GDPR 的整体影响,以及消费者与企业态度
图片来源:https://pixabay.com/photo-3327745/
2017年,经济学人将个人数据比作数字时代的石油,是世界上最珍贵的资源之一,各国也日益重视数据的价值,对各自境内数据订下不同的使用规范,上周简单说明GDPR后,下面将带读者更进一步了解其运用。
2017,数据泄漏的一年 (2018-05-28)在Facebook和剑桥分析的数据泄漏事件曝光前,2017年就已陆续爆出多起知名企业泄漏消费者个人数据的大新闻。
包括Yahoo承认早前的数据泄漏事件受害用户达30亿人、美国电信龙头Verizon泄漏全球600万用户个人数据、叫车服务Uber也认了曾为5,700万笔乘客与驾驶个人数据付赎金;此外,多位好莱坞明星的IG账号遭骇,私人信箱与电话外流…
根据美国身份窃盗资源中心(Identity Theft Resource Center, ITRC)的报告,2017年公布的数据泄漏事件多达1,253起,超过2016年的1,093起。
随着灾情加剧,民众的安全意识日益提高。欧盟祭出号称最严格个人数据法GDPR,本篇专题将介绍GDPR的整体影响,以及消费者与企业对此抱持的态度。
20年来欧盟最严格的个人数据保护法规:GDPR
号称20年来最严格的GDPR和过往欧盟地区的个人数据保护法规相较,究竟什么改变了?
?个人数据的新定义:
所有属于个人或可用以便是特定个人的数据(包含位置信息、计算机IP地址);宗教、 种族、性取向等敏感信息须受到额外保护。
?欧盟居民更多权利:
有权知道个人数据收集与其用途;有权获得被企业收集的数据并要求删除或更正;有权将数据从某服务提供商转移到另一厂商。
?罚金提高:
企业全球年营收的2-4%或2,000万欧元,取较高者。
?同意条款要求更严:
企业必须获得消费者自由、明确、已知情况下的许可,才能收集并处理其数据,目前常见和其他服务条款捆绑成一包的形式不符合规定。
?影响遍及全球:
各国公司凡有顾客在欧盟境内即适用。
?数据处理方的限制:
受数据控管方(controllers)委托处理数据的数据处理方(processors)亦受法规限制;未经控制方同意,处理方不得外流相关数据。
?数据使用:
合法、透明、公平,企业为达到某目的收集的数据不得用于其他用途。
?数据泄漏通报:
若数据泄漏,企业察觉的72小时内须通报主管机关。
归纳GDPR引起广泛关注主要有三大原因:
1、只要企业收集或处理数据的对象身在欧盟地区,就适用GDPR。
2、企业在做市场调查时获得的消费者个人数据,受到GDPR保护。
3、过去罚款仅具象征意义,未来违反GDPR的企业将付出高额代价。
欧盟境外组织,也可能受冲击
在欧盟境内处理当地居民个人数据或监控欧盟居民行为的所有组织。
成立在欧盟的组织,不管数据处理是否发生在欧盟境内。
成立在欧盟境外、但处理欧盟居民个人数据的组织,包括对欧盟提供服务或商品者。
何种情况适用GDPR?
(不需)德国居民利用Google搜寻找到一篇为美国消费者所撰写英语文章。
(适用)德国居民利用Google搜寻找到一篇以德语撰写,并提到德国客户或用户的文章。
科技巨头积极准备迎接GDPR
GDPR保护与特定个人有关的所有信息:
?个人身份与生物特征数据,含电话、地址、车牌、健康数据、脸部辨识、指纹、虹膜扫描、相片、影片、电邮内容、问卷调查。
?在线定位数据,如cookie、IP位置、移动装置ID、社群活动纪录。
GDPR生效,首当其冲的是拥有大量用户数据的科技大厂,尤其数字广告龙头Facebook、Google。他们的使用者和商业伙伴遍布欧盟,生意高度依赖用户数据,是被监管单位紧盯的对象,该如何做好准备?
改善产品设计、调整推出时程与地点:
Amazon强化云端保存的数据加密技术。Facebook决定不在欧洲上线一个透过健康数据与AI来监测该用户是否有自杀倾向的服务,也暂缓在当地发布脸部 识别软件。
重申用户对其个人数据的权利:
Google已开始让消费者在讯息控制中心中随时查看、管理、自由选择是否要向旗下各产品分享数据。Facebook、Yahoo也对会员发出新的隐私条款声明,Facebook用户能够选择让谁看到他的贴文、愿意接受哪类广告,但在与广告商分享数据的部分,用户只能选择同意或是管理数据设定,不能拒绝。未来Amazon仍可能透过消费数据向用户推荐产品,但用户可以选择拒绝这项功能。
4成企业坐等,新创StreetLend不玩了
欧盟境外的企业须仔细检视自家的在线营销活动,特别是饭店业、旅游业、软件服务、电商公司;而有针对欧洲市场制作在地化网络内容的商家,也应该审查网站营运。
根据eMarketer,北美IT专业人员只有6%认为公司已充份准备好迎接GDPR,近四成则是刚刚开始甚至尚未开始准备。
相较Facebook、Google等大企业,一般公司面对GDPR则显得信心不足,主因是大企业有更多资源及更强大的法律团队。一份调查显示,员工数小于500的企业为自己的GDPR准备工作评分仅2.97,大于500人的企业平均3.13分。
共享新创公司StreetLend就因为担心被罚而停止服务,这个网站和Amazon合作,在用户搜寻想租借的商品时,同时列出Amazon上的商品,若用户选择购买,平台即可和Amazon拆帐。
为了不踩GDPR红线,微软建议企业采取四步骤:
1、清查企业拥有的个人数据及所在位置, 评估是否受GDPR影响。
2、改善对个人数据的存取、管理和使用方式。
3、以更进阶的技术保护个人数据。
4、保存个人数据处理纪录,向大众揭露企业如何保护和使用个人数据。
寄确认信给取消订阅的消费者,3品牌受重罚
未从头一步步检视企业拥有的数据,就急着与消费者沟通,企图获得个人数据使用的正当性,可能反会弄巧成拙。英国信息委员会办公室(ICO)2016年报告的三起事件皆涉及知名品牌,而他们都只 做了一件事:寄email给客户。
英国廉航Flybe寄信给其数据库中的330万人,询问“您的信息是否正确”,但这330万人过去选择不接受/取消订阅营销信件,Flybe并未取得主动和消费者联系的许可,为此被罚7万英镑。Honda Motor Europe写信给近29万订户,询问“您愿意收到来自Honda的讯息吗”,以得知他们是否愿意收到接下来的营销电子邮件,但这封信也不慎发给了先前已选择拒绝的消费者,罚金1万3,000英镑。连锁超市Morrisons重新上线“Match & More”客户忠诚计划,为了鼓励更多消费者享用优惠,Morrisons寄信给数据库中的23万人,提醒他们更新账户偏好,然而其中 13万人过去已取消订阅来自Morrisons的讯息,因此Morrisons被罚了1万500英镑。
未来GDPR上路后对个人数据的认定更广、对同意条款的要求更严,并强调消费者应该有“被忘记的权利”,当消费者明确拒绝再收到营销讯息时,别再尝试寄信给他。Morrisons的违规事件由消费者主动检举,显示大众对保护个人数据的重视及行动力都在提高。
英国仅35%网络用户听说过GDPR,未成为公众话题
GDPR立意是把对个人数据的所有权利还给消费者,将其重要性置于科技、商业发展与便利性之上,但消费者如何看待GDPR?
根据Kantar TNS的调查,在2018年1月,英国消费者对于GDPR的认知度只有35%。而其他针对法国、德国等欧盟国家所做的调查,则有至少六成网络用户听过GDPR,知道它是与个人数据保护相关的法令。
Kantar TNS也监测了2017全年网络上对于GDPR的讨论,包括社群、部落格、讨论区,发现GDPR的网络声量极小,主要仍是专业人员间的讨论,并未成为一个公众的话题。
eMarketer深入分析消费者对于GDPR和个人数据收集抱持的心态,虽然调查显示,七成左右的消费者回答“企业不应该收集我的个人数据”,但这背后的意义并非是不喜欢透过数据提供更好的服务, 而是担忧数据滥用、数据泄漏、身份盗窃等情况。
四分之三消费者认为“企业不应该未经允许联系我”、“如果可以选择我不会分享个人数据”,反映的则是消费者对于个人数据掌控权的重视。
此外,eMarketer以广告拦截系统为例,近三年开始受到关注的广告拦截其实早在2006年就已出现,点出大众即使重视个人数据保护,未必会很快采取更改隐私设定、撤回数据分享等实际行动。
品牌应聚焦关键数据
这几年品牌高度依赖消费者行为数据来执行数字广告、规划营销活动,应特别注意数据收集、利用过程中的瑕疵,例如首先必须更改隐私条款与服务条款捆绑的情况,列出明确的同意/拒绝/撤回个人数据收集选项,将权利还给消费者。
营销人员主要应关注的三个面向如下:
?DATA PERMISSION 数据许可:
消费者或合作伙伴必须手动确认同意他们未来想持续被你联系,你不能预设勾选同意,同意数据收集必须是有意的选择。
?DATA ACCESS 数据访问:
营销人员有义务确保你的消费者能够轻易访问他被你收集的数据, 并撤回数据收集或使用的许可, 例如取消订阅电子报。
?DATA FOCUS 数据聚焦:
聚焦在你真正需要的数据,不要借机“多问一些”其实你并不需要的信息,拥 有少量却关键的数据,也降低泄漏风险。
GDPR不仅带来限制,也带来机会,根据英国直效营销协会(DMA)的调查,三分之二受访者认为GDPR让他们更有信心和品牌分享数据,长期来看,主动提高数据使用标准的企业将建立在消费者心中的信赖和好感。
个人数据保护愈来愈严是全球趋势
欧盟法规向来是各国标竿,带有强烈重视人权的色彩,GDPR同样展现了个人数据保护趋严的前端思维,将凭借欧盟的全球影响力引领变革。其他国家可能陆续启动在地法规的调整,向GDPR靠拢,从和欧盟多生意往来的企业与地区逐渐扩散出去。
亚洲各国和地区都有自己的数据隐私条例,如在新加坡和菲律宾,任何私人企业的数据共享都需要消费者同意。中国最新“信息安全技术个人信息安全规范”树立的标准在很多方面都与GDPR齐肩甚至更加严格,但它并没有强制力,未来是否能影响法规与企业作为仍待时间检验。
美国战略与国际研究中心(CSIS)指出,欧洲、中国两大经济体在个人数据保护的观念和作法上日渐趋同,美国的数据政策则相对显得孤立、被动。
目前各国的数据政策存在的分歧,将对跨国数据流动、网络产业的跨境服务造成障碍与挑战,因此未来随着GDPR生效,可能会看到更加一致的亚洲标准甚至全球标准,但这还有很长的路要走。
结语
2017年,经济学人就将个人数据比作数字时代的石油,是世界上最珍贵的资源之一,因为数据改变了企业与顾客沟通的方式,并对消费者体验造成正面影响。各国日益重视数据的价值, 也对各自境内数据订下不同的使用规范。
网络打通全球市场,模糊了国界,GDPR虽然是欧盟法规,但影响范围遍及全球,不管是为 了在层出不穷的数据泄漏事件后挽回消费者信心,还是为了在做跨境生意时避免高额罚款, 愈来愈严格的个人数据保护与数据运用都是不可挡的趋势。
无论在欧盟境内或境外,仰赖数据的商业行为和营销活动不可能消失,品牌在收集个人数据时应 聚焦关键数据,提高使用数据的透明度,将选择与监管权归还消费者。虽然在初期需要投入 的成本并不小,但提早准备能帮助品牌化被动为主动,长期更能提高品牌形象。
评论