别让GDPR成为会展业无法承受之痛
发布时间:2018-07-09 更新时间:2018-07-09 作者:道同共创(北京)科技有限公司CEO 周景龙 点击次数:5551
不久前,欧洲《通用数据保护条例》(GDPR)正式生效。该条例被称为“史上最严数据保护法”。业内人士指出,对于做国际业务的公司,GDPR影响非常大,实施后的最初几个月,一定有公司被罚,不管是中国的公司还是国外的公司,而且是重金处罚,罚款额度非常高。
GDPR对安全行业有促进作用,数据安全这个领域肯定会得到更高的关注。
事实上,GDPR不只是对互联网行业具有严格的制约,对于基于商业数据而开展业务的会展行业也有巨大的约束作用,应引起会展业界的高度关注。尤其是国际性会展活动组织者须尽快了解并遵守GDPR,否则未来因违反GDPR所产生的巨额罚款,将是会展活动组织者无法承受的。
GDPR旨在协调所有现行规定,为欧盟(EU)公民提供更高级别的个人数据安全保障。若中国会展组织者认为,在中国境内的会展活动与欧盟的GDPR没有什么关系,那就大错特错了。GDPR将适用于收集或分享来自欧盟参与者和赞助商的任何个人数据。
即使是在中国举办会展活动,哪怕有一位来自欧盟的参会者,同样需要遵守GDPR。GDPR不仅仅涉及个人信息安全漏洞,对于不遵守其条例规定的行为,违规者将面临其全球收入的4%或不合规情况下的2000万欧元(以较高者为准)的罚款。
“个人数据”的定义范围非常宽泛,除包含姓名、电子邮件、身份证号码、照片、位置数据和在线身份认证(IP地址、社交媒体)等数据点外,还包括特定于身体、社会和经济的任何因素。
GDPR对于会展业的影响,主要是客户关系管理系统的CRM,以及对参展人员和观众注册部分。根据GDPR条例,今后,参展商或观众的名片、注册的电子信息,会展活动组织者不可以随意使用。这意味着,在GDPR时代,会展活动组织者收集个人的信息数据,需明确数据的使用方式和原因。
根据GDPR,数据收集有六种法律依据,都具有同等的重量和地位。对于会展活动组织者来说,最重要的是需要进行合法利益评估LIA。必须告知数据主体:集什么信息、使用什么信息,以及将如何与他们沟通。例如,会展活动的观众邀请,需要收集大量目标人群的联络信息,但目前通过群发邮件邀请其参观的行为,在未来将被视为违法,可能遇到麻烦。这就需要会展活动组织方与被邀请对象沟通,愿意通过哪种方式收到活动邀请和相关信息,如此才能作为获得合法利益的依据。
GDPR具有追溯性,适用于展会客户管理系统已收集数据和全新数据。如根据合法利益处理数据,则需要向参与者发送更新后的符合GDPR标准的隐私政策,还要求增加数据清查(审查电子数据的存储方案),并查看物理记录(包括装满名片的抽屉),以确保未持有未经同意而获取的“过期”数据。会展活动组织者与合作的任何第三方信息服务供应商,都须尽早熟悉GDPR,利于会展活动的举办。同时,也避免因潜在违规而付出高昂的代价。
当前,国内会展行业数据管理水平还处于一个较低的状态,观众注册尚未注重个人信息安全。近期,笔者参观了几个大型展会,发现观众胸卡上的条码基本上都是明码,其中最为严重的还包含姓名、公司甚至手机号码等个人信息。可以说,现阶段,国内的会展活动组织者的信息使用基本上都不符合GDPR条例。尽管GDPR目前在中国的实施还需要一个过程,但这将是未来的发展方向,会展活动组织者应做好准备。尽管GDPR还没有引起会展业的重视,但国际展览与活动协会(IAEE)已发布关于该主题的白皮书,向其成员通报可能影响他们的政策和法律层面的变化。