通用数据保护条例 (GDPR) 将于 2018 年 5 月 25 日生效。请确保您的 Facebook 业务符合这些新的数据保护要求。
通用数据保护条例 (General Data Protection Regulation) 是自 2018 年 5 月 25 日起在欧洲统一实施的数据保护法规。此条例适用于欧盟地区的公司,以及处理欧盟用户个人数据的跨国公司。
尽管 GDPR 条例的很多具体规定都是建立在欧盟现行的数据保护法规的基础之上,但其适用范围更广、规范性更强,并纳入了实质性的处罚规定。例如,按照条例规定,公司在使用某些类型的数据时,必须按更高的标准征得个人的同意,而且在获取和移植数据方面需要在更大范围内尊重个人权利。此外,GDPR 还赋予了重要的执行权力,允许公司的监管部门针对某些违规行为实行最高达全球年度营收额 4% 的罚款。
Facebook 旗下公司非常注重数据保护。将遵守现行的欧盟数据保护法和通用数据保护条例 (GDPR)。在 Facebook 有史以来最大的跨职能团队的支持下,Facebook的 GDPR 准备工作正在有条不紊地开展。Facebook还将扩编负责相关工作的都柏林数据保护团队。
一方面,Facebook依然会按照统一的数据使用政策,告知用户Facebook具体会如何处理他们的个人数据;另一方面,Facebook还会通过向新老用户提供授权同意流程、产品内通知以及消费者宣传教育活动等方式来提高用户的数据保护意识。
Facebook将继续努力,让用户可以更好地掌控自己数据的被使用情况。为此,Facebook正在针对新的隐私中心设计更为简便的隐私设置方案。此外,Facebook还会在用户使用 Facebook 时提供相关提醒信息,例如在用户浏览动态消息时弹出消息,提醒他们再次检查隐私设置。
Facebook要对公司的业务行为负责,Facebook的隐私原则体现了Facebook对隐私和数据保护的理解。Facebook定期与全球各地的监管机构、政策制定者、隐私专家和学术界会晤,向他们通告Facebook的业务行为,获取反馈并根据需要进行调。
在 Facebook 旗下公司投放广告的商家可以照常使用 Facebook 平台及Facebook提供的解决方案,不过正如他们必须遵守当前适用的法律法规一样,他们也有责任确保遵守 GDPR。要详细了解具体的 Facebook 广告产品,请参阅“常见问题解答”版块。
GDPR 为合法处理个人数据做出了几项基本规定。Facebook在下文概括了 GDPR 中与处理个人数据最相关的法律依据。
基本要求和产品涵义:
合约必要性
·处理的数据必须是提供服务所必要的,并且在与个人用户的合同中进行说明
知情同意
·需要免费提供内容具体、信息明确且清晰的知情同意书,并获得用户确切的肯定答复
·用户有权撤销同意,必须告知用户此项权利
·知情同意人必须达到当地所规定的年龄,或者获得其父母/监护人的授权
·某些数据处理需获得用户的明确同意(例如特殊类别的个人数据)
合法权益
·个人用户的权益不改变商家或第三方拥有的合法权益。
·如果用户提出反对,必须暂停处理其数据
数据管控方
数据管控方负责确定个人数据处理任务的“目的”和“方式”。
·与当前已经实行的数据保护法的规定相似,数据管控方今后也必须采用合规措施披露数据的收集方式、用途和保留时长,并确保用户有权访问所保存的关于他们的数据。
数据处理方
数据处理方负责代表数据管控方处理个人数据。现在,数据处理方需要直接履行一些特定的义务,数据管控方也必须约束数据处理方遵守特定的合同承诺,以确保数据处理的安全性及合法性。
虽然 Facebook 是旗下大部分服务的数据管控方,但在某些情况下与商家和其他第三方合作时,Facebook 会作为数据处理方。当 Facebook 代表商家作为数据处理方处理数据时,商家需要拥有处理和分享数据的法律依据。示例包括:
·自定义受众
当Facebook根据商家提供的客户关系管理 (CRM) 数据在Facebook的用户数据库中寻找匹配的用户并为商家的广告创建自定义受众时,Facebook需要处理数据。
·成效衡量与分析
为了帮助商家衡量广告表现和覆盖人数,并针对使用其服务的客户提供分析数据,Facebook会代表商家处理数据并就处理结果作汇报。
·Workplace by Facebook
通过 Workplace 尊享版,公司可以使用 Facebook 提供的各项工具更好地安排相关人员开展协作。要为公司提供此项服务,Facebook同样必须处理用户的个人数据。
通过 Workplace 尊享版,公司可以使用 Facebook 提供的各项工具更好地安排相关人员开展协作。要为公司提供此项服务,Facebook同样必须处理用户的个人数据。
Facebook Inc. 已通过隐私护盾框架的认证,对于某些产品,Facebook可以通过欧盟境内广告主接收和处理个人数据,包括数据文件自定义受众、Attribution Checkup 以及某些线下转化提升调研。详细内容见于隐私护盾认证。
在代表欧盟合作伙伴提供数据处理服务时,Facebook 会确保遵守与数据处理相关的具体要求。Facebook已经根据 GDPR 的规定更新了必要的合同义务。
针对指定其他方代表Facebook处理数据的情形,Facebook已经落实了合适的条款,以此确保遵守 GDPR 的规定及保护Facebook的数据。当Facebook代表广告主处理数据时,Facebook将默认广告主提供的数据符合相应的法律规定。
对于Workplace,Facebook既是使用尊享版产品客户的数据处理方,也是使用标准版产品客户的数据管控方。Workplace 尊享版客户自己是数据管控方,并通过 Workplace 协议指定 Facebook 作为数据处理方。5 月之前,Facebook将与产品、设计和工程团队展开合作,共同确保Facebook的产品遵守 GDPR。这包括确保Facebook的合同承诺允许客户证明其合规性,同时Facebook也将更新协议,要求数据处理方做出相关承诺。如需详细了解 Workplace 及其安全证书,请点击此处访问Facebook的网站。
除 Facebook 外,其附属品牌(包括 Instagram、Oculus 和 WhatsApp)也会遵守 GDPR。对于您投放的 Instagram 广告,Facebook 是 Instagram 广告服务的运营商。
Facebook 既是数据管控方也是数据处理方,具体身份视情况而定。下面详细介绍了 Facebook 作为数据管控方和数据处理方的情形。
·数据管控方: 在大多数情况下,Facebook 旗下公司(Facebook 、Messenger、Instagram、Oculus 和 WhatsApp)属于数据管控方。Facebook 作为数据管控方时,Facebook将按照数据使用政策处理个人数据。例如,Facebook 是 Facebook 平台大多数活动的数据管控方。Facebook 旗下公司(例如 WhatsApp 和 Oculus)会按照各自的数据使用政策来处理个人数据。Facebook将确保 Facebook 旗下公司提供的服务遵守 GDPR,包括向用户提供新工具和审核现有工具,确保履行Facebook的义务。
·数据处理方: 在某些情况下,Facebook 会代表广告主或业务合作伙伴(数据管控方)作为数据处理方,例如数据文件自定义受众和 Workplace 尊享版。Facebook会确保遵守作为数据处理方的具体合规要求。例如,Facebook已经更新数据管控方与数据处理方必须达成的合同义务,以确保符合新版 GDPR 的要求。
处理欧盟境内用户的个人信息均需遵守 GDPR,通过 Cookie 收集数据和使用 Facebook 广告工具通常会涉及处理个人数据,因此只要与欧盟用户相关,则需要遵守 GDPR。
根据用户直接向 Facebook 提供的信息以及通过在旗下网站和应用安装 Facebook 像素和 SDK 而收集的数据向用户展示广告时,Facebook 是数据管控方。 在这些情况下,Facebook有责任确保合规性,方式包括提供通知和建立处理数据的法律依据。如果您使用 Facebook 数据文件自定义受众产品来覆盖客户,或使用 Facebook 成效衡量和分析服务并向Facebook提供欧盟用户的个人信息,则 Facebook 是数据处理方,您必须确保Facebook处理个人数据以向您提供服务的行为具有合规性。
使用Facebook的像素时,您必须遵守 GDPR 规定的相关义务。Facebook的条款规定使用Facebook工具的公司必须在使用工具期间遵守适用法律。对于在欧盟境内运营的公司,要求还包括,要存储和访问 Cookie 数据或最终用户设备上的其他信息时,必须事先获得知情同意。Facebook针对各网站和应用提供了一份知情同意指南,其中列出了关于这些知情同意要求的一些实用指南和最佳做法。
1.Http 标头 — HTTP 标头包含的所有内容。HTTP 标头是任何浏览器请求和互联网服务器之间默认互发的标准网络协议。HTTP 标头包含 IP 地址、网络浏览器信息、页面位置、文件、参考和用户代理。
2.像素-特定数据 — 包括像素编号和 Facebook Cookie。
3.可选值 — 开发者和营销者可以选择通过自定义数据事件发送关于访问操作的更多信息。自定义数据事件的示例包括转化价值、页面类型等。请 点击此处详细了解自定义数据事件。
Facebook Cookie 政策中的表格详细介绍了相关信息,说明了各个 Facebook Cookie 收集的数据的保存期限。Facebook会通过 Facebook 数据使用政策和 Cookie 政策告知用户在其浏览器中设置的 Cookie。同时,Facebook还在条款中要求广告主在使用 Facebook 产品和收集数据时充分通知用户并获得必要的用户同意,该条款中包括 Facebook 网站和应用 Cookie 同意指南的链接。根据目前的规定,GDPR 要求按照收集数据的目的确定必要的数据保存期限,且必须将数据的保存期限或确定保存期间的标准告知数据当事人。Facebook 将一如既往地遵循这些要求。
Facebook拥有全球化的基础设施,采用欧盟和美国两地的服务器处理数据。Facebook的数据处理以严格的法律合规性作为支撑,以确保向欧盟境外转移个人数据时安全无失。Facebook 按照隐私护盾的规定作为数据处理方认证了某些产品,详见其隐私护盾通告和认证:隐私护盾通告和认证。
Facebook正在与成效衡量合作伙伴和 Facebook 营销合作伙伴合作,共同确保符合 GDPR 的规定。目前大部分合作关系不会受此影响。
如果广告主是数据管控方(例如:使用自己的数据文件创建自定义受众),他们必须确保遵守适用法律,包括确保拥有法律依据(例如知情同意、合约必要性或合法权益方面)。各品牌仍可照常使用 Facebook 旗下平台和解决方案,但必须确保符合 GDPR 的相关规定。
在总结商家的反馈意见后,Facebook整合了一些产品条款,以便在一处地方提供更多条款内容供查看。 Facebook推出了 Facebook 业务工具条款,该工具旨在帮助网站所有者、发行商、开发者、广告主和商业合作伙伴(及其客户)等各方整合、使用以及与 Facebook 交换信息。Facebook 业务工具包括 API 和 SDK、Facebook 像素、社交插件(如“赞”和“分享”按钮)、Facebook 登录功能和 Account Kit、成效衡量和分析产品,以及其他平台集成项、插件、代码、规格、文档、技术和服务。此外,Facebook还在更新自定义受众条款,明确说明商家应对自己与独立数据提供商之间的关系负责。最后,为遵守欧盟《通用数据保护条例》的规定,Facebook相应地更新了Facebook的条款。举个例子,Facebook现在明确说明了自己作为数据管控方和数据处理方的身份,此外Facebook还针对处理欧盟用户个人数据的广告主增加了数据处理相关的附录。
根据 GDPR 的规定,广告主今后作为数据管控方,管控着做为数据文件自定义受众的一部分而上传的受众名单。广告主应负责确保对此数据的使用符合适用法律。这意味着您收集数据必须拥有明确的法律依据(例如知情同意、合约必要性或合法权益)并符合其他要求。作为代表您的数据处理方,根据您作为数据管控方所遵循的相关法律依据,Facebook 将处理广告主上传的散列数据并用于生成自定义受众。值得注意的是,Facebook 条款要求广告主确保他们在上传和使用您提供的与自定义受众相关的数据时必须拥有法律依据。相关要求可能会视适用于您的法律而异。
Facebook已经更新相关的产品条款,明确说明广告主在线下转化方面的数据管控方和数据处理方身份。在处理您的线下转化数据以提供成效衡量或分析报告时,Facebook 是数据处理方,广告主必须获得由Facebook处理此类数据所需的相关法律依据。
Facebook 自 2010 年起便直接受欧盟数据保护法的约束,包括访问权。Facebook提供多种工具供用户访问、修改和传输数据。例如下载信息和浏览活动日志,以及查看其他产品内信息。Facebook预计会在旗下应用和服务中提供类似的 GDPR 合规功能。
Facebook会评估拥有的各种数据以了解如何落实此项法规,确保履行适用的合规义务。Facebook已经通过下载信息工具及其他功能提供了对大量身份信息的访问权限,以后还将继续按照 GDPR 的规定提供访问权限。
Facebook 已经更新与 GDPR 相关的条款和政策。Facebook 将确保在处理欧盟用户数据时拥有符合 GDPR 规定的相关法律依据。