無論是否身在歐盟，全球每一家企業都應該特別小心，以免因為誤觸這部法規而被迫面臨鉅額罰款。

此外，很多人都以為這只跟公司裡的法務單位有關，但這個想法是錯的：GDPR（General Data Protection Regulation）規範其實並不僅是法規問題，也是行銷問題。

你需要知道的事

• GDPR將於2018年開始實施；

• 它是1995年歐盟「EU法規95/46/c」的更新版本；

• GDPR要求全世界各地的公司，在歐盟成員國境內執行業務時，必須保護歐盟旗下民眾的個人資料與隱私；

• 只要你的公司有任何來自歐盟國家的客戶，這件事情就跟你有關；

• 如果不遵守GDPR，罰款金額會非常、非常重。

哪些類型的企業會受到影響？

• 在歐盟國家有法人代表的公司；

• 在歐盟沒有法人代表，但因為業務關係而持有歐盟居民的個人資料（是的，包括你發行的電子報訂戶名單、以及客戶資料庫都算）；

• 員工在250人以上和以下的公司，並沒有太大的差別；即使貴公司員工不到250人，仍然會受到GDPR的規範。

萬一被罰款，究竟會被罰多少？

GDPR規定的罰款為最高2,000萬歐元、或是受罰公司全球年度營業額的4%，以兩者較高者為準。

我們要怎麼做才能避免受罰？

關於這個問題，即使是大企業的法規遵循（一般簡稱為「法遵」）單位也很難回答，因為GDPR的細節定義還並不是很明確。

它所涵蓋的所謂「個人資料」範圍相當廣；除了眾所週知的姓名、地址、身分證件號碼之外，還包括IP位址和其他較不明顯的項目，例如：

• 藉由網站獲取的資料，如地點、IP位址、cookie資料、以及RFID識別標籤等等；

• 病歷與基因資料；

• 生物特徵資料；

• 種族與文化族群背景資料；

• 政治傾向；

• 性傾向等。

簡單的說，就是任何足以用來辨識出特定個人的資料。

尤其如果你是在「未經當事人明示許可」的狀況下取得資料、而又違反了GDPR規定，就可能會遭到懲處。

還有呢？

GDPR要求企業必須建立「合理的」資料保護措施，但並沒有定義什麼是「合理的」。法遵單位只能在行銷業務單位有疑似違反GDPR的行為時，儘速出面制止。

我是有歐洲代理／配銷商，但這樣也有事？

很有可能。

根據歐盟法規，除非合約另有規定，否則當地代理／配銷商所代表的是消費者；而相對的，個資保護則是產品供應商（而非配銷商）的責任。

如果我們做的只有「公司對公司」（B2B）的業務呢？

還是很有關係。因為即使是B2B業務，仍然有客戶關係需要維持，而且B2B的客戶仍然是「人」。

這樣的話，我在B2B業務方面得注意些什麼？

第一，要知道對方是誰在負責這個部分、以及誰有能力處理這個議題。根據GDPR的要求，企業組織中必須設立專責的資料和隱私保護主管。如果目前沒有這樣的人，則必須聘請一位、或是讓現有人員接受認證。

這個理想的人選，除了必須值得信賴、並且至少必須有法務或法遵方面的背景之外，同時也必須瞭解行銷事務。

第二，我們必須瞭解自己手上到底有哪些資料、內容是什麼、儲存在哪裡；最重要的是，知道這些資料是「怎麼拿到手」的。如果必要的話，不妨找一家服務商來做資料稽核。

做到上述這些之後，接下來則是建立一套資料庫管理系統，以避免未來資料在儲存或傳遞的過程中出錯。

第三，必須在網站、電子報訂閱、以及供應商合約等溝通介面上，增加必要的語言版本。

同時，行銷團隊必須參與這整個流程；因為，GDPR到最後的應用面會在行銷事務上，而不只是有法規遵循的面向。

GDPR不僅是法規問題，也是行銷問題

接下來要討論的，就是本文的重點：GDPR也是行銷問題。

由於行銷業務單位如果沿用舊的手法做事，可能會因為某些不確定性而觸犯相關法規，所以法遵單位及時提出警告、甚至阻止，原本就是分內工作之一；所以，往後世界各地的行銷單位很可能會經常收到「以後不能再這樣做了」的警告。

然而，GDPR也是機會

GDPR的實施，可以避免企業用過去的各種「不當手法」取得顧客個資、並且用以進行擾人的行銷活動，而必須改採較為正規的內容行銷、或是「自來客行銷」方式。

在後者的形式之中，顧客是以主動的態度提供資料，並且明確表達希望收到訊息、或是參與品牌行銷互動的意願。

而內部需要做的事情，則包括網站和行銷文件相關內容的更新、以及為行銷人員舉辦小型研討會，讓他們瞭解有哪些「非侵略性」的行銷技巧可以應用。

總而言之，GDPR是好事

GDPR（包括未來其他國家可能實施的其他類似法規）將迫使企業重視個資管理問題，並且逐步淘汰令人反感、而且也已經過時的侵略性行銷手法，避免以「亂槍打鳥」的方式來做廣告。

如此一來，企業反而有機會升級到更有效率的行銷策略、並且將更多心思花在提高產品和服務的品質上，帶來更多成功的機會。

所以，對企業來說GDPR並不是一種威脅，反而代表著更多的機會。