如何使您的移動應用符合 GDPR

什麼是 GDPR？

GDPR 代表通用數據保護條例。
GDPR 將於 2018 年 5 月 25 日起強制執行。它旨在保護用戶數據的存儲和使用，並確保用戶可以控制他們的數據，而不是公司負責用戶數據。

GDPR 關鍵定義

為了幫助您了解應用程序的 GDPR，我們將在本文中引用一些關鍵定義。
數據控制者：數據控制者是確定收集和處理個人數據的目的和方式的實體。 如果您擁有一個網站或移動應用程序，並且您正在決定收集什麼、如何收集以及出於什麼目的，那麼您就是數據控制者。
數據處理器：數據處理器是代表數據控制器處理個人數據的組織。 例如，插入您的網站或應用程序的第三方服務，例如訪問或託管您的客戶數據的分析（Google Analytics、KISSMetrics）、雲服務 (AWS)。
數據主體：其數據被處理的自然人。 例如，應用程序用戶或網站訪問者。
有關 GDPR 定義的完整列表，您可以閱讀該法規的第 4 條。

GDPR 對我有影響嗎？

最有可能的是，是的！
GDPR 適用於所有擁有來自歐盟 (EU) 的客戶或網站/移動應用程序訪問者的企業。 這意味著世界上任何以任何方式處理歐盟居民個人數據的組織都有義務保護其用戶數據並遵守 GDPR。

GDPR 下的“個人數據”指的是什麼？

GDPR 下的“個人數據”包括與可識別的人有關的任何信息，尤其是通過參考標識符可以直接或間接地識別該人。
其範圍很廣，包括從個人信息到通過分析跟踪工具放置在某人瀏覽器上的 cookie，您可能會使用它來跟踪您的網站使用情況。
對於您的網站或應用程序，這意味著您必須考慮如何收集和存儲個人識別詳細信息，例如姓名和電子郵件地址，還要考慮諸如用戶的 IP 地址和設備 ID（設備與外部 SDK 共享的唯一 ID）等內容。用於廣告和分析）。

GDPR 對您的移動應用意味著什麼？

不符合 GDPR 的罰款很高——佔全球年營業額的 4% 或2000 萬歐元（以較高者為準！）。
隨著 GDPR 合規性成為每個在歐盟擁有客戶或網站訪問者或應用程序用戶的企業的要求，您可能會擔心您的移動應用程序是否符合 GDPR。
作為移動應用發布者，您需要了解如何獲取、傳輸、存儲和處理您的用戶數據。 您應該花一些時間來準確了解您目前如何確保用戶的數據安全，以及您可以採取哪些措施來改進這一點，以便擁有符合 GDPR 的移動應用程序。
Cennydd Bowles 總結了為什麼你應該合規，即使最初可能需要做很多工作： “你最終可能會得到比以前更少豐富的客戶洞察力。 一些 KPI 可能會下降。 但對於擁有直接客戶關係的公司來說，這一切都是可控的，而且從好的方面來說，您不僅可以降低合規風險，而且可以從客戶對您和整個網絡世界的信任度增加中受益。”
一般而言，有一些與您的移動應用程序和業務相關的關鍵亮點將幫助您確保 GDPR 合規性。
向下滾動以找到您應該考慮的 9 件事，以便擁有符合 GDPR 的移動應用程序。

1.隱私設計

設計隱私現在是 GDPR 下的一項法律要求。 從您開始創建移動應用程序的那一刻起，您就應該考慮用戶的隱私。
根據GDPR 第 23 條，您的應用程序只能保存和處理絕對必要的用戶數據。
這意味著當您開發移動應用程序或讓第三方開發它時，您需要考慮數據保護和用戶隱私。
設計隱私並不是一個新概念，它涉及從一開始就考慮用戶在應用、網站或軟件中的數據隱私，而不是事後才考慮。 設計隱私的想法包括決定您需要哪些數據，以及您不需要哪些數據。 在 Brian Pagan 關於設計考慮隱私的應用程序的概述中，他詢問您是否真的需要用戶名和出生日期。 在許多情況下，這些字段中的一個就足夠了。 他寫道： “有人以我的名義開信用卡的風險遠遠超過獲得‘生日快樂’的好處。 垃圾郵件來自貴公司的營銷電子郵件。”
在設計和構建您的移動應用程序時，值得考慮所有選項。
除了作為法律​​要求外，您的應用用戶還將欣賞您為他們的利益而採取的額外隱私考慮！

我們的建議：

從一開始就考慮你的用戶數據，不要讓它成為事後的想法。
如果您網站的頁面正在您的移動應用程序中加載（例如聯繫表格），請在查看您的應用程序時考慮網站上發生的數據收集。
在創建新功能或在應用程序上創建新頁面時，您應該考慮隱私設計，以保持 GDPR 合規性。
除此之外，您還應該使用強大的加密算法來加密個人數據。 這將幫助您將數據洩露的影響降至最低。

2. 徵求明確同意

根據 GDPR，企業必須請求並獲得用戶同意才能收集、使用和移動個人數據。
這包括為廣告、分析、崩潰記錄或其他任何事情收集的數據。 選擇加入必須是可以理解和明確的。 您將無法擺脫沒有人可能閱讀或完全理解的令人困惑的條款和條件。
當您的應用程序啟動時，可以通過選擇加入屏幕輕鬆授予明確同意。 您的應用程序用戶首先選擇下載您的應用程序，因此大多數人很可能很樂意同意使用您的應用程序並從您的企業接收進一步的通信，前提是收件人可以看到好處。
您的用戶還必須能夠盡可能輕鬆地撤回同意。 您可能需要更新您的隱私政策以解決此問題，並在您的網站上添加另一個頁面，供用戶選擇退出。

我們的建議：

當有人在您的移動應用程序上註冊時，應要求他們選擇加入以收集他們的數據，或接收通信，例如電子郵件或推送通知。 我們強烈建議在應用啟動時顯示同意屏幕，因為這是完全符合 GDPR 的唯一方法。 您還應該在這些屏幕上準確地通知用戶他們的數據將在哪裡使用。 例如，他們會在 Google Analytics 中被跟踪，還是會將數據發送到 Google Admob 以向他們展示相關廣告？ 您的用戶需要知道，您有義務在他們開始使用符合 GDPR 的移動應用程序時立即通知他們！
除此之外，您的符合 GDPR 的移動應用程序應該有一個專用頁面，用戶可以在該頁面中選擇退出您的通信，或要求從他們那裡刪除他們的數據。
MobiLoud 為移動應用程序提供了一個推送通知設置頁面，這至少有助於解決與您的應用程序通知有關的問題。

3. 提供可見性和透明度

GDPR 最重要的方面之一是您收集的數據的實際使用方式。 如果您是數據控制者，則需要了解您的用戶如何有效地管理和保護他們的用戶數據。
通過清晰易懂的隱私政策證明可見性和透明度不僅有利於您的移動應用程序的用戶，而且它也是 App Store 的一項要求。 如果 Google 無法在您的 Play 商店的個人資料頁面上找到隱私政策並且無法在您的應用內訪問，他們將刪除您的應用。
您還應該向您的用戶提供有關您使用哪些第三方來收集或處理用戶數據的信息。
例如，如果您的應用程序連接到外部服務，例如用戶分析解決方案（例如 Google Analytics、Fabric）、廣告提供商（例如 Admob、MoPub）或推送通知提供商（例如 Firebase、OneSignal），您應該向用戶明確披露在您的隱私政策中。
您還應確保收集任何用戶數據的所有第三方提供商都符合 GDPR。 他們將是“數據處理者”，而您仍然是“數據控制者”。 因此，您應該簽訂書面協議，以達到 GDPR 要求的數據保護和安全保證水平。 對於其中一些，您將能夠簽署數據處理協議，將所需的措辭添加到您的協議的現有條款中。

我們的建議：

為您的移動應用創建或更新應用的隱私政策頁面。 您可以選擇使用鏈接到您的移動應用程序法律條款的側邊欄或菜單項。 這將使用戶能夠輕鬆查找、閱讀和了解您的移動應用程序如何使用他們的數據。
如果您基於網站內容構建了應用程序並且您正在使用 MobiLoud，這非常簡單，可以通過在應用程序設置的“菜單配置”選項卡中添加指向應用程序菜單的鏈接來完成。

4 . 響應用戶請求

如果有人問您如何使用他們的數據，根據 GDPR，您在法律上有義務回應他們。 這稱為主題訪問請求。
主題訪問請求可以以物理方式或數字方式完成。 當用戶詢問有關其數據的信息或在您的移動應用程序中使用的數據副本時，您有一個月的時間做出回應。 對於復雜的請求，您將有最多三個月的時間做出回應。
這聽起來像是您需要在客戶服務上投入更多時間和精力，但如果您的企業設置為具有符合 GDPR 的流程，則不應該花費太多時間。 歸根結底，為您的客戶和移動應用程序用戶提供高質量的客戶服務是一件好事！
最初您可以響應這些臨時性請求，但最終您會希望有一個內部流程來為此類請求生成響應。

我們的建議：

在您的網站和移動應用程序上創建一個包含您的業務聯繫信息的頁面。 這將允許用戶輕鬆與您聯繫，並從您的角度提供透明度。 努力快速、清晰地響應所有主題訪問請求。

5. 被遺忘的權利

GDPR 第 17 條強調了刪除權或“被遺忘權” 。 這意味著，當用戶要求您刪除通過您的網站或移動應用程序獲取的數據時，您有義務刪除您在所有系統中持有的關於他們的所有個人詳細信息，無論您是直接控制他們的數據，還是通過您使用的工具或 SaaS 控制他們的數據在您的應用程序中（例如，Google Analytics）。
如果您希望您的移動應用程序符合 GDPR，您可以選擇提供解決方案，例如直接從應用程序中從您自己的數據庫中刪除用戶數據，或者使用簡單的聯繫表格或專用頁面，用戶可以請求刪除他們的數據.

我們的建議：

保持透明並允許用戶輕鬆聯繫您以刪除他們的數據。 當有人要求刪除他們的數據時，請認真對待該請求並在您控制的每個系統上遵守該請求。
您也有義務通知第三方數據處理器必須從他們的服務器中刪除數據。 這可以通過調用他們的 API 來完成，該 API 允許刪除個人數據（如果提供者提供）。

6. 查看您使用的服務和 SDK

如果您的應用程序將個人數據發送到外部服務進行處理（例如分析應用程序使用情況），您需要清楚和透明地了解這些數據的位置以及誰將控制傳輸的數據。
然後，您應該與您的數據處理者簽署數據處理協議(DPA)。 您的企業與數據處理方之間的書面合同將是 GDPR 的一般要求。 越早完成這項工作越好！
不要假設連接到您的應用程序的所有第三方和 SDK 都符合 GDPR。 如果您的第三方之一發生數據洩露導致您的用戶數據被洩露，您應負責。
數據控制者有責任確保所有第三方數據處理符合 GDPR，並採取適當的數據安全措施。 為確保這一點，您應該直接與您的第三方合作夥伴交談，詢問他們最新的隱私政策和條款，以及他們為遵守 GDPR 所做的工作。
您應該徹底分析處理您的數據的供應商，並花時間了解他們是否符合 GDPR。 如果他們是美國的，他們是否在歐盟-美國隱私保護框架下註冊？ 任何企業都可以根據此進行自我認證，並且該供應商需要獲得此認證才能符合 GDPR。
花時間是值得的——
Enola Labs的首席技術官 Marcus Turner 表示：“歸根結底，對於關心保護客戶和業務的企業主而言，更高級別的網絡安全是一項必要且值得的投資。 我經常告訴企業，他們現在可以支付前期費用來保護他們的數據，或者等到網絡安全攻擊之後再支付更大的代價來清理混亂。 等待很可能會讓你的生意付出代價“。
因此，請確保您花時間審查您的技術供應商並投資必要的供應商，以幫助保護您的企業免受違反 GDPR 的影響。

我們的建議：

您應該只與能夠提供“充分保證”滿足 GDPR 要求並且您的用戶數據得到充分保護的提供商簽訂合同。
許多供應商將在其網站上提供 GDPR 頁面，或更新其隱私政策或條款和條件以確保 GDPR 合規。 您應該熟悉這一點，或者與他們的支持或法律團隊的人交談，以了解他們是否符合 GDPR。

7. 數據洩露通知

為了增加客戶和企業之間的信任，並且在雅虎、優步、Equifax 等公司發生重大數據洩露事件之後，GDPR 正在實施更嚴格的最後期限，要求企業通知國家監管機構及其用戶。 披露必須在 72 小時內進行。
為確保您的業務能夠做到這一點，您可能需要投資技術以確保對您的數據進行持續監控，並在存在風險時通知您。 您還應該建立一個明確的程序，說明您將如何應對數據洩露——包括您將如何通知用戶，以及您將如何保護他們的數據。

我們的建議：

建立一個清晰的分步流程，在發生數據洩露時可以使用，包括您將如何通知用戶和國家監管機構有關洩露的信息。

8. 任命數據保護官

您的公司可能需要任命一名數據保護官 (DPO) 才能符合 GDPR。 這適用於您，如果：

• 您是公共機構（以司法身份行事的法院除外）；
• 您的核心活動需要對個人進行大規模、定期和系統的監控（例如，在線行為跟踪）； 或者
• 您的核心活動包括大規模處理特殊類別的數據或與刑事定罪和犯罪有關的數據。

雖然這可能不適用於所有讀者，但如果您的網站或移動應用程序處理大量個人數據，您應該考慮是否需要數據保護官來幫助您監控內部合規性，告知您的企業數據保護義務並提供建議，並充當數據主體（即您的用戶）和監管機構的聯絡點。

我們的建議：

評估您的企業是否需要 DPO 才能合規。 如果是這樣，您應該指定一位，並告知您的網站或移動應用程序用戶他們如何联系您的 DPO。

9. 加密和數據存儲

您的移動應用程序應使用 SSL 或 HTTPS 進行外部通信。 在傳達任何類型的個人信息時，必須對這些數據進行加密。 不加密數據意味著發送的信息將以明文形式發送並通過互聯網公開。
如果您構建了一個連接到您的網站或網絡服務器並傳輸敏感數據（例如用戶名/密碼）的應用程序，您應該驗證您的應用程序的所有連接都使用 SSL。
加密不僅與外部通信有關。 您的移動應用程序收集的所有數據都應存儲在安全的地方，並且您的備份也應加密。 用戶還應該知道他們的數據將保留多長時間。

我們的建議：

確保您的應用通過 SSL 和 HTTPs 使用安全通信，並確保您的 SSL 證書已正確部署。
存儲的所有數據都應使用加密，並且您應向數據主體公開您保留此數據的時間。

10. 記錄並證明您的數據收集

GDPR第 30 條概述了每個數據控制者或控制者代表“應保留其負責的處理活動的記錄”
這意味著為了確保您的 GDPR 合規性，您應該開始記錄您收集的所有數據（您自己或通過第三方）。
您應該為您的數據收集活動創建一個安全、全面的日誌。
有關如何執行此操作的一個很好的示例，我們建議您閱讀GDPR 合規性啟動資源指南的第 1 步。
該日誌應包括您收集的網站訪問者和用戶的所有和任何類型的個人數據。 從人們的姓名（如果收集）到 IP 地址，再到他們所在的國家/地區。
然後，您應該說明為什麼要收集這些數據。 您需要確定存儲它的位置、存儲時間、如何證明數據收集的合理性等等。

我們的建議：

確保您完全了解您正在收集的每一種用戶數據，並確保您可以證明您收集這些數據的理由。
您可以參考的清晰、完整的文檔不僅可以在客戶或用戶詢問您的 GDPR 政策時為您提供幫助，還可以確保合規性並保護您的業務和移動應用程序。

包起來

GDPR 是一項法律要求，對於以任何方式與歐盟人員和客戶進行互動的任何企業來說都是不可避免的。
任何數據被處理的人都必須能夠對其數據行使其權利，即使它在您的控制之下。
您需要擁有符合 GDPR 的移動應用程序。 如果不確保合規，您將面臨巨額罰款並失去客戶對您業務的信任！ 出於這個原因，創建一個流程來確保您的業務和移動應用程序的合規性應該是您的首要任務。
儘管 GDPR 有嚴格的規定，但我們認為您不應將其視為令人頭疼的問題。 為您的用戶提供符合 GDPR 的移動應用程序將使他們知道您重視他們，並致力於他們的數據安全。 對於許多企業來說，確保合規性將是一種增值，並使您的用戶信任您的移動應用程序，因此您應該接受它！
如果您想了解有關 GDPR 的更多信息，我們提供了以下幾個資源的鏈接：

• 閱讀歐洲議會發布的整個通用數據保護條例以熟悉它。
• 閱讀 Kyvio 的理解 GDPR 的優秀指南、SafeDK 的這篇文章以及面向開發人員的實用 GDPR 指南。
• 閱讀啟動資源的快速和骯髒指南，以使初創企業和小型企業合規
• 根據歐盟-美國隱私護盾框架對您的業務進行自我認證。 這為大西洋兩岸的公司提供了在將個人數據從歐盟傳輸到美國時遵守歐盟數據保護要求的機制。

如果您的網站符合 GDPR，並且您希望構建符合 GDPR 的移動應用程序，MobiLoud 會提供符合 GDPR 的解決方案，並為您的企業提供用戶參與和覆蓋的新平台。