GDPR 合规

2018 年 5 月 25 日，欧盟通用数据保护条例（GDPR，General Data Protection Regulation ）正式生效，因其数据主体权利更大、适用范围之广、义务主体惩罚力度之大，被称为“史上最严数据保护条例”。

毫无疑问，GDPR 也会是中国企业，尤其是出海企业在进行数据收集、处理和交易时必须直面的重大法律监管。

违反该条例将会导致严重的法律后果：

• 对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%（两者中取数额大者）；

• 对于严重的违法，罚款上限是2000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）。

下文​将说明GDPR的核心内容和易观在合规方面的措施及对客户企业的建议。

GDPR 中的核心内容

保护对象

GDPR 保护的是个人数据（personal data）。

据 GDPR 第4条的规定，个人数据是指，与一个已被识别（identified）或者可被识别（identifiable）的自然人相关的任何信息；可被识别的自然人是指，其可以被直接或者间接识别，尤其是借助姓名、身份证号码、地理位置、在线标识等身份标识，或者通过与其身体、生理、基因、心理、经济或者社会身份相挂钩的一个或者多个因素。这里所指的个人数据仅限于有生命的自然人的个人数据，不包括死者、胎儿等。

同时，个人数据的保护不涉及匿名信息，或者经过匿名化处理以致于不再具有可识别性的个人数据。

权利主体

在 GDPR 中，享有数据权利的主体被称为数据主体（data subject），个人数据被拥有的自然人即为数据主体。数据主体须为欧盟居民，一般要求具有成员国国籍。通俗而言，数据主体主要是指网络用户。

义务主体

该条例的适用范围极为广泛，任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。比如，即使一个主体不属于欧盟成员国的公司（包括免费服务），只要满足下列两个条件之一：

1. 为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息；

2. 为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息，其就受到GDPR的管辖。

GDPR主要针对两类义务主体：

• 数据控制者（data controller）：指能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织

• 数据处理者（data processor）：是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织

也就是说GDPR赋予了欧盟在个人信息安全方面的域外管辖权，以下四类企业都会受到影响：

1. 设立在欧盟境内的企业（数据控制者、数据处理者）

2. 未在欧盟境内设立，但向欧盟境内的数据主体（自然人）提供产品和服务的企业（数据控制者、数据处理者）

3. 未在欧盟境内设立，但涉及监控欧盟境内数据主体（自然人）行为的企业（数据控制者、数据处理者）

4. 未在欧盟境内设立，但在欧洲成员国法律适用的地方设立的企业（数据控制者、数据处理者）

数据主体的权利

• 知情权

• 访问权

• 反对权

• 可携带权

• 纠正权

• 删除权/被遗忘权

• 限制处理权

• 免受数据画像影响

义务主体的义务

• 设置DPO（数据保护官）

• 文档化管理

• 数据保护影响评估

• 事先咨询机制

• 数据泄露报告机制

• 安全保障措施

• 遵守数据跨境转移规则

义务主体处理个人数据的基本原则

• 合法、正当、透明

• 处理数据的目的是有限的

• 仅处理为达到目的的最少数据

• 确保数据准确、及时更新

• 存储数据的期限不得长于为达到目的所需要的时间

• 采取技术和管理措施以保护数据的安全

• 数据控制者有责任并应能够证明做到了以上几点

GDPR第4条规定，对个人数据的处理包括：

• 收集，记录，整理，组织，存储

• 改编，调整，检索，查阅，利用

• 通过传输或者传播予以披露、提供

• 匹配，组合

• 限制，删除，摧毁

易观的合规方案

易观实际会有数据控制者和数据处理者的双重角色。

作为第三方数据分析服务提供商，我们也是数据处理者，为了协助我们的客户（也就是实际的数据控制者）保护数据安全和用户隐私，满足GPDR 的合规要求，规避潜在的法律风险，我们也同步升级了数据安全体系架构和服务，帮助客户识别并明确记录与处理欧盟数据主体的个人信息相关的一些活动来满足监管要求。

1 支持自定义数据采集范围，源头控制合规

易观方舟使用 Event-User 模型采集用户最细粒度的数据（什么人在什么时间什么地方通过什么方式做了什么操作），各个 SDK 的接口支持客户自定义所要采集的数据，比如不采集某些字段的数据，不采集某些用户的数据。

对于采集过程中，需要获取终端用户权限的部分，会有系统提示获得用户的知情权。

做为开发者，要明确数据采集的目标，为达到目的采集最少的数据。

以满足 GDPR 中数据处理以下原则：

• 处理数据的目的是有限的

• 仅处理为达到目的的最少数据

• 确保数据准确、及时更新

2 数据全生命周期处理过程记录，随时审计

易观方舟支持对数据进行实时的采集、接收、存储、处理、查询、应用，数据生命周期的各个环节均透明化，支持自定义数据存储时间、精确地了解所有数据层面的访问及操作请求，支持数据控制者进行审计追踪。

以满足 GDPR 中数据处理以下原则：

• 合法、正当、透明

• 确保数据准确、及时更新

• 存储数据的期限不得长于为达到目的所需要的时间

• 采取技术和管理措施以保护数据的安全

3 支持数据删除、更新，满足数据主体权利

易观方舟支持

• 通过 SDK 的 $profile_set API 更新用户的属性信息

• 通过服务的形式支持删除用户的行为数据

• 通过在产品中提供删除功能，支持自助删除基于个人数据衍生出的其他形式的数据，比如数据报表、用户画像等

以满足GDPR中数据主体的以下权利

• 纠正权

• 删除权/被遗忘权

• 限制处理权

• 免受数据画像影响

4 建议措施

（1）完善隐私政策

若您的应用还没有隐私政策，强烈建议撰写一份，作为满足 GDPR 规定的最基本的要求；

若您的应用已有隐私政策，建议您在其中加入 GDPR 所要求的标准条款。

（2）着手隐私设计（Privacy By Design）

在产品的设计过程中充分考虑隐私保护，保证公开、透明，以尊重用户的知情权、选择权等：

• 关于知情权和选择权

建议您以明确的方式询问用户，而不是默认用户授予开发者数据采集和使用的权利。

• 关于数据采集的反对权

• 关于数据的更新、删除权

行为相关数据，易观方舟配合支持；其他业务数据的删除权需要您自行满足。

• 关于被遗忘权

支持帐号注销等，需要您自行满足。

最后欢迎补充更多实践方案，在保护数据安全和用户隐私的道路上共同前进。