GDPR开始执行，邮件营销切莫任性

GDPR（General Data Protection Regulation，一般数据保护条例）是欧盟2016年颁布的最新的，关于数据隐私权保护的法律。

GRPR已经于2018 年 5 月 25 日开始实施，成为欧盟法律的一部分，其目的在于改善欧盟公民的数据保护状况。

比较之前任何的隐私数据保护相关法律，GDRP都可以称之为“史上最严”。（之前合规，现在不一定合规，或者大概率不合规）

其不止直接针对互联网相关行业在隐私数据应用上的各种“你懂得”的常规操作，且对所有拥有用户（客户）隐私数据的企业，都有直接的法律约束作用。

GDPR影响范围

这是欧盟的法律，但不止与欧洲公司有关。

只要你公司的产品有欧盟国家公民用户，并处理（收集，存储，使用……）他们的隐私数据，都对你有直接的影响。

由于美国与欧洲的紧密联系，此隐私法律基本作为通用法律，受到欧美公司的普遍执行。

GDPR违规惩罚及风险

此法案规定对违法的处罚，监管机构最高对单一违法行为，可开出达2000万欧元或全球营业额的4%（以较大值为上限）的罚单。

实际的管辖力度与处罚程度还不可知，但在被监管机构认定为违规后，用户可能提出赔偿，因为欧美普遍的判例法原则，这里就没有上限了。

目前已经有一些隐私权拥护者已经准备对Google、 Facebook、和Instagram等大公司提起诉讼，指控他们违反新规。

在判例出现后，预计会引来“专业维权者”对一般品牌的普遍攻击，而从法律生效后仍未合规的企业，都面临极高风险。

GDPR保护用户哪些隐私

• 基本的身份信息，如姓名、地址、电话号码、电邮地址、身份证号码等；
• 网络数据，如唯一用户标识、位置、IP、Cookie、RFID标签等；
• 医疗保健相关，如身体状态，疾病状态，疾病倾向、遗传数据等；
• 生物识别数据，如指纹、虹膜、脸部特征等；
• 种族或民族、及对种族民族的相关态度；
• 政治观点、性取向及对性取向的态度；

GDPR规定的用户关于隐私权的权利要点

• 数据处理（收集，存储，使用等）的目的与方法应向用户清晰说明；
• 数据处理需要基于同意，此同意过程必须清晰易懂；
• 数据主体有权随时撤回同意，撤回同意和做出同意同样容易；
• 赋予数据主体选择删除自己个人数据的权利，当用户选择删除，数据控制者应有义务无不当延误地删除个人数据；
• 数据主体可以选择更正自己个人数据的权利，当用户选择更正，数据控制着应有义务不拖延的予以配合；
• 数据注意可迁移自己个人数据的权利，即可从数据控制者出下载自己的个人数据及数据处理过程数据；

基于GDPR规定企业对于用户隐私权的行为要点

• 未明确获得授权前，停止对应的用户数据处理；
• 非业务需要，尽量不收集用户隐私数据；
• 限制对用户隐私数据的可见范围；
• 保护好已有数据，出现用户数据泄露，及时向监管部门通报；

针对2C跨境电商企业，GDPR的合规风险

只要你的客户是欧盟的居民，无论你的公司所在地是哪里，你都受到GDPR的制约。

虽然你是一家中国的企业（或个人），如果你违反了该法规，在运营中不小心泄露了用户的信息，都可能面临巨额罚款。

最基本的，一个客户通过你的网站输入了他的姓名、邮箱、生日、地址、电话等信息，这些数据都毫无疑问的属于GDPR定义的个人数据，

你获取此类数据的行为即为收集个人数据行为。

而如果商家收集了这些信息，不论是个人的，职业相关的，还是公开的信息，都需要遵守GDPR的要求。

太抽象了？就举些违反GDPR要求的例子：

• 在销售以及与客户沟通的过程中，获取了客户的信息，之后，把这些信息用作其他的用途，甚至包括向客户邮箱里发推广性的邮件，如果客户去投诉/起诉了；
• 如果你的网站上有用户注册系统，如果用户注册了，你把这些注册的信息反复利用，或者分享给其他第三方使用；
• 通过Facebook等SNS媒体结交好友，然后，有了一些用户的信息，再然后，你把这些信息用作他途；
• 同时在运营多个平台的卖家，把从Ebay上收集到的用户信息拿过来，通过EDM邮件等方式推广自己的亚马逊店铺；、

基本的营销范畴对于GDPR的风险规避

比如真的想用收集到的用户信息，那就不要匆忙的直接暴露自己的平台或者平台……

这个问题比较庞大，具体到2C企业对用户进行邮件营销， 2B解企业对新客户的开发信营销等等，

我们会在接下去的文章中继续展开。

转载至穿云箭CPArrow