現(xiàn)在做網(wǎng)站,不管是面向普通用戶的展示類網(wǎng)站,還是有交互功能、需要收集用戶信息的服務(wù)類網(wǎng)站,都繞不開一個詞——GDPR合規(guī)。很多人一聽到這個詞就頭疼,覺得是復(fù)雜的法律條款,看不懂、摸不透,尤其是涉及到用戶數(shù)據(jù)處理的部分,稍微不注意就可能不合規(guī)。其實不用慌,GDPR本質(zhì)上就是一套“保護用戶數(shù)據(jù)隱私”的規(guī)則,核心就是讓網(wǎng)站在收集、使用、存儲、刪除用戶數(shù)據(jù)的整個過程中,做到合法、透明、可控,不濫用用戶數(shù)據(jù)。
而數(shù)據(jù)處理流程再造,說白了就是把網(wǎng)站原來的用戶數(shù)據(jù)處理方式,按照GDPR的要求,從頭到尾重新梳理、調(diào)整、優(yōu)化,甚至推翻不合理的環(huán)節(jié),打造一套全新的、符合合規(guī)要求的數(shù)據(jù)處理流程。很多網(wǎng)站之所以不合規(guī),不是故意違規(guī),而是原來的流程太隨意,比如隨便收集用戶信息、不告訴用戶數(shù)據(jù)用來做什么、想存多久就存多久,這些都是GDPR明確禁止的。今天就用大白話,把網(wǎng)站GDPR合規(guī)的數(shù)據(jù)處理流程再造,從頭到尾講明白,不管你是做網(wǎng)站運營的、技術(shù)開發(fā)的,還是單純想了解,都能看明白、用得上,全程不堆砌專業(yè)術(shù)語,只說實在的流程和做法,也不涉及任何敏感信息。
首先,咱們得先搞清楚一個核心問題:為什么要做GDPR合規(guī)的數(shù)據(jù)處理流程再造?不做不行嗎?答案很簡單——不行。對于有用戶數(shù)據(jù)處理需求的網(wǎng)站來說,GDPR合規(guī)不是選擇題,而是必答題。如果不合規(guī),一旦被核查發(fā)現(xiàn),會面臨高額的處罰,而且還會影響網(wǎng)站的口碑,用戶發(fā)現(xiàn)自己的數(shù)據(jù)被濫用、不被保護,就會果斷離開,甚至投訴舉報,最后導(dǎo)致網(wǎng)站無法正常運營。
更重要的是,流程再造不僅僅是為了合規(guī),更是為了規(guī)范網(wǎng)站的數(shù)據(jù)處理行為,保護用戶的隱私,同時也能讓網(wǎng)站的數(shù)據(jù)處理更高效、更有序。原來很多網(wǎng)站的數(shù)據(jù)處理流程雜亂無章,比如收集的數(shù)據(jù)雜亂冗余,用不上的信息也收集,不僅浪費存儲資源,還增加了合規(guī)風(fēng)險;處理流程不規(guī)范,容易出現(xiàn)數(shù)據(jù)泄露、丟失的問題。而通過流程再造,既能滿足合規(guī)要求,規(guī)避處罰風(fēng)險,又能優(yōu)化數(shù)據(jù)處理效率,減少不必要的環(huán)節(jié),還能提升用戶信任度,一舉多得。
在開始流程再造之前,還有一個關(guān)鍵步驟——先梳理網(wǎng)站原來的數(shù)據(jù)處理現(xiàn)狀,找出不合規(guī)的痛點。這就像看病一樣,得先找到病因,才能對癥下藥。如果連自己網(wǎng)站原來怎么收集、怎么使用數(shù)據(jù)都不清楚,盲目去再造流程,很可能還是不合規(guī)。梳理現(xiàn)狀主要看三個方面:一是網(wǎng)站目前收集哪些用戶數(shù)據(jù),比如用戶名、手機號、郵箱、地址、瀏覽記錄等,哪些是必須收集的,哪些是可有可無的;二是這些數(shù)據(jù)是怎么收集的,比如是用戶主動填寫的,還是自動獲取的,有沒有提前告訴用戶;三是數(shù)據(jù)收集后,怎么存儲、怎么使用、怎么共享、怎么刪除,整個流程有沒有記錄、有沒有管控。
結(jié)合GDPR的核心要求,咱們先說說網(wǎng)站原來的數(shù)據(jù)處理流程,最常見的不合規(guī)痛點,大家可以對照著自己的網(wǎng)站自查。第一個痛點,隨意收集用戶數(shù)據(jù),違反“數(shù)據(jù)最小化”原則。很多網(wǎng)站不管用不用得上,都想收集用戶的各種信息,比如注冊的時候,明明只需要手機號就能登錄,卻還要讓用戶填寫姓名、地址、職業(yè),甚至更隱私的信息,這在GDPR里是明確禁止的——只能收集實現(xiàn)網(wǎng)站功能所必需的最少數(shù)據(jù),用不上的堅決不能收集。
第二個痛點,數(shù)據(jù)收集不透明,不告訴用戶“為什么收集、用來做什么、存多久”。很多網(wǎng)站在收集用戶數(shù)據(jù)的時候,只是簡單讓用戶勾選“同意”,卻不明確告知用戶,收集這些數(shù)據(jù)的目的是什么,會用來做什么,會存儲多久,有沒有可能共享給第三方。有的甚至把這些關(guān)鍵信息隱藏在冗長的隱私政策里,用晦澀難懂的語言表述,用戶根本看不懂,這種“變相強迫同意”也是不合規(guī)的。GDPR要求,數(shù)據(jù)收集必須做到完全透明,要讓用戶清晰、明確地知道自己的數(shù)據(jù)會被如何處理,而且同意必須是用戶自愿的、可撤銷的,不能強迫用戶同意。
第三個痛點,數(shù)據(jù)存儲和使用不規(guī)范,沒有管控。比如有的網(wǎng)站收集用戶數(shù)據(jù)后,想存多久就存多久,哪怕數(shù)據(jù)已經(jīng)用不上了,也不刪除;有的網(wǎng)站對數(shù)據(jù)的存儲沒有任何保護措施,容易出現(xiàn)數(shù)據(jù)泄露、丟失的問題;還有的網(wǎng)站,收集用戶數(shù)據(jù)的時候說用來做A事,結(jié)果偷偷用來做B事,比如收集手機號用來登錄,結(jié)果用來發(fā)送營銷短信,這違反了GDPR的“目的限制”原則——數(shù)據(jù)處理必須基于特定的、明確的目的,不能超出原來的目的范圍。
第四個痛點,不尊重用戶的權(quán)利,用戶無法掌控自己的數(shù)據(jù)。GDPR明確賦予了用戶多項權(quán)利,比如用戶有權(quán)查看自己被收集的數(shù)據(jù)、有權(quán)要求更正錯誤的數(shù)據(jù)、有權(quán)要求刪除自己的數(shù)據(jù)(被遺忘權(quán))、有權(quán)撤銷對數(shù)據(jù)處理的同意、有權(quán)限制數(shù)據(jù)的處理,還有權(quán)要求將自己的數(shù)據(jù)轉(zhuǎn)移到其他平臺(數(shù)據(jù)可攜權(quán))。而很多網(wǎng)站原來的流程里,根本沒有這些功能,用戶想查看、刪除自己的數(shù)據(jù),找不到入口,聯(lián)系客服也沒人回應(yīng),這也是嚴重不合規(guī)的。
第五個痛點,數(shù)據(jù)處理沒有留下記錄,無法證明合規(guī)。GDPR有一個“問責(zé)原則”,要求網(wǎng)站必須對自己的數(shù)據(jù)處理活動承擔(dān)全部責(zé)任,而且要能夠證明自己的處理行為符合GDPR的要求。也就是說,網(wǎng)站的每一步數(shù)據(jù)處理,比如什么時候收集的、誰收集的、用來做什么、什么時候刪除的,都要留下清晰的記錄,以備核查。而很多網(wǎng)站原來的數(shù)據(jù)處理沒有任何記錄,一旦被核查,根本無法證明自己合規(guī),只能面臨處罰。
梳理完痛點,接下來就是核心部分——GDPR合規(guī)的數(shù)據(jù)處理流程再造,全程分為六個關(guān)鍵環(huán)節(jié),從數(shù)據(jù)收集前的準(zhǔn)備,到數(shù)據(jù)刪除后的歸檔,每一個環(huán)節(jié)都要嚴格按照GDPR的要求來,咱們一個個用大白話講清楚,確保每個環(huán)節(jié)都可落地、可執(zhí)行。
第一個環(huán)節(jié),數(shù)據(jù)收集前的準(zhǔn)備:明確目的、劃定范圍,做好合規(guī)鋪墊。這是流程再造的第一步,也是最基礎(chǔ)的一步,核心就是“想清楚再收集”,不盲目收集。首先,要明確網(wǎng)站收集用戶數(shù)據(jù)的具體目的,而且目的必須合法、明確、具體,不能模糊不清。比如,收集手機號的目的是“用于用戶登錄、身份驗證和找回密碼”,收集郵箱的目的是“用于發(fā)送賬戶通知和重要提醒”,每個目的都要清晰,而且必須是網(wǎng)站正常運營所必需的。
其次,根據(jù)明確的目的,劃定數(shù)據(jù)收集的范圍,嚴格遵循“數(shù)據(jù)最小化”原則——只收集實現(xiàn)目的所必需的最少數(shù)據(jù),多余的、用不上的堅決不收集。比如,網(wǎng)站只是做用戶登錄,只需要收集手機號或郵箱即可,不需要收集用戶的地址、職業(yè)、年齡等無關(guān)信息;如果是電商類網(wǎng)站,需要配送商品,收集用戶地址是合理的,但如果只是展示類網(wǎng)站,就不需要收集地址。同時,還要明確數(shù)據(jù)的存儲期限,根據(jù)數(shù)據(jù)的用途,設(shè)定合理的存儲時間,比如交易記錄可以存儲到訂單完成后的1年,超過期限就必須刪除,不能永久存儲。
另外,還要準(zhǔn)備好清晰、易懂的隱私政策和數(shù)據(jù)收集告知文本,不能用晦澀的法律術(shù)語,要讓普通用戶一眼就能看明白。告知文本里必須明確寫清楚:收集哪些數(shù)據(jù)、為什么收集、用來做什么、存儲多久、會不會共享給第三方(如果會,要說明第三方是誰、用來做什么)、用戶有哪些權(quán)利、如何行使這些權(quán)利、網(wǎng)站會如何保護數(shù)據(jù)安全。這些內(nèi)容必須在收集用戶數(shù)據(jù)之前,清晰地展示給用戶,不能隱藏、不能省略。
第二個環(huán)節(jié),數(shù)據(jù)收集環(huán)節(jié):自愿同意、透明告知,拒絕強迫。這是合規(guī)的核心環(huán)節(jié),也是最容易出錯的環(huán)節(jié)。按照GDPR的要求,數(shù)據(jù)收集必須基于用戶的自愿同意,而且同意必須是明確的、可撤銷的,不能強迫用戶同意,也不能用“默認同意”“捆綁同意”的方式。
具體怎么做呢?比如,用戶注冊網(wǎng)站的時候,需要收集手機號,不能默認勾選“同意隱私政策”,也不能要求用戶必須同意才能注冊(除非同意是實現(xiàn)注冊功能的必要條件),而是要讓用戶主動勾選同意,而且要把同意的選項單獨列出來,清晰明了。同時,要明確告知用戶,同意之后可以隨時撤銷,撤銷的入口要清晰、好操作,比如在用戶中心設(shè)置“撤銷數(shù)據(jù)處理同意”的按鈕,用戶點擊就能完成撤銷,撤銷后,網(wǎng)站要立即停止對該用戶數(shù)據(jù)的相關(guān)處理(除非有其他合法理由)。
另外,對于不同類型的數(shù)據(jù),收集方式也要有所區(qū)別。比如,普通數(shù)據(jù)(手機號、郵箱)可以通過用戶主動填寫收集;而敏感數(shù)據(jù)(比如健康信息、宗教信仰等),除非有特殊的合法理由,否則堅決不能收集,一旦收集,需要采取更嚴格的保護措施,而且要獲得用戶更明確的同意。還有,不能通過隱藏、誘導(dǎo)的方式收集用戶數(shù)據(jù),比如自動獲取用戶的瀏覽記錄、設(shè)備信息,卻不告知用戶,這也是不合規(guī)的,必須提前告知用戶,獲得用戶同意后才能獲取。
第三個環(huán)節(jié),數(shù)據(jù)存儲環(huán)節(jié):安全防護、定期清理,確保數(shù)據(jù)完整保密。用戶數(shù)據(jù)收集進來之后,存儲環(huán)節(jié)的合規(guī)和安全,也是GDPR重點要求的。核心就是兩個點:一是確保數(shù)據(jù)安全,不被泄露、不被篡改、不被丟失;二是按照設(shè)定的存儲期限,定期清理過期數(shù)據(jù),不長期留存無用數(shù)據(jù)。
首先,數(shù)據(jù)存儲的安全防護。網(wǎng)站需要采取合理的技術(shù)和管理措施,保護用戶數(shù)據(jù)的安全。比如,對收集到的用戶數(shù)據(jù)進行加密處理,尤其是敏感數(shù)據(jù),加密后就算被泄露,也無法被解讀;設(shè)置嚴格的訪問權(quán)限,只有負責(zé)數(shù)據(jù)處理的相關(guān)人員,才能訪問用戶數(shù)據(jù),而且要記錄每個人員的訪問記錄,誰訪問了、什么時候訪問的、做了什么操作,都要清晰可查;定期對數(shù)據(jù)存儲系統(tǒng)進行維護和檢測,及時發(fā)現(xiàn)和修復(fù)安全漏洞,防止數(shù)據(jù)泄露。同時,還要做好數(shù)據(jù)備份,定期對用戶數(shù)據(jù)進行備份,一旦出現(xiàn)數(shù)據(jù)丟失、損壞的情況,能夠快速恢復(fù),確保數(shù)據(jù)的完整性。
其次,數(shù)據(jù)的定期清理。按照收集前設(shè)定的存儲期限,定期對用戶數(shù)據(jù)進行梳理,對于過期的數(shù)據(jù)、無用的數(shù)據(jù)、用戶要求刪除的數(shù)據(jù),要及時、徹底地刪除,不能留存副本。比如,用戶注銷賬號后,要刪除該用戶的所有數(shù)據(jù),包括注冊信息、瀏覽記錄、交易記錄等,不能偷偷留存;存儲期限到期的數(shù)據(jù),比如超過1年的交易記錄,要批量清理,清理過程也要留下記錄,證明已經(jīng)按照要求刪除。另外,還要定期對收集的數(shù)據(jù)進行核查,確保數(shù)據(jù)的準(zhǔn)確性,如果發(fā)現(xiàn)數(shù)據(jù)錯誤(比如用戶的手機號、地址變更),要及時更正,用戶也有權(quán)要求更正,網(wǎng)站要在合理的時間內(nèi)完成更正。
第四個環(huán)節(jié),數(shù)據(jù)使用環(huán)節(jié):嚴控范圍、不越邊界,全程可追溯。數(shù)據(jù)收集、存儲之后,就是使用環(huán)節(jié),這也是最容易出現(xiàn)濫用數(shù)據(jù)的環(huán)節(jié),GDPR對此有明確的要求:數(shù)據(jù)使用必須符合收集時告知用戶的目的,不能超出范圍,而且要全程可追溯。
具體來說,網(wǎng)站不能把用戶數(shù)據(jù)用于收集時未告知的目的。比如,收集用戶手機號的時候,告知用戶是用于登錄和身份驗證,就不能用來發(fā)送營銷短信、推銷產(chǎn)品,除非用戶單獨同意接收營銷信息。如果確實需要將數(shù)據(jù)用于其他目的,必須重新獲得用戶的明確同意,而且要告知用戶新的使用目的、使用方式,不能偷偷更改用途。
另外,數(shù)據(jù)使用過程中,要做好記錄,全程可追溯。比如,誰使用了用戶數(shù)據(jù)、什么時候使用的、使用了哪些數(shù)據(jù)、用于什么目的,都要留下詳細的記錄,這些記錄要保存一定的期限,以備核查。同時,要嚴格控制數(shù)據(jù)的使用權(quán)限,不是所有工作人員都能使用用戶數(shù)據(jù),只有工作必需的人員,才能獲得相應(yīng)的訪問和使用權(quán)限,而且要定期對權(quán)限進行核查,及時撤銷不需要的權(quán)限,防止數(shù)據(jù)被濫用。還有,不能隨意將用戶數(shù)據(jù)共享給第三方,除非獲得用戶的明確同意,而且要告知用戶第三方是誰、用來做什么、會如何保護數(shù)據(jù),同時要和第三方簽訂合規(guī)協(xié)議,要求第三方按照GDPR的要求處理數(shù)據(jù),一旦第三方出現(xiàn)違規(guī)行為,網(wǎng)站也要承擔(dān)相應(yīng)的責(zé)任。
第五個環(huán)節(jié),用戶權(quán)利保障環(huán)節(jié):簡化流程、便捷操作,尊重用戶意愿。GDPR的核心之一,就是賦予用戶對自己數(shù)據(jù)的控制權(quán),所以在流程再造中,必須專門增加用戶權(quán)利保障的環(huán)節(jié),讓用戶能夠便捷地行使自己的各項權(quán)利,不能設(shè)置繁瑣的門檻。
具體來說,網(wǎng)站要在顯眼的位置(比如用戶中心、隱私政策頁面),設(shè)置用戶行使權(quán)利的入口,清晰明了,操作簡單。比如,用戶想查看自己的個人數(shù)據(jù),點擊入口就能查看所有被收集的信息;想更正錯誤的數(shù)據(jù),提交更正申請后,網(wǎng)站要在合理的時間內(nèi)審核、更正,并告知用戶;想刪除自己的數(shù)據(jù)(被遺忘權(quán)),提交刪除申請后,網(wǎng)站要及時刪除所有相關(guān)數(shù)據(jù),包括備份數(shù)據(jù),刪除完成后告知用戶;想撤銷數(shù)據(jù)處理同意,點擊撤銷按鈕就能完成,撤銷后立即停止相關(guān)數(shù)據(jù)處理;想限制數(shù)據(jù)處理,比如對自己的數(shù)據(jù)準(zhǔn)確性有異議,提交限制申請后,網(wǎng)站要暫停對該數(shù)據(jù)的使用,直至核實清楚;想行使數(shù)據(jù)可攜權(quán),要求將自己的數(shù)據(jù)轉(zhuǎn)移到其他平臺,網(wǎng)站要提供便捷的方式,將數(shù)據(jù)以可讀取的格式導(dǎo)出,方便用戶轉(zhuǎn)移。
這里要注意,用戶行使這些權(quán)利,網(wǎng)站不能收取不合理的費用,也不能設(shè)置繁瑣的流程,比如要求用戶提供大量的證明材料,或者拖延處理時間。對于用戶的申請,要在規(guī)定的時間內(nèi)處理完畢,并及時反饋給用戶,同時要留下處理記錄,證明已經(jīng)按照用戶的要求,處理了相關(guān)申請。
第六個環(huán)節(jié),數(shù)據(jù)處理后的歸檔與核查:留存記錄、定期自查,持續(xù)合規(guī)。數(shù)據(jù)處理流程不是一成不變的,也不是做完一次再造就一勞永逸的,還需要做好后續(xù)的歸檔和核查工作,確保流程持續(xù)合規(guī)。首先,要對數(shù)據(jù)處理的所有環(huán)節(jié),留下完整的記錄,包括數(shù)據(jù)收集的記錄、使用的記錄、存儲的記錄、刪除的記錄、用戶權(quán)利行使的記錄、安全防護的記錄等,這些記錄要按照要求留存一定的期限,以備核查,同時也要做好記錄的安全保護,防止記錄泄露、丟失。
其次,要定期對數(shù)據(jù)處理流程進行自查,比如每月自查一次,每季度全面核查一次,找出流程中可能存在的不合規(guī)問題,及時調(diào)整優(yōu)化。自查的重點的就是前面提到的幾個環(huán)節(jié):數(shù)據(jù)收集是否合規(guī)、存儲是否安全、使用是否超出范圍、用戶權(quán)利是否得到保障、記錄是否完整。同時,還要關(guān)注GDPR相關(guān)規(guī)則的更新,一旦規(guī)則有變化,要及時調(diào)整數(shù)據(jù)處理流程,確保始終合規(guī)。
另外,還要做好數(shù)據(jù)泄露的應(yīng)急處理。如果發(fā)生用戶數(shù)據(jù)泄露的情況,要立即啟動應(yīng)急方案,及時采取措施,阻止泄露擴大,同時要及時告知相關(guān)用戶和監(jiān)管機構(gòu),說明泄露的情況、造成的影響、已經(jīng)采取的措施和后續(xù)的改進方案,還要留下應(yīng)急處理的記錄,承擔(dān)相應(yīng)的責(zé)任。
最后,咱們再補充幾個流程再造過程中,容易踩的坑,幫大家避開不必要的麻煩。第一個坑,盲目照搬別人的流程,不結(jié)合自己網(wǎng)站的實際情況。每個網(wǎng)站的功能、數(shù)據(jù)處理需求都不一樣,別人的流程不一定適合自己,一定要結(jié)合自己網(wǎng)站的實際,梳理自己的痛點,再制定符合自己的流程,不能盲目照搬。
第二個坑,只關(guān)注流程再造,忽略了技術(shù)支撐。流程再造需要技術(shù)來實現(xiàn),比如數(shù)據(jù)加密、訪問權(quán)限控制、用戶權(quán)利行使的入口開發(fā)等,如果沒有相應(yīng)的技術(shù)支撐,再好的流程也無法落地,所以在流程再造的同時,要做好技術(shù)優(yōu)化,確保流程能夠順利執(zhí)行。
第三個坑,流程再造完成后,不進行員工培訓(xùn)。數(shù)據(jù)處理流程需要工作人員來執(zhí)行,如果員工不了解GDPR的要求,不熟悉新的流程,很可能在執(zhí)行過程中出現(xiàn)失誤,導(dǎo)致不合規(guī)。所以,流程再造完成后,要對所有涉及數(shù)據(jù)處理的員工,進行全面的培訓(xùn),讓大家熟悉新的流程、合規(guī)要求和操作規(guī)范,避免因為操作失誤導(dǎo)致違規(guī)。
第四個坑,忽略了數(shù)據(jù)的匿名化處理。對于不需要識別用戶身份的數(shù)據(jù),比如網(wǎng)站的整體瀏覽量、用戶行為統(tǒng)計數(shù)據(jù),要進行匿名化處理,去除能夠識別用戶身份的信息,這樣的數(shù)據(jù)就不屬于GDPR管控的個人數(shù)據(jù),能夠減少合規(guī)風(fēng)險。但要注意,匿名化處理必須徹底,不能通過技術(shù)手段還原用戶身份。
總結(jié)一下,網(wǎng)站GDPR合規(guī)的數(shù)據(jù)處理流程再造,核心就是圍繞“合法、透明、可控、安全”這八個字,按照“收集前準(zhǔn)備—收集環(huán)節(jié)—存儲環(huán)節(jié)—使用環(huán)節(jié)—用戶權(quán)利保障—歸檔核查”六個關(guān)鍵環(huán)節(jié),重新梳理、優(yōu)化數(shù)據(jù)處理流程,刪除不合規(guī)的環(huán)節(jié),補充缺失的環(huán)節(jié),規(guī)范每個環(huán)節(jié)的操作。
流程再造不是一次性的工作,而是一個持續(xù)優(yōu)化、持續(xù)合規(guī)的過程。它不僅僅是為了滿足GDPR的合規(guī)要求,規(guī)避處罰風(fēng)險,更重要的是規(guī)范網(wǎng)站的數(shù)據(jù)處理行為,保護用戶的隱私,提升用戶的信任度,讓網(wǎng)站能夠長期、穩(wěn)定、健康地運營。不管是小型網(wǎng)站,還是大型網(wǎng)站,只要涉及用戶數(shù)據(jù)處理,就必須重視數(shù)據(jù)處理流程再造,按照GDPR的要求,做好每一個環(huán)節(jié),做到合規(guī)經(jīng)營、誠信運營。
聯(lián)系電話題-1.jpg)