GDPR 最近變得流行起來(lái)，如果你的app或者game有來(lái)自歐盟（European Union）的用戶(hù)，你需要閱讀這篇文章。

什么是GDPR

GDPR的全稱(chēng)是General Data Protection Regulation，是由歐盟推動(dòng)的數(shù)據(jù)隱私保護(hù)法案，將于這個(gè)月的25號(hào)（May 25）正式生效。

簡(jiǎn)單點(diǎn)說(shuō)，GDPR生效后，對(duì)個(gè)人數(shù)據(jù)的隱私和保護(hù)將更加的透明和具有操作性。

我不在歐洲，我需要關(guān)注GDPR嗎？

首要原則——只要你搜集和處理歐盟成員國(guó)的用戶(hù)的信息，就需要遵守GDPR。

常見(jiàn)的問(wèn)題：

1. 我是中國(guó)的開(kāi)發(fā)者，我需要遵守GDPR嗎？ – 你的app有歐洲用戶(hù)嗎？如果有，請(qǐng)記住首要原則。
2. 我是美國(guó)的開(kāi)發(fā)者，我需要遵守GDPR嗎？- 你的app有歐洲用戶(hù)嗎？如果有，請(qǐng)記住首要原則。
3. 我的app不在歐洲發(fā)布，我需要遵守GDPR嗎？-? 你的app有歐洲用戶(hù)嗎？如果沒(méi)有，不需要遵守。
4. 我看其他競(jìng)爭(zhēng)對(duì)手也沒(méi)遵守GDPR，我需要遵守嗎？- 你的app有歐洲用戶(hù)嗎？如果有，請(qǐng)記住首要原則。

實(shí)踐中，常見(jiàn)的問(wèn)題是，中國(guó)開(kāi)發(fā)者認(rèn)為：

1. 自己不是歐洲的開(kāi)發(fā)者，不需要遵守GDPR。 如果你這么想了，請(qǐng)看常見(jiàn)問(wèn)題1。
2. 自己的競(jìng)爭(zhēng)對(duì)手并沒(méi)有遵守GDPR，認(rèn)為自己也不需要遵守。如果你這么想了，請(qǐng)看常見(jiàn)問(wèn)題4。

一句話總結(jié)一下，這是一個(gè)非常嚴(yán)格的隱私保護(hù)法案，只要你處理歐盟用戶(hù)的數(shù)據(jù)，就需要遵守。

違反GDPR的后果是什么？

違反GDPR，將被除以2000萬(wàn)歐元的罰款，或者公司年收入的4%，兩者之中，哪個(gè)金額大，以哪個(gè)作為處罰的金額。

PS：盡管歐盟一再?gòu)?qiáng)調(diào)違法GDPR的后果，但是相信，肯定還是有很多中國(guó)的開(kāi)發(fā)者會(huì)鋌而走險(xiǎn)，特別是那些抱有『競(jìng)爭(zhēng)對(duì)手也違反GDPR了，為什么單獨(dú)盯著我不放』的心態(tài)的開(kāi)發(fā)者。關(guān)于這個(gè)，也沒(méi)有太多可說(shuō)的了，參考中興的案例吧。

作為開(kāi)發(fā)者，我需要知道什么？

1. 必須明確詢(xún)問(wèn)用戶(hù)，是否允許同意搜集他們的數(shù)據(jù)

明確的意思說(shuō)：必須以清晰的方式詢(xún)問(wèn)用戶(hù)，而不能以任何方式默認(rèn)用戶(hù)授予開(kāi)發(fā)者數(shù)據(jù)使用許可權(quán)。

如下的詢(xún)問(wèn)是明確的（符合GDPR要求）：

• 點(diǎn)擊下面的按鈕，表示您同意xxx搜集你的數(shù)據(jù)并用來(lái)推薦相關(guān)的產(chǎn)品/廣告/etc/；
• 點(diǎn)擊下面的按鈕，表示您不同意xxx搜集你的數(shù)據(jù)；
• 我不同意搜集我的數(shù)據(jù)。

如下的詢(xún)問(wèn)是不明確的（違反GDPR要求）：

• 以復(fù)選框的形式呈現(xiàn)，默認(rèn)勾選『同意搜集數(shù)據(jù)』；
• 請(qǐng)閱讀下面的關(guān)于GDPR的郵件（然后要求用戶(hù)勾選『我同意上述的條款』。

關(guān)于明確獲得用戶(hù)同意，可以參考GDPR的artcile 7

2. GDPR中『用戶(hù)的數(shù)據(jù)』是指什么數(shù)據(jù)

GDPR的關(guān)于用戶(hù)數(shù)據(jù)定義的非常清楚：personal identifier Information——就是說(shuō)，如果可以通過(guò)該數(shù)據(jù)定位到用戶(hù)，則該數(shù)據(jù)被認(rèn)為是PII（personal identifier Information）。

任何針對(duì) PII的搜集，都必須明確的詢(xún)問(wèn)用戶(hù)是否同意（關(guān)于什么是明確詢(xún)問(wèn)，請(qǐng)參考第一點(diǎn)）

什么是PII呢？

GDPR法案中說(shuō)明：Personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a home address, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address.

由此可見(jiàn)，法案對(duì)PII的覆蓋相當(dāng)廣泛。

3. 如果用戶(hù)不同意搜集數(shù)據(jù)，怎么辦？

這是GDPR的難點(diǎn)（如果每個(gè)歐盟用戶(hù)都同意開(kāi)發(fā)者搜集他們的數(shù)據(jù)，那GDPR就等與形同虛設(shè)）

劃重點(diǎn)：如果用戶(hù)不同意搜集他們的數(shù)據(jù)，開(kāi)發(fā)者必須能夠?qū)II處理為 non PII信息，且不能被反向編譯從而變回PII信息。

舉例來(lái)說(shuō)：如果用戶(hù)不同意搜集數(shù)據(jù)，必須將用戶(hù)的email address（PII）處理為 non PII 的email address。處理之后，開(kāi)發(fā)者雖然知道這個(gè)non PII的信息代表一個(gè)email address。

但是，并不能通過(guò)處理后的email address來(lái)定位到用戶(hù)。并且，處理后的email address不能被反向編譯或者恢復(fù)成PII。也就是說(shuō)，不能通過(guò)反向編譯或者恢復(fù)，定位到該用戶(hù)。

4. 如果用戶(hù)開(kāi)始同意，后來(lái)又不同意了，怎么辦？

GDPR允許用戶(hù)撤回自己的『同意許可』——用戶(hù)同意搜集數(shù)據(jù)之后，依然可以在未來(lái)撤銷(xiāo)這樣的同意許可，開(kāi)發(fā)者必須支持這種撤回請(qǐng)求。

當(dāng)用戶(hù)撤回自己的同意許可之后，開(kāi)發(fā)者必須（1）停止搜集用戶(hù)的數(shù)據(jù)（2）對(duì)以前搜集到的該用戶(hù)的數(shù)據(jù)進(jìn)行處理，使之成為non PII信息。

劃重點(diǎn)：如果用戶(hù)撤回同意許可，開(kāi)發(fā)者必須對(duì)以前搜集到的該用戶(hù)的數(shù)據(jù)進(jìn)行處理，使之成為non PII信息。

如果一個(gè)用戶(hù)想撤回他5年前的數(shù)據(jù)，我該怎么辦？

GDPR法案中沒(méi)有明確規(guī)定需要對(duì)用戶(hù)的數(shù)據(jù)保留多長(zhǎng)時(shí)間。但通常，數(shù)據(jù)應(yīng)該保留12個(gè)月或24個(gè)月。

作為產(chǎn)品經(jīng)理，需要做什么？

1. 詳細(xì)檢查并確認(rèn)你的產(chǎn)品是否在歐盟運(yùn)營(yíng)，是否有歐盟用戶(hù)。
2. 明確獲得用戶(hù)的許可來(lái)搜集數(shù)據(jù)。通常，app或者游戲開(kāi)發(fā)者可以通過(guò)彈窗的方式，來(lái)明確的獲得用戶(hù)是否許可的信息。
3. 將自己產(chǎn)品中的用戶(hù)數(shù)據(jù)進(jìn)行歸類(lèi)，比如：PII、non PII、公開(kāi)信息、非公開(kāi)信息、保密數(shù)據(jù)等等，以便能夠針對(duì)PII 信息做出相應(yīng)的設(shè)計(jì)。
4. 處理PII信息。因?yàn)槊恳粋€(gè)公司處理PII的方法并不相同，這里就不展開(kāi)了。
5. 定義數(shù)據(jù)的存儲(chǔ)周期，比如：12個(gè)月、24個(gè)月等等。
6. 升級(jí)你的產(chǎn)品，使之成為GDPR合規(guī)產(chǎn)品。

GDPR對(duì)我的產(chǎn)品有什么影響？

因?yàn)镚DPR使得歐盟的用戶(hù)對(duì)個(gè)人數(shù)據(jù)擁有更明確的處理權(quán)限，因此，在產(chǎn)品面上的確造成了一些影響。

比如：數(shù)字廣告行業(yè)，如果用戶(hù)不同意搜集個(gè)人數(shù)據(jù)，將無(wú)法定位用戶(hù)，因此也將無(wú)法為用戶(hù)提供個(gè)性化的廣告。

電商，同理，如果用戶(hù)不同意搜集數(shù)據(jù)，也將無(wú)法為用戶(hù)推薦個(gè)性化的商品。比如：移動(dòng)游戲，無(wú)法向那些『不同意搜集數(shù)據(jù)』的用戶(hù)進(jìn)行郵件的推廣，等等。

不過(guò)，GDPR是面向所有在歐盟進(jìn)行運(yùn)營(yíng)的開(kāi)發(fā)者的，因此，所有人都受到同樣的影響

本文由 @ Han Li 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來(lái)自網(wǎng)絡(luò)