详尽探讨 《通用资料保护规则》(GDPR)

通用资料保护规则

欧盟 (EU)会员国原本各自为政的个资处理法规，随着《通用资料保护规则》即将上路，及其整并强化之立法目的，会员国全数一体适用新版规则，以建构欧盟一致保护框架。

目前 28 个会员国各自订立个资法规，法之效力拓及国际贸易。不过正因如此，行使个资保护的权利更显绑手绑脚、窒碍难行。

《通用资料保护规则》影响效力无远弗届，各种企业不管规模大小、产业类别，皆有所牵连。而不同业务如何遵守本规则、合理使用客户个资，亦有不同因应处理方式。

2016年，欧洲议会、欧洲高峰会通过第 2016/679 号法案(GDPR)，将于 2018 年 5 月 25 日生效施行。新版规则保护自然人的个资，侧重资料处理与自由流通。本文将协助各位了解何谓 GDPR、所应履行之职责、不可触犯的层面。另外，我们也向您保证，Benchmark 邮件行销工具严格遵循《通用资料保护规则》。

新版规则绝非取代欧盟会员国现有法令，而是同步整合各国个资法与 GDPR。会员国仍可依照国内相关规范做出判决，不过，要注意的是，责任方必须参照《通用资料保护规则》做为判决主要依据，而不是各国本身的个资法规。

若您目前符合所在国/地区的个资法令，那么您已打下稳固基础。不过，您仍需修正某些层面以便符合新版规则的规定。

规划营销邮件策略时，三大重点请谨记于心：用户同意、查阅使用、个资搜集。

用户同意

根据《通用资料保护规则》第四条第11款，个资当事人所谓的「同意」指的是，透过任何无偿提供的声明、具体明确的同意行为，清楚表达当事人同意他人处理与他/她有关的通用资料；

如前述定义所言，用户的同意需明确、清楚。这两个词消除了任何不确定或含煳不清的界线。

第32条：当事人以明确的肯定行为表达同意，透过任何无偿提供的声明、具体明确的同意行为，清楚表达当事人同意对方处理与他/她有关的通用资料，例如：书面声明（电子方式或口头陈述），包括浏览网站时勾选同意选项、为资讯社会服务（网络影音服务）进行技术设定、其他陈述或行为清楚地表明当事人接受他人对他/她的个资处理。

用户未应答、不作为或事先替用户勾好同意选项皆不可视为同意。所谓同意指的是同意他人以单一(多重)同等目的处理所有通用资料。当个资处理牵涉不同目的时，每一项都应取得当事人同意。若他人以电子方式向当事人提出同意请求，该请求必须清楚、简洁、而且不会造成个资处理不必要的负面影响。

举例：

我最近参加一场贸易展览，因而在会展上搜集了不少名片，我准备将这些名片键入资料库并上传到我的 Benchmark 帐户，为的是发送电子报。

有了新版规定，我这样做合法吗？

答案是否定的。即便取得每通用的口头确认，会展上拓展人脉不代表您有权使用他们的个资。 GDPR 要求取得双方达成协议的证据。

GDPR 指出，万一需要审查，责任方必须提出用户清楚明确的同意声明，也就是拿出证据证实用户同意他人使用自己的个资。

建议改善作法：

⦁ 审视您搜集个资的方法，消除当中含糊不清的方式。

⦁ 分析您的资料库，只保留用户同意您使用他们个资的证明。

查阅使用

处理个资的责任方需提供每位用户简单明了的处理管道，用来修改自己的通用资料；另需提供确认管道，让用户透过电子方式（例如：网站、订阅表格、电邮确认）同意他人使用个资。

责任方将有一个月的时间取得用户同意。若是複杂的请求（因为要完成用户要求的必要步骤导致），可延长至两个月。

在我们的电子邮件行销工具中，「管理订阅」选项允许用户线上他们的个资，并在需要时进行修改或直接取消订阅。

关于这点，《通用资料保护规则》第17条详述新订权利「删除的权利」，用户可行使「被遗忘权」，永久将其个资从资料库中删除。本文摘述该条文第一项第一款、第四款，提供用户行使「被遗忘权」的原因：

a）通用资料搜集、处理之特定目的消失，得向责任方请求删除通用资料；

b）通用资料已遭非法滥用：;

个资搜集：

《通用资料保护规则》主张简化个资搜集。身为营销人员，我们要求太多非必要的个资细节，但其实只是为了寄送每周电子报。因此，GDPR 规定大家精简搜集用户个资，而不是搜集多余资讯作为日后其他用途。

若您想通知用户即将到来的促销活动，搜集用户姓名和电邮地址便已绰绰有余，足以达到您的目标。

英国脱欧

英国将于 2019 年正式退出欧盟，GDPR 无法对英国有所约束力。我们目前不知道英国或其境内的公司将如何处理个资保护，但我们相信英国将会通过类似法规，与欧盟的 GDPR 具有同等效力。

若不符合新版 GDPR 要求，会有何下场？

《通用资料保护规则》制定一套处罚条款，包括处分与罚锾。未能遵守新的规则，经过一番审慎评估才会判处罚锾，以下为判决要素：

⦁ 违法的严重性/违法行为持续时间；

⦁ 受害的用户人数及受损程度；

⦁ 故意侵权与否；

⦁ 为减轻损害而采取的行动；

⦁ 是否配合主管机关。

新版规则针对未遵守规定的责任方，制定两类罚锾上线。第一类为 1000 万欧元以下的罚锾，或是担保上限等同全球年营业额的2％。

假设负责人不愿按照新版规则的要求进行影响评估，则适用第一类罚锾，罚锾上限可高达 2000 万欧元或是全球年营业额的 4％。

根据新版规则，一旦侵犯当事人的权利，将依每则个案情况，裁处不同罚锾。

当您策划邮件营销策略时，请牢记上述要点（用户同意、查阅使用、个资搜集）。

Benchmark

和《欧盟-美国隐私护盾》以及《瑞士-美国隐私护盾》的作法不同的是， GDPR 未提供认证，证实 Benchmark 遵守其最新规则，但我们仍然不断更新我们的隐私权政策，严格遵守其相关规定。

Benchmark 再次向您保证我们会严格遵守《通用资料保护规则》处理您的通用资料。

为了协助您适应法令转变，Benchmark将于欧洲中部夏令时间 2018 年 4 月 11 日上午 11 点（中国当地时间为 2018 年 4 月 11 日下午 17 点）举办网络研讨会「GDPR规范下的邮件营销：什么该做、什么不该做」。关于 GDPR 详细资讯，请参照欧盟官网的相关文件。

欧盟首次在个资处理议题上，展现领导力和团结一致的态度。另外，他国若想处理欧洲通用资料，欧盟亦强制要求他国遵循《通用资料保护规则》。

欢迎与大家分享本文，别忘了留下宝贵意见。谢谢您的耐心阅读！