2021 年 GDPR 狀況:關鍵更新及其含義

已發表: 2022-03-10
快速總結 ↬作為數字從業者,GDPR 影響了我們職業和個人生活的方方面面。 無論您沉迷於 Instagram、在 WhatsApp 上向家人發送消息、從 Etsy 購買產品或 Google 信息,沒有人能逃脫 2018 年引入的規則。

歐盟的指令幾乎影響了每一位數字專業人士,因為產品和服務的設計都考慮到了 GDPR,無論您是威斯康星州的網頁設計公司還是馬耳他的營銷人員。 GDPR 的深遠影響不僅僅影響數據的處理方式、產品的構建方式以及數據在組織內部和組織之間的安全傳輸方式。 它定義了歐洲和美國之間的國際數據傳輸協議。

凱文凱利是世界上最聰明的數字未來學家之一,他聲稱“技術與自然一樣強大”。 他的意思是,用戶數據和信息技術正在引發自語言發明以來人類歷史上最深刻的時期之一。 看看政府和科技跨國公司努力控制互聯網時正在發生的事情。

僅在上週,隨著澳大利亞政府開始強制平台所有者向發布商支付在其平台上共享的內容的費用,Facebook 決定在澳大利亞政府的巨大騷動下阻止向澳大利亞用戶發送新聞。

這是政府和技術交匯處之前的爭議(美國國會大廈暴動的組織、劍橋分析公司醜聞)的補充。

在本文中,我們將了解 GDPR 自 2018 年以來的演變情況。我們將介紹來自歐盟的一些更新、一些關鍵的發展以及 GDPR 可能演變的地方。 作為設計師和開發人員,我們將探討這對我們意味著什麼。 我們將看看這對歐盟內外的公司意味著什麼。

在下一篇文章中,我們將重點關注 cookie 同意和營銷人員嚴重依賴 Google Analytics cookie 數據但需要遵守法規的悖論。 然後我們將深入研究第一方廣告跟踪,因為我們開始看到遠離第三方 cookie。

  • 第 1 部分:GDPR、關鍵更新及其含義
  • 第 2 部分:設計師和開發人員的 Cookie 同意

GDPR 快速回顧

讓我們首先提醒自己什麼是 GDPR。 GDPR 於 2018 年 5 月 25 日在歐盟內成為法律。它基於 7 個關鍵原則:

  1. 合法、公平、透明
    您必須處理數據,以便人們了解您在處理他們的數據的內容、方式和原因。
  2. 目的限制
    您只應出於明確、指定和合法的目的收集數據。 然後,您不能以與您的原始目的不兼容的方式處理它。
  3. 數據最小化
    您應該只收集您需要的數據。
  4. 準確性
    您的數據必須準確並保持最新。 不准確的數據應該被刪除或更正。
  5. 存儲限制
    如果數據可以與個人相關聯,則您只能在需要執行您指定的目的時保留它。 (科學、統計或歷史研究使用的注意事項。)
  6. 完整性和保密性(即安全性)
    您必須確保您持有的個人數據得到安全處理。 您必須保護它免受未經授權或非法的處理以及意外丟失、破壞或損壞。
  7. 問責制
    您現在對您持有的數據負責,並且應該能夠證明您遵守 GDPR。
顯示 GDPR 七項原則的圖表:合法性、完整性、存儲和目的限制、數據最小化和準確性以及問責制 - 覆蓋透明度、隱私和控制
GDPR 的原則基於透明度、隱私和用戶控制。 (圖片來源:Cyber​​-Duck)(大預覽)

一些定義

  • 歐盟法院
    歐盟法院。 該法院的裁決闡明了 GDPR 等歐盟法律。
  • DPA
    國家數據保護機構。 每個歐盟國家都有一個。 這些機構在國家層面執行 GDPR 並處以罰款。 英國的同等機構是信息專員辦公室 (ICO)。 在美國,GDPR 風格的數據隱私在很大程度上由每個州立法。
  • 歐盟委員會
    歐盟的行政部門(本質上是歐盟的公務員)。 歐盟委員會起草了包括 GDPR 在內的立法。
  • GDPR
    2018 年通用數據保護條例。

歐盟的主要更新

GDPR 自 2018 年 5 月以來一直沒有停滯不前。以下是自它生效以來發生的事情的快速概覽。

歐盟及其成員國如何實施 GDPR?

歐盟委員會報告稱,GDPR 幾乎在整個歐盟範圍內得到全面實施,儘管一些國家——它的名字叫斯洛文尼亞——拖了後腿。 但是,實施的深度各不相同。 歐盟還表示,它認為其成員國正在公平地使用他們的新權力。

然而,它也表達了對一些分歧和分裂正在蔓延的擔憂。GDPR 只有在成員國保持一致的情況下才能在歐盟單一市場上有效運作。 如果法律出現分歧,就會使水渾濁。

歐盟希望 GDPR 如何發展?

我們知道歐盟希望個人更容易根據 GDPR 行使其權利。 這意味著跨境合作和集體訴訟。 它希望為銀行和電信以外的消費者提供數據可移植性。

它還希望讓中小型企業 ( SME ) 更容易遵守 GDPR。 這可能會以額外支持和工具的形式出現,例如更標準的合同條款——本質上是模板化的法律術語,中小企業可以復制/粘貼到合同中——因為歐盟並不熱衷於為他們改變規則。

大發展#1:“聯合控制者”出人意料的廣泛定義

對,這是自 GDPR 成為法律以來的第一個重大變化。 在涉及 Facebook 的兩個測試案例中,歐盟法院對“聯合控制人”的定義比預期的要廣泛得多。

當兩個或多個控制者都有責任滿足 GDPR 的條款時,就會出現聯合控制者的情況。 (這是 ICO 關於聯合控制器的一個很好的解釋。)本質上:

  • 當您處理客戶數據時,您需要與負責管理每個步驟的聯合控制者共同決定您是否符合 GDPR。
  • 但是,你們所有人都有責任確保整個過程合規。 你們每個人都對處理任何投訴的國家的數據保護機構負全部責任。
  • 個人可以對每個和所有聯合控制人提出投訴。
  • 您應對造成的任何損害負責——除非您能證明您與造成損害的事件無關。
  • 個人可以向任何联合控制人尋求賠償。 您也許可以從其他控制者那裡收回部分補償。

在第一起 Facebook 案件中,歐洲法院確認,運營 Facebook 粉絲頁面的公司與 Facebook 一起被視為聯合控制人。 第二,歐洲法院還確認,一家在其網站上嵌入 Facebook Like 按鈕的公司與該社交網絡具有聯合控制者身份。

這些案例在隱私社區引發了衝擊波,因為本質上它使社交出版商、網站運營商和粉絲頁面版主與 Facebook 等平台一起負責用戶數據。

不過,歐盟法院也明確指出,責任共擔不等於責任平等。 在這兩種情況下,責任主要由 Facebook 承擔——只有 Facebook 可以訪問數據,只有 Facebook 可以刪除它。 因此,這一決定的影響可能沒有起初聽起來那麼嚴重——但它仍然至關重要。

這可能就是為什麼某些網站(例如德國 2020 年歐盟輪值主席國網站)默認阻止嵌入式社交內容的原因,除非您明確選擇加入:

eu2020.de 的屏幕截圖顯示社交信息流內容被阻止,直到第三方跟踪被打開
默認情況下,一些網站開始阻止嵌入式社交提要出現在其網站上,從而為用戶提供選擇加入跟踪的選擇。 (大預覽)

大發展#2:再見隱私盾,你好 CPRA

第二個重大變化更容易預測: Privacy Shield是一種讓美國企業更容易處理歐洲客戶數據的機制,已被法院駁回。

這就是為什麼。

歐盟希望保護其公民的個人數據。 然而,它也希望鼓勵國際貿易,以及安全等領域的跨境合作。

歐盟認為自己——完全正確——是數據保護的先驅。 因此,它正在利用其政治力量鼓勵希望與歐盟進行貿易的國家符合其數據隱私標準。

進入美國。 歐洲和美國圍繞數據隱私的哲學是截然相反的。 (本質上,歐洲的觀點是,除非您明確許可,否則個人數據是私有的。美國的觀點是,除非您明確要求將其保密,否則您的數據是公開的。)但作為世界上最大的兩個消費市場,他們需要貿易。 因此,歐盟和美國開發了隱私護盾。

Privacy Shield旨在使美國公司能夠處理歐盟公民的數據,只要這些公司簽署了更高的隱私標準。

但根據美國法律,美國政府仍然可以監控這些數據。 這在奧地利隱私權倡導者 Max Schrems 提起的案件中受到挑戰。 CJEU 支持他:Privacy Shield 被取消,使用 Privacy Shield 的 5,300 家美國中小企業別無選擇,只能採用歐盟規定的標準合同條款。

顯然,更換隱私盾符合每個人的利益——而且會。 但專家表示,由於歐洲和美國在隱私方面的做法本質上是不相容的,因此它的替代品可能會在適當的時候再次被取消。

同時,在加利福尼亞州,2020 年 11 月通過《加利福尼亞隱私權法》(CPRA) 時,2018 年受 GDPR 啟發的《加利福尼亞消費者隱私法》(CCPA) 得到了加強。

加州消費者隱私法 (CCPA)

CCPA 於 2020 年 1 月生效,賦予加州公民選擇不出售其數據的權利。 他們還可以要求披露收集到的任何數據,並要求刪除這些數據。 與 GDPR 不同,CCPA 僅適用於商業公司:

  • 誰每年處理超過 50,000 名加州居民的數據,或者
  • 年總收入超過 25 美元的人,或
  • 誰通過出售加州居民的個人數據賺取了一半以上的年收入

加州隱私權法案 (CPRA)

CPRA 於 2023 年 1 月生效,超越了 CCPA 。 其要點包括:

  • 它提高了每年處理 100,000 名加州居民數據的公司的門檻
  • 它為加州人的敏感數據提供了更多保護,例如他們的種族、宗教、性取向、健康數據和政府 ID
  • 違反未成年人數據的罰款增加三倍
  • 它賦予加州人要求更正其數據的權利
  • 它要求公司幫助進行 CPRA 調查
  • 它建立了一個加州隱私保護機構來執行 CPRA
CPRA 總結圖
加州將於 2023 年通過 CPRA 收緊隱私立法。(大預覽)

其他州正在進一步推動隱私法,這些可能會加強在拜登新政府下採取聯邦隱私措施的必要性。

大發展#3:Cookie 同意

2020 年 5 月,歐盟更新了其 GDPR 指南以澄清幾點,包括 cookie 同意的兩個關鍵點:

  • Cookie 牆不會為用戶提供真正的選擇,因為如果您拒絕 Cookie,您將無法訪問內容。 它確認不應使用 cookie 牆。
  • 滾動或滑動瀏覽網頁內容並不等同於默示同意。 歐盟重申同意必須是明確的。

我將在下週的第二篇文章中對此進行深入探討。

Cyber​​-Duck cookie 通知,默認開啟廣告跟踪
歐盟已更新其關於 cookie 同意的指南。 (大預覽)

大發展#4:谷歌和蘋果開始從第三方跟踪轉向

隨著大型數字公司弄清楚如何滿足 GDPR 以及如何將隱私立法轉化為他們的優勢,一些公司已經受到了抨擊。

在廣告技術公司和出版商投訴之後,谷歌和蘋果都面臨著反壟斷訴訟

在這兩種情況下,投訴人都表示大型科技公司正在利用其主導市場地位。

再次,下次更多。

跳躍後更多! 繼續往下看↓

大發展#5:大 GDPR 罰款以這種方式出現

當然,許多組織都開始遵守 GDPR,因為他們擔心監管機構可能會對其處以罰款。 這些罰款已經開始滾滾而來:

法國數據監管機構對谷歌處以 5000 萬歐元的罰款,理由是“在廣告個性化方面缺乏透明度、信息不足和缺乏有效同意”,稱用戶“沒有充分了解”谷歌如何以及為何收集他們的數據。

其在英國的同等機構 ICO 因未能保護 3.39 億客人記錄的安全而對美國酒店集團萬豪國際公司處以 1840 萬英鎊的罰款。 萬豪於 2016 年收購的喜達屋酒店及度假村全球公司在 2014 年遭到網絡攻擊,直到 2018 年才被發現。

英國的 ICO 還因 2018 年 400,000 名客戶個人和信用卡數據的數據洩露,對英國航空公司處以創紀錄的 2000 萬英鎊罰款。

然後是我個人最喜歡的一個,H&M 令人震驚地違反了員工信任,導致了 3500 萬歐元的罰款。

這就是我們今天的立場。

這對你意味著什麼?

作為設計師和開發人員,GDPR 已經並將繼續對我們設計和構建的產品以及我們為數據設計的方式產生重大影響。

這是我們作為設計師應該知道的

  • GDPR 對您至關重要,因為您將設計用戶共享數據的點、收集哪些數據以及如何處理這些數據。
  • 遵循隱私設計最佳實踐。 不要試圖重新發明輪子——如果您創建了一個兼容的 cookie 橫幅,請使用您經過驗證的設計模式。
  • 與您的合規和開發團隊合作,確保設計符合 GDPR 並可以實施。 只詢問您需要的數據。
  • 最後,詢問您的用戶他們願意分享哪些數據,以及他們希望您如何使用這些數據。 如果他們覺得這令人毛骨悚然,請重新審視您的方法。

這是我們作為開發人員應該知道的

  • GDPR 對您至關重要,因為您支持數據處理、共享和集成。
  • 作為 GDPR 的一般規則,採用需要訪問的方法。 從實現一切無權訪問開始,然後僅在必要時讓您的團隊訪問數據(例如,讓開發人員訪問 Google Analytics 控制台)。 隨時審計和記錄。
  • 遵循設計的隱私和設計原則的安全。 用於實施基礎設施的強大、安全的模板是關鍵。
  • 確保您提前參與了技術方面的工作,例如 cookie 同意/跟踪對話,以便可以實施所決定的內容。
  • 流程映射顯示了與業務的不同部分共享數據的位置。
  • 自動化提供安全的數據處理,減少人為錯誤。 它還有助於防止錯誤的人訪問數據。
  • GDPR 清單和運行手冊將幫助您管理流程。 再次,隨時審計和記錄。

現在讓我們看看 GDPR 在不久的將來會如何演變。 我們將重點關註三個領域。

GDPR 迅速發展的三個領域

1. 歐盟如何實施 GDPR

首先,讓我們看看 GDPR 將如何進一步融入立法環境。

歐盟希望其成員國保持一致,因為這將使跨境訴訟和國際合作更容易。 因此,它強化了各國不應偏離或超越 GDPR。 正如我所說,一些成員國對這項規定只言片語。 其他人則希望超過 GDPR 的標準。

作為他們一致的回報,歐盟將強制執行合規,努力實現集體訴訟和更便宜的跨境訴訟,並在歐盟以外促進隱私和一致的標準。 除了為中小企業提供額外的支持和工具外,我們還可能會看到設計上的安全和數據保護認證。

最後,這可能會引起矽谷的一些關注:歐盟暗示它可能會考慮禁止數據處理以鼓勵合規。 5000 萬歐元的罰款對 Google 和朋友來說並不是世界末日。 但是在頑皮的步驟上超時——以及由此產生的糟糕的公關——是完全不同的事情。

2. GDPR 如何與創新協同工作

GDPR 旨在實現技術中立,支持而非阻礙創新。 這在過去 12 個月中肯定已經過測試,歐盟指出COVID-19 應用程序的快速推出證明其立法有效。

我們可以期待看到敏感數據類別(健康和科學研究)的行為準則。 這些都會受到歡迎。

然而,他們正在密切關注創新者。 歐盟對視頻、物聯網設備和區塊鏈中的數據隱私表示擔憂。 他們特別關注面部(可能還有語音)識別和人工智能的發展。

最值得注意的是,委員會對其所謂的“跨國科技公司”、“大型數字平台”和“在線廣告和微定位”深表關注。 是的,它再次注視著你、Facebook、亞馬遜、谷歌和朋友。

3. 歐盟如何在歐盟之外推廣 GDPR 標準

我們的數字經濟是全球性的,因此 GDPR 的影響波及歐盟之外——而不僅僅是在合規方面。 歐盟正在為全球數據保護立法設定標準。 除了加利福尼亞的 CCPA,請參閱巴西的 LGPD,以及加拿大、澳大利亞、印度和一些美國州的發展。

當然,如果其他國家和貿易集團符合他們的標準,這符合歐盟的利益。 因此,它通過多種途徑推廣 GDPR

  • 通過與日本和韓國的“相互充分決策”
  • 嵌入雙邊貿易協定,例如與新西蘭、澳大利亞、英國的雙邊貿易協定
  • 通過經合組織、東盟、G7 和 G20 等論壇
  • 通過其面向歐盟和國際監管機構的數據保護學院

它特別熱衷於通過可信數據流來增強創新能力,並促進執法當局和私營運營商之間的國際合作。

歐盟在數據保護方面處於世界領先地位。 它走到哪裡,其他人就會跟隨。 因此,即使您不是為歐盟受眾設計/開發,您也需要了解正在發生的事情。

這對歐盟的公司意味著什麼?

在歐盟經營的公司需要遵守 GDPR或面臨被罰款的風險。 正如我們所見,這些罰款可能相當高。 因此,您需要能夠證明您遵守 GDPR 的 7 項原則以及您所在國家數據保護機構的具體指導。

然而,這並不像聽起來那麼簡單,在某些情況下,您可能會選擇評估您的風險。 下次我會給你舉個例子。

這對歐盟以外的公司意味著什麼?

如果歐盟以外的公司處理來自歐盟的個人數據,則其對歐盟國家的影響與對歐盟國家的影響完全相同。 這是因為 GDPR 適用於歐盟境內人員的個人數據。 如果你想處理它,例如賣給歐盟的客戶,你必須遵守規則。 否則,您可能會像 Facebook 和 Google 一樣被罰款。

執行方式如下:如果您在歐盟有業務,就像許多跨國公司一樣,並且您不支付 GDPR 罰款,您的歐盟資產可能會被沒收。 如果您沒有在場,則根據 GDPR,您有義務在歐盟任命一名代表。 任何罰款將通過該代表徵收。 或者,您可能會面臨複雜而昂貴的國際訴訟

這對每個人來說都是複雜的:

如果您的客戶群包括歐盟人民和其他地方的公民,例如加利福尼亞州,則您必須同時遵守加利福尼亞州消費者隱私法 (CCPA) 和 GDPR。 這些批次的立法通常是一致的——但它們並不匹配。

以餅乾為例。 根據 GDPR,您必須先獲得用戶的主動同意,然後才能在他們的設備上放置 cookie,禁止您的網站運行所嚴格需要的那些。

但是,根據 CCPA,您必須披露您正在收集的數據,並允許您的客戶拒絕您出售其數據的許可。 但他們不必主動同意你可以收集它。

這就是為什麼歐盟正在推動制定國際標準以簡化全球合規性。

注意如果你在美國並且急切地等待隱私盾的替代品,你可能想從微軟的書中學習——他們和其他人已經表示他們將遵守 GDPR,而不是依賴任何雙邊機制來啟用數據處理。

網頁設計師和開發人員可以從 GDPR 中學到什麼?

隱私法規將繼續存在,它會影響我們所有的優先事項和工作流程。 在處理客戶數據時,請記住以下六個教訓:

  1. 我們必須衝刺以遵守 GDPR。 現在是馬拉松。
    我們知道 GDPR 將隨著其旨在監管的技術繼續發展。 這意味著對我們的要求不會保持不變。 不僅如此,GDPR 還激發了世界各地類似但不相同的立法。 這些法律要求將不斷發展。
  2. 合規建立競爭優勢。
    雖然 GDPR 的第一筆重大罰款令人瞠目結舌,但實際上許多人認為最具破壞性的是負面宣傳。 誰從大數據洩露中受益? 公司的競爭對手。 另一方面,如果您在加強設計和開發流程時嵌入 GDPR 合規性,您將能夠更好地適應法規的發展。
  3. 以用戶為中心的設計將 GDPR 合規性和更好的 COVID-19 結果聯繫起來。
    我們知道,已經開始數字化轉型的公司能夠更好地適應 COVID-19 危機。 以用戶為中心的設計也支持 GDPR。 它具有構建產品所需的流程和客戶關注點,這些產品符合客戶數據寶貴且必須受到保護的理念。 這將使您的產品更容易根據未來的法規進行改進。
  4. 您可以在您的數字產品中建立合規性。
    隱私設計將繼續存在。 如果您已經使用服務設計,您可以將客戶信息作為數據層包含在您的服務藍圖中。 如果你不這樣做,現在是開始的好時機。 數據收集、處理和存儲位置的映射突出了可能發生潛在違規行為的薄弱環節。 自動化合規工具將有助於減輕公司的負擔,並且有可能使數據處理更加安全。
  5. GDPR 支持創新——如果你做得對的話。
    一些人警告說,GDPR 通過限制數據流動,尤其是阻止公司利用數據進行創新,正在扼殺創新。 其他人則指出了以安全且數據受到保護的方式利用區塊鏈、物聯網和人工智能進行創新的機會。 真相? 是的,當然,您可以創新並符合 GDPR。 但人工智能的道德規範至關重要:您必須尊重您的客戶及其數據。
  6. 密切關注您的第三方合作夥伴。
    這可以追溯到上面的聯合控制器決策。 公司現在與處理客戶數據的任何第三方分擔責任,並且必須記錄處理。 從現在開始,您可以期望第三方檢查、監控和合同義務成為公司的優先事項。

以下是 GDPR 的發展方式

呸。 這需要考慮很多。但展望未來,我打賭我們會看到變化。

  1. GDPR 將繼續發展,明確來自測試案例和可能的進一步立法,包括電子隱私條例。
  2. 歐盟將繼續推動數據隱私法的國際採用。 我們將看到更多國家接受數據保護,這通常會融入貿易和安全協議中。
  3. 如果幸運的話,我們可能會開始看到數據隱私立法的國際趨同——尤其是如果美國在聯邦層面實施數據隱私。
  4. 但我們也會看到歐盟和美國之間的更多衝突,因為它們在隱私方面的做法截然相反。
  5. 由於“數據是新的石油”,我們可以看到更多用戶通過 cookie 贈送數據來獲得免費產品和服務的情況。
  6. 企業將從第三方 cookie轉向服務器端跟踪和自動化,以保持合規性。
  7. 企業將採用隱私設計(PdB) 和服務設計工具和流程,以幫助他們遵守多套隱私法。
  8. 最後——這是肯定的——我們會看到越來越多的隱私訴訟。 誰將成為贏家——大型科技公司或隱私倡導者? 我不知道,但我們可以肯定一件事:隱私律師會賺很多錢。

關於信任的最後一句話

支持歐盟委員會溝通和行業專家評論的主題是信任。 像我們這樣的數字機構現在需要提供數據安全和 GDPR 合規性的證據——甚至包括數據保護的員工培訓政策。 那是新的。 歐盟的首要任務是支持歐盟內外的安全、可靠的數據流和創新。 符合標準是他們的解決方案。 作為設計師和開發人員,我們可以發揮至關重要的作用。

  • 第 1 部分:GDPR、關鍵更新及其含義
  • 第 2 部分:設計師和開發人員的 Cookie 同意

延伸閱讀

  • 數據保護,歐盟網站
  • 英國 ICO 關於 Cookie 的指南
  • GDPR Enforcement Tracker,記錄根據 GDPR 應用的罰款
  • GDPR 清單,由 Cyber​​-Duck 提供(一個很好的起點)
  • 美國數據保護法概述,ICLG
  • GDPR 和 CCPA 比較指南,DataGuidance 和隱私論壇的未來
  • CCPA vs CPRA,來自 IAPP
  • 安全設計(亞馬遜)
  • 如何通過設計框架保護您的用戶,Heather Burns,Smashing Magazine