如果你目前正使用 Facebook 廣告、Adwords 作為推廣導流、銷售產品的方式一,估計已經聽說過"一般數據保護條例"(General Data Protection Regulation,簡稱 GDPR),也是這 20 年來歐盟最嚴格的個資保護法規。
歐盟所推出的 GDPR 目前影響著許多平台,其中當然也包含了 Facebook、Google…等諸多網路知名平台。甚至某些公司因為擔心被罰鍰,乾脆放棄在歐盟國家的特定業務了。
正因如此,Facebook 等平台也需要廣告主一同協助遵守新規範,一旦受罰誰都吃不消,因為違反資料保護規定罰則是處以該企業年營業額 2% 至 4% 之行政罰鍰。
但 GDPR 究竟是什麼,它帶來什麼影響?對於廣告主或企業主來說,又需要做什麼來確保符合 GDPR 規範?
什麼是 GDPR?適用對象有誰?
GDPR 是為了加強和統一居住在歐盟內的每個人的數據保護法。這表示 GDPR 適用於歐盟內牽涉個資的所有組織,以及世界上需要處理歐盟居民(不需要歐盟公民身份)個資的任何其他組織。收集、管理或分析任何類型的個資都在GDPR 的規範中。
這如何影響 Facebook 廣告主?
鑑於近期的劍橋事件和聽證會之後,Facebook 一直非常關注隱私權問題,他們希望所有廣告主也都能效仿,因為這對 Facebook 來說真的很重要!
如果你的資料庫中有來自歐盟的任何人,無論是他們註冊了電子報,或者瀏覽網站並被追踪,他們在 GDPR 下都享有某些權利。GDPR 所包含的權利有:
- 資訊知情權(The Right to Be Informed ) :受 GDPR 保護的任何人都有權被告知如何使用他們的數據,任何發生在數據上的事情都必須向他們告知。
- 使用權利(The Right to Object) :依照 GDPR,必須在使用任何數據之前取得用戶同意,他們也有權利可以撤銷數據的使用權,例如能夠隨時取消訂閱。
- 資料可攜帶權(The Right to Data Portability):受 GDPR 規範下的任何人可以查看該組織所擁有的個資,當他們想查看的時候,可以透過選項功能自由地查看資料。
- 糾正權(The Right to Rectification ):除了要能夠被查看資料外,受 GDPR 保護之下的資訊也必須能夠被進行編輯修改。
- 被遺忘權(Right to be forgotten):受 GDPR 保護之下的個資也必須在當事人要求時完成刪除。
這是歐盟公民在 GDPR 下的權利,基於這些權利,只要你的業務範圍包含歐盟涵蓋的國家,歐盟公民就受 GDPR 的保護,網站就必須完成以下5件事才能符合 GDPR 規定。
順帶一提,目前歐盟會員國家共有 28 國,包含:德國、英國、法國、愛爾蘭、荷蘭、比利時、盧森堡、西班牙、葡萄牙、義大利、奧地利、希臘、丹麥、瑞典、芬蘭、捷克、波蘭、匈牙利、斯洛伐克、斯洛維尼亞、馬爾他、立陶宛、愛沙尼亞、拉托維亞、賽普勒斯、羅馬尼亞、保加利亞及克羅埃西亞。
迎合 GDPR 必須要做的5件事
首先,以下並不包含任何法律建議,這只是基於我的意見而提出,這只是為了確保需要做的什麼才能符合 GDPR 的嚴格規範。
1、更新隱私權政策
有鑑於 GDPR 的規範條例,因此必須更新隱私權政策才能符合 GDPR 標準。你必須讓客戶知道如何以及為什麼使用他們的個資,請確保在每個頁面中都附加的隱私權政策!
請記住,他們有知情權,所以盡可能廣泛地包含透明公開,這是非常關鍵的部分。對於廣告主而言,如何使用 Facebook 像素或任何廣告追蹤代碼,也必須予以告知。
2、提供 Cookie 許可通知
若網站有使用 Cookie 或其他儲存技術作為資料紀錄、了解訪客行為的功能,就需要在首次載入網頁時顯示 Cookie 使用許可通知,以便告知用戶可以採取哪些措施來同意使用 Cookie。
如果網站目前缺少這項功能來顯示 Cookie 許可通知,可以自行參考與使用這個免費工具:Cookie Consent。
3、明確同意資料使用
作為 Facebook、Google Ads 廣告主,使用自訂廣告受眾功能的機會是非常高的,這也是非常推薦與值得一用的功能。
有兩種主要方法可以創建自訂義受眾:可以手動上傳名單,像是 Email 或電話;或者透過後台功能進行受眾建立,像是影片觀看、粉專互動、網站訪客。
現在由於 GDPR 的關係,要使用上傳名單建立自訂受眾就必須先經過同意,這部分可以在收集名單的時候就要進行用途告知。
4、刪除自訂廣告受眾的特定名單
這一點也 GDPR 有關,有僅上傳名單需要取得同意,當人們想要取消或刪除資料時,也等同於他們取消了使用同意。
但是問題在於 Facebook 廣告系統或任何廣告平台都不會自動從自訂受眾中移除特定名單,這確實非常不方便,但是為了遵守 GDPR,當人們在網站提出資料刪除或退訂的時候,你需要手動編輯自訂受眾並移除特定名單。
5、不要共享個資數據
在共享經濟被掛在嘴上的時代,看似什麼都可以透過共享模式來營運,但實際上並不是什麼都適合共享的,至少目前個資數據就不合適。
當你收集任何類型的個資數據,並且使用了不符合 GDPR 的平台或系統,那麼也是不符合管很大的 GDPR 規範。理想情況下,需要在使用平台之間簽訂數據處理協議(DPA),以確保條款符合雙方的同意和符合使用條例。
最後我想說的是…
看完以上的說明後,或許你可能會這麼想:我的業務範圍根本不在歐盟國家裡,根本不需要理會 GDPR,對嗎……。
其實真正重要的是要理解隱私權的重要性,以及這會對現在和未來造成哪些影響,現在密切關注這一點非常重要,因為個資保護法在世界各國一定會推展的更好、更健全,所以不代表以後也毫無相關。
因此,無論是廣告投放、網站經營都需要確保符合 GDPR 標準,不管是不是在規範範圍中,現在開始這麼做可以事先做到位,也能提升品牌信任度。
