GDPR 最近变得流行起来，如果你的app或者game有来自欧盟（European Union）的用户，你需要阅读这篇文章。

什么是GDPR

GDPR的全称是General Data Protection Regulation，是由欧盟推动的数据隐私保护法案，将于这个月的25号（May 25）正式生效。

简单点说，GDPR生效后，对个人数据的隐私和保护将更加的透明和具有操作性。

我不在欧洲，我需要关注GDPR吗？

首要原则——只要你搜集和处理欧盟成员国的用户的信息，就需要遵守GDPR。

常见的问题：

1. 我是中国的开发者，我需要遵守GDPR吗？ – 你的app有欧洲用户吗？如果有，请记住首要原则。
2. 我是美国的开发者，我需要遵守GDPR吗？- 你的app有欧洲用户吗？如果有，请记住首要原则。
3. 我的app不在欧洲发布，我需要遵守GDPR吗？-  你的app有欧洲用户吗？如果没有，不需要遵守。
4. 我看其他竞争对手也没遵守GDPR，我需要遵守吗？- 你的app有欧洲用户吗？如果有，请记住首要原则。

实践中，常见的问题是，中国开发者认为：

1. 自己不是欧洲的开发者，不需要遵守GDPR。 如果你这么想了，请看常见问题1。
2. 自己的竞争对手并没有遵守GDPR，认为自己也不需要遵守。如果你这么想了，请看常见问题4。

一句话总结一下，这是一个非常严格的隐私保护法案，只要你处理欧盟用户的数据，就需要遵守。

违反GDPR的后果是什么？

违反GDPR，将被除以2000万欧元的罚款，或者公司年收入的4%，两者之中，哪个金额大，以哪个作为处罚的金额。

PS：尽管欧盟一再强调违法GDPR的后果，但是相信，肯定还是有很多中国的开发者会铤而走险，特别是那些抱有『竞争对手也违反GDPR了，为什么单独盯着我不放』的心态的开发者。关于这个，也没有太多可说的了，参考中兴的案例吧。

作为开发者，我需要知道什么？

1. 必须明确询问用户，是否允许同意搜集他们的数据

明确的意思说：必须以清晰的方式询问用户，而不能以任何方式默认用户授予开发者数据使用许可权。

如下的询问是明确的（符合GDPR要求）：

• 点击下面的按钮，表示您同意xxx搜集你的数据并用来推荐相关的产品/广告/etc/；
• 点击下面的按钮，表示您不同意xxx搜集你的数据；
• 我不同意搜集我的数据。

如下的询问是不明确的（违反GDPR要求）：

• 以复选框的形式呈现，默认勾选『同意搜集数据』；
• 请阅读下面的关于GDPR的邮件（然后要求用户勾选『我同意上述的条款』。

关于明确获得用户同意，可以参考GDPR的artcile 7

2. GDPR中『用户的数据』是指什么数据

GDPR的关于用户数据定义的非常清楚：personal identifier Information——就是说，如果可以通过该数据定位到用户，则该数据被认为是PII（personal identifier Information）。

任何针对 PII的搜集，都必须明确的询问用户是否同意（关于什么是明确询问，请参考第一点）

什么是PII呢？

GDPR法案中说明：Personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a home address, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address.

由此可见，法案对PII的覆盖相当广泛。

3. 如果用户不同意搜集数据，怎么办？

这是GDPR的难点（如果每个欧盟用户都同意开发者搜集他们的数据，那GDPR就等与形同虚设）

划重点：如果用户不同意搜集他们的数据，开发者必须能够将PII处理为 non PII信息，且不能被反向编译从而变回PII信息。

举例来说：如果用户不同意搜集数据，必须将用户的email address（PII）处理为 non PII 的email address。处理之后，开发者虽然知道这个non PII的信息代表一个email address。

但是，并不能通过处理后的email address来定位到用户。并且，处理后的email address不能被反向编译或者恢复成PII。也就是说，不能通过反向编译或者恢复，定位到该用户。

4. 如果用户开始同意，后来又不同意了，怎么办？

GDPR允许用户撤回自己的『同意许可』——用户同意搜集数据之后，依然可以在未来撤销这样的同意许可，开发者必须支持这种撤回请求。

当用户撤回自己的同意许可之后，开发者必须（1）停止搜集用户的数据（2）对以前搜集到的该用户的数据进行处理，使之成为non PII信息。

划重点：如果用户撤回同意许可，开发者必须对以前搜集到的该用户的数据进行处理，使之成为non PII信息。

如果一个用户想撤回他5年前的数据，我该怎么办？

GDPR法案中没有明确规定需要对用户的数据保留多长时间。但通常，数据应该保留12个月或24个月。

作为产品经理，需要做什么？

1. 详细检查并确认你的产品是否在欧盟运营，是否有欧盟用户。
2. 明确获得用户的许可来搜集数据。通常，app或者游戏开发者可以通过弹窗的方式，来明确的获得用户是否许可的信息。
3. 将自己产品中的用户数据进行归类，比如：PII、non PII、公开信息、非公开信息、保密数据等等，以便能够针对PII 信息做出相应的设计。
4. 处理PII信息。因为每一个公司处理PII的方法并不相同，这里就不展开了。
5. 定义数据的存储周期，比如：12个月、24个月等等。
6. 升级你的产品，使之成为GDPR合规产品。

GDPR对我的产品有什么影响？

因为GDPR使得欧盟的用户对个人数据拥有更明确的处理权限，因此，在产品面上的确造成了一些影响。

比如：数字广告行业，如果用户不同意搜集个人数据，将无法定位用户，因此也将无法为用户提供个性化的广告。

电商，同理，如果用户不同意搜集数据，也将无法为用户推荐个性化的商品。比如：移动游戏，无法向那些『不同意搜集数据』的用户进行邮件的推广，等等。

不过，GDPR是面向所有在欧盟进行运营的开发者的，因此，所有人都受到同样的影响

本文由 @ Han Li 原创发布于人人都是产品经理。未经许可，禁止转载

题图来自网络