据的机制,已被法院驳回。

这就是为什么。

欧盟希望保护其公民的个人数据。 然而,它也希望鼓励国际贸易,以及安全等领域的跨境合作。

欧盟认为自己——完全正确——是数据保护的先驱。 因此,它正在利用其政治力量鼓励希望与欧盟进行贸易的国家符合其数据隐私标准。

进入美国。 欧洲和美国围绕数据隐私的哲学是截然相反的。 (本质上,欧洲的观点是,除非您明确许可,否则个人数据是私有的。美国的观点是,除非您明确要求将其保密,否则您的数据是公开的。)但作为世界上最大的两个消费市场,他们需要贸易。 因此,欧盟和美国开发了隐私护盾。

Privacy Shield旨在使美国公司能够处理欧盟公民的数据,只要这些公司签署了更高的隐私标准。

但根据美国法律,美国政府仍然可以监控这些数据。 这在奥地利隐私权倡导者 Max Schrems 提起的案件中受到挑战。 CJEU 支持他:Privacy Shield 被取消,使用 Privacy Shield 的 5,300 家美国中小企业别无选择,只能采用欧盟规定的标准合同条款。

显然,更换隐私盾符合每个人的利益——而且会。 但专家表示,由于欧洲和美国在隐私方面的做法本质上是不相容的,因此它的替代品可能会在适当的时候再次被取消。

同时,在加利福尼亚州,2020 年 11 月通过《加利福尼亚隐私权法》(CPRA) 时,2018 年受 GDPR 启发的《加利福尼亚消费者隐私法》(CCPA) 得到了加强。

加州消费者隐私法 (CCPA)

CCPA 于 2020 年 1 月生效,赋予加州公民选择不出售其数据的权利。 他们还可以要求披露收集到的任何数据,并要求删除这些数据。 与 GDPR 不同,CCPA 仅适用于商业公司:

  • 谁每年处理超过 50,000 名加州居民的数据,或者
  • 年总收入超过 25 美元的人,或
  • 谁通过出售加州居民的个人数据赚取了一半以上的年收入

加州隐私权法案 (CPRA)

CPRA 于 2023 年 1 月生效,超越了 CCPA 。 其要点包括:

  • 它提高了每年处理 100,000 名加州居民数据的公司的门槛
  • 它为加州人的敏感数据提供了更多保护,例如他们的种族、宗教、性取向、健康数据和政府 ID
  • 违反未成年人数据的罚款增加三倍
  • 它赋予加州人要求更正其数据的权利
  • 它要求公司帮助进行 CPRA 调查
  • 它建立了一个加州隐私保护机构来执行 CPRA
CPRA 总结图
加州将于 2023 年通过 CPRA 收紧隐私立法。(大预览)

其他州正在进一步推动隐私法,这些可能会加强在拜登新政府下采取联邦隐私措施的必要性。

大发展#3:Cookie 同意

2020 年 5 月,欧盟更新了其 GDPR 指南以澄清几点,包括 cookie 同意的两个关键点:

  • Cookie 墙不会为用户提供真正的选择,因为如果您拒绝 Cookie,您将无法访问内容。 它确认不应使用 cookie 墙。
  • 滚动或滑动浏览网页内容并不等同于默示同意。 欧盟重申同意必须是明确的。

我将在下周的第二篇文章中对此进行深入探讨。

Cyber​​-Duck cookie 通知,默认开启广告跟踪
欧盟已更新其关于 cookie 同意的指南。 (大预览)

大发展#4:谷歌和苹果开始从第三方跟踪转向

随着大型数字公司弄清楚如何满足 GDPR 以及如何将隐私立法转化为他们的优势,一些公司已经受到了抨击。

在广告技术公司和出版商投诉之后,谷歌和苹果都面临着反垄断诉讼

在这两种情况下,投诉人都表示大型科技公司正在利用其主导市场地位。

再次,下次更多。

跳跃后更多! 继续往下看↓

大发展#5:大 GDPR 罚款以这种方式出现

当然,许多组织都开始遵守 GDPR,因为他们担心监管机构可能会对其处以罚款。 这些罚款已经开始滚滚而来:

法国数据监管机构对谷歌处以 5000 万欧元的罚款,理由是“在广告个性化方面缺乏透明度、信息不足和缺乏有效同意”,称用户“没有充分了解”谷歌如何以及为何收集他们的数据。

其在英国的同等机构 ICO 因未能保护 3.39 亿客人记录的安全而对美国酒店集团万豪国际公司处以 1840 万英镑的罚款。 万豪于 2016 年收购的喜达屋酒店及度假村全球公司在 2014 年遭到网络攻击,直到 2018 年才被发现。

英国的 ICO 还因 2018 年 400,000 名客户个人和信用卡数据的数据泄露,对英国航空公司处以创纪录的 2000 万英镑罚款。

然后是我个人最喜欢的一个,H&M 令人震惊地违反了员工信任,导致了 3500 万欧元的罚款。

这就是我们今天的立场。

这对你意味着什么?

作为设计师和开发人员,GDPR 已经并将继续对我们设计和构建的产品以及我们为数据设计的方式产生重大影响。

这是我们作为设计师应该知道的

  • GDPR 对您至关重要,因为您将设计用户共享数据的点、收集哪些数据以及如何处理这些数据。
  • 遵循隐私设计最佳实践。 不要试图重新发明轮子——如果您创建了一个兼容的 cookie 横幅,请使用您经过验证的设计模式。
  • 与您的合规和开发团队合作,确保设计符合 GDPR 并可以实施。 只询问您需要的数据。
  • 最后,询问您的用户他们愿意分享哪些数据,以及他们希望您如何使用这些数据。 如果他们觉得这令人毛骨悚然,请重新审视您的方法。

这是我们作为开发人员应该知道的

  • GDPR 对您至关重要,因为您支持数据处理、共享和集成。
  • 作为 GDPR 的一般规则,采用需要访问的方法。 从实现一切无权访问开始,然后仅在必要时让您的团队访问数据(例如,让开发人员访问 Google Analytics 控制台)。 随时审计和记录。
  • 遵循设计的隐私和设计原则的安全。 用于实施基础设施的强大、安全的模板是关键。
  • 确保您提前参与了技术方面的工作,例如 cookie 同意/跟踪对话,以便可以实施所决定的内容。
  • 流程映射显示了与业务的不同部分共享数据的位置。
  • 自动化提供安全的数据处理,减少人为错误。 它还有助于防止错误的人访问数据。
  • GDPR 清单和运行手册将帮助您管理流程。 再次,随时审计和记录。

现在让我们看看 GDPR 在不久的将来会如何演变。 我们将重点关注三个领域。

GDPR 迅速发展的三个领域

1. 欧盟如何实施 GDPR

首先,让我们看看 GDPR 将如何进一步融入立法环境。

欧盟希望其成员国保持一致,因为这将使跨境诉讼和国际合作更容易。 因此,它强化了各国不应偏离或超越 GDPR。 正如我所说,一些成员国对这项规定只言片语。 其他人则希望超过 GDPR 的标准。

作为他们一致的回报,欧盟将强制执行合规,努力实现集体诉讼和更便宜的跨境诉讼,并在欧盟以外促进隐私和一致的标准。 除了为中小企业提供额外的支持和工具外,我们还可能会看到设计上的安全和数据保护认证。

最后,这可能会引起硅谷的一些关注:欧盟暗示它可能会考虑禁止数据处理以鼓励合规。 5000 万欧元的罚款对 Google 和朋友来说并不是世界末日。 但是在顽皮的步骤上超时——以及由此产生的糟糕的公关——是完全不同的事情。

2. GDPR 如何与创新协同工作

GDPR 旨在实现技术中立,支持而非阻碍创新。 这在过去 12 个月中肯定已经过测试,欧盟指出COVID-19 应用程序的快速推出证明其立法有效。

我们可以期待看到敏感数据类别(健康和科学研究)的行为准则。 这些都会受到欢迎。

然而,他们正在密切关注创新者。 欧盟对视频、物联网设备和区块链中的数据隐私表示担忧。 他们特别关注面部(可能还有语音)识别和人工智能的发展。

最值得注意的是,委员会对其所谓的“跨国科技公司”、“大型数字平台”和“在线广告和微定位”深表关注。 是的,它再次注视着你、Facebook、亚马逊、谷歌和朋友。

3. 欧盟如何在欧盟之外推广 GDPR 标准

我们的数字经济是全球性的,因此 GDPR 的影响波及欧盟之外——而不仅仅是在合规方面。 欧盟正在为全球数据保护立法设定标准。 除了加利福尼亚的 CCPA,请参阅巴西的 LGPD,以及加拿大、澳大利亚、印度和一些美国州的发展。

当然,如果其他国家和贸易集团符合他们的标准,这符合欧盟的利益。 因此,它通过多种途径推广 GDPR

  • 通过与日本和韩国的“相互充分决策”
  • 嵌入双边贸易协定,例如与新西兰、澳大利亚、英国的双边贸易协定
  • 通过经合组织、东盟、G7 和 G20 等论坛
  • 通过其面向欧盟和国际监管机构的数据保护学院

它特别热衷于通过可信数据流来增强创新能力,并促进执法当局和私营运营商之间的国际合作。

欧盟在数据保护方面处于世界领先地位。 它走到哪里,其他人就会跟随。 因此,即使您不是为欧盟受众设计/开发,您也需要了解正在发生的事情。

这对欧盟的公司意味着什么?

在欧盟经营的公司需要遵守 GDPR或面临被罚款的风险。 正如我们所见,这些罚款可能相当高。 因此,您需要能够证明您遵守 GDPR 的 7 项原则以及您所在国家数据保护机构的具体指导。

然而,这并不像听起来那么简单,在某些情况下,您可能会选择评估您的风险。 下次我会给你举个例子。

这对欧盟以外的公司意味着什么?

如果欧盟以外的公司处理来自欧盟的个人数据,则其对欧盟国家的影响与对欧盟国家的影响完全相同。 这是因为 GDPR 适用于欧盟境内人员的个人数据。 如果你想处理它,例如卖给欧盟的客户,你必须遵守规则。 否则,您可能会像 Facebook 和 Google 一样被罚款。

执行方式如下:如果您在欧盟有业务,就像许多跨国公司一样,并且您不支付 GDPR 罚款,您的欧盟资产可能会被没收。 如果您没有在场,则根据 GDPR,您有义务在欧盟任命一名代表。 任何罚款将通过该代表征收。 或者,您可能会面临复杂而昂贵的国际诉讼

这对每个人来说都是复杂的:

如果您的客户群包括欧盟人民和其他地方的公民,例如加利福尼亚州,则您必须同时遵守加利福尼亚州消费者隐私法 (CCPA) 和 GDPR。 这些批次的立法通常是一致的——但它们并不匹配。

以饼干为例。 根据 GDPR,您必须先获得用户的主动同意,然后才能在他们的设备上放置 cookie,禁止您的网站运行所严格需要的那些。

但是,根据 CCPA,您必须披露您正在收集的数据,并允许您的客户拒绝您出售其数据的许可。 但他们不必主动同意你可以收集它。

这就是为什么欧盟正在推动制定国际标准以简化全球合规性。

注意如果你在美国并且急切地等待隐私盾的替代品,你可能想从微软的书中学习——他们和其他人已经表示他们将遵守 GDPR,而不是依赖任何双边机制来启用数据处理。

网页设计师和开发人员可以从 GDPR 中学到什么?

隐私法规将继续存在,它会影响我们所有的优先事项和工作流程。 在处理客户数据时,请记住以下六个教训:

  1. 我们必须冲刺以遵守 GDPR。 现在是马拉松。
    我们知道 GDPR 将随着其旨在监管的技术继续发展。 这意味着对我们的要求不会保持不变。 不仅如此,GDPR 还激发了世界各地类似但不相同的立法。 这些法律要求将不断发展。
  2. 合规建立竞争优势。
    虽然 GDPR 的第一笔重大罚款令人瞠目结舌,但实际上许多人认为最具破坏性的是负面宣传。 谁从大数据泄露中受益? 公司的竞争对手。 另一方面,如果您在加强设计和开发流程时嵌入 GDPR 合规性,您将能够更好地适应法规的发展。
  3. 以用户为中心的设计将 GDPR 合规性和更好的 COVID-19 结果联系起来。
    我们知道,已经开始数字化转型的公司能够更好地适应 COVID-19 危机。 以用户为中心的设计也支持 GDPR。 它具有构建产品所需的流程和客户关注点,这些产品符合客户数据宝贵且必须受到保护的理念。 这将使您的产品更容易根据未来的法规进行改进。
  4. 您可以在您的数字产品中建立合规性。
    隐私设计将继续存在。 如果您已经使用服务设计,您可以将客户信息作为数据层包含在您的服务蓝图中。 如果你不这样做,现在是开始的好时机。 数据收集、处理和存储位置的映射突出了可能发生潜在违规行为的薄弱环节。 自动化合规工具将有助于减轻公司的负担,并且有可能使数据处理更加安全。
  5. GDPR 支持创新——如果你做得对的话。
    一些人警告说,GDPR 通过限制数据流动,尤其是阻止公司利用数据进行创新,正在扼杀创新。 其他人则指出了以安全且数据受到保护的方式利用区块链、物联网和人工智能进行创新的机会。 真相? 是的,当然,您可以创新并符合 GDPR。 但人工智能的道德规范至关重要:您必须尊重您的客户及其数据。
  6. 密切关注您的第三方合作伙伴。
    这可以追溯到上面的联合控制器决策。 公司现在与处理客户数据的任何第三方分担责任,并且必须记录处理。 从现在开始,您可以期望第三方检查、监控和合同义务成为公司的优先事项。

以下是 GDPR 的发展方式

呸。 这需要考虑很多。但展望未来,我打赌我们会看到变化。

  1. GDPR 将继续发展,明确来自测试案例和可能的进一步立法,包括电子隐私条例。
  2. 欧盟将继续推动数据隐私法的国际采用。 我们将看到更多国家接受数据保护,这通常会融入贸易和安全协议中。
  3. 如果幸运的话,我们可能会开始看到数据隐私立法的国际趋同——尤其是如果美国在联邦层面实施数据隐私。
  4. 但我们也会看到欧盟和美国之间的更多冲突,因为它们在隐私方面的做法截然相反。
  5. 由于“数据是新的石油”,我们可以看到更多用户通过 cookie 赠送数据来获得免费产品和服务的情况。
  6. 企业将从第三方 cookie转向服务器端跟踪和自动化,以保持合规性。
  7. 企业将采用隐私设计(PdB) 和服务设计工具和流程,以帮助他们遵守多套隐私法。
  8. 最后——这是肯定的——我们会看到越来越多的隐私诉讼。 谁将成为赢家——大型科技公司或隐私倡导者? 我不知道,但我们可以肯定一件事:隐私律师会赚很多钱。

关于信任的最后一句话

支持欧盟委员会沟通和行业专家评论的主题是信任。 像我们这样的数字机构现在需要提供数据安全和 GDPR 合规性的证据——甚至包括数据保护的员工培训政策。 那是新的。 欧盟的首要任务是支持欧盟内外的安全、可靠的数据流和创新。 符合标准是他们的解决方案。 作为设计师和开发人员,我们可以发挥至关重要的作用。

  • 第 1 部分:GDPR、关键更新及其含义
  • 第 2 部分:设计师和开发人员的 Cookie 同意

延伸阅读

  • 数据保护,欧盟网站
  • 英国 ICO 关于 Cookie 的指南
  • GDPR Enforcement Tracker,记录根据 GDPR 应用的罚款
  • GDPR 清单,由 Cyber​​-Duck 提供(一个很好的起点)
  • 美国数据保护法概述,ICLG
  • GDPR 和 CCPA 比较指南,DataGuidance 和隐私论坛的未来
  • CCPA vs CPRA,来自 IAPP
  • 安全设计(亚马逊)
  • 如何通过设计框架保护您的用户,Heather Burns,Smashing Magazine