GDPR对邮件营销有什么影响

什么是GDPR？

通用数据保护条例GDPR (General Data Protection Regulation) 是一项新的欧盟条例，条例的主要内容可概括为增强数据监管力度，提高对欧盟公民的隐私保护，最大限度的降低企业滥用数据的问题。该条例于今年5月25日正式生效，取代了1995年颁布的《数据保护指令》(Data Protection Directive 95/46/EC)。

GDPR的四大转变

GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响，同时重塑欧盟的组织机构处理隐私和数据保护的方式。与之前数据保护指令（DPD）相比，GDPR主要有以下几个变化：

1、全球适用，一站式监管

GDPR要求在多个欧盟国家设有办事处的组织将有一个“核心的监督机构”作为执行的中心点，以一个点作为最高的监督执行机构，确保不会因地域不同引起纷争。同时GDPR还包含了一个新的要求，即在正式生效后，企业必须在得知个人数据泄露的72小时内通知其国家的监管当局，除非数据是匿名的或加密的。可能对个人造成伤害的违规行为，如身份盗窃或违反保密性，也必须向有关人员报告。也就是说全世界的公司，无论数据存储和处理地点在哪儿，即便业务范围不在欧盟境内，但只要公司有任何来自欧盟成员国的用户，就必须遵守GDPR。并且企业主成立地所在国家的监管机构将作为主导监管机构对企业的所有数据活动负有监管权力，其效力辐射于全欧境内。

2、数据保护，用户权利

企业在收集用户提交的注册、报名、下载、参与活动等个人信息时，必须确保用户已经同意企业行为。GDPR在要求获得同意时，提高了公式的标准，遵循用户“自由地给予、明确、知情”，企业需要使用“清晰易懂”的法律语言来进行用户权益阐述，不可以通过其他国家语言或其他方式来模糊权益说明。同时企业还必须能够提供证明，用户的同意行为是自愿的，而非强制同意，同时也必须通知他们有权撤回该同意。

3、内部程序

对于处理个人数据，有若干新的原则，包括在开发系统时在数据隐私的设计构建要求，企业有义务在使用“新技术”或以风控方式处理数据隐私影响评估。数据隐私影响评估是一个系统地考虑项目可能对个人隐私造成潜在影响的过程，从而最大限度减少触碰数据隐私红线的风险。在安全方面，GDPR将要求许多企业拥有数据隐私官（DPO）来监督他们的遵守情况。需要DPO的组织包括公共机构，其活动涉及大规模的数据主体的定期和系统监控，或组织（如医院，保险公司和银行）大规模处理当前已知的敏感个人数据。

4、责任与处罚

GDPR将要求企业在运营过程中，进行数据的授权记录、授权实施过程等，能够在地方监督当局证明他们符合GDP要求。同时应培训员工，并采取适当的技术和组织措施确保和证明符合性。GDPR的重要性可以从惩罚措施中得以重，违规企业将被处罚以1000万欧元或全球营收入的2%（两者取其高），严重者处罚以2000万欧元或全球营收入的4%（两者取其高）（折合约1.5亿元人民币）。

个人信息安全是个老话题，在GDPR的影响下，数据关系着一个企业的生死存亡，绝大多数以互联网作为业务开展的公司都会在某些环节产生困扰。

很多企业的邮件营销（EDM）业务覆盖全球，而根据GDPR的规定，企业在收集、存储、使用个人信息上要取得用户的同意，用户对自己的个人数据有绝对的掌控权。那么在收集用于邮件营销的会员数据时，企业需要做哪些调整呢？

1、说明文本清晰明确

• “服务协议”、“隐私条款”等需要针对 GDPR 做相应调整，制定合适的规则说明文档

• 清晰、明确地说明企业收集数据的用途以及用户享有的许可或撤销许可的权益

• 保证多语言版本，不可利用语言之间理解的差异，使用模糊的文本获取用户的许可

2、数据采集明确告知

• 在订阅、注册等数据采集入口设置明显的提示窗口

• 提示内容明确清晰，不能玩文字游戏

• 不可存在自动勾选强制同意行为，获得用户主观许可后才可使用用户数据