欧盟实施的《通用数据保护条例》(General Data Protect Regulation, GDPR)驱使全球数据保护法规更加严格,赋予了消费者更大的隐私权。随着GDPR执法模式的不断完善,在欧洲经济区(EEA)运营的公司必须遵守隐私保护法规,否则将可能面临高昂的罚款(罚款高达2000万欧元或上一个财年全球营业收入的4%),并且影响企业声誉,导致企业丧失消费者的信任。因此,企业应注意加强数据保护合规能力,以降低法律风险和经济风险,保障企业的可持续发展,同时可以赢得消费者的信任,打造良好的品牌形象,间接提高消费者对企业的忠诚度。
GDPR被公认为是隐私保护立法的重要里程碑,对数字广告行业产生了深远的影响。该法规限制企业收集和处理来自欧盟 IP 地址的个人数据。同样,英国脱欧后,《英国通用数据保护条例》(UK-GDPR)和《2018年数据保护法》也约束了企业作为网站或应用程序所有者必须获取和存储用户同意,即英国地区的企业也应遵守相同的要求。在处理个人数据之前,广告商和出版商必须获得用户明确的同意,而且用户可以随时撤回同意。因此,企业必须清楚了解自己的义务。本白皮书全面概述了欧盟关于获得“用户同意”的监管要求,并提供了良好实践的范例。
数据主体的沉默或不主动反馈以及仅 仅继续使用服务,都不能被视为主动 选择的表示,所以需要注意收集用户 同意时,应当提供有利于用户反馈的 界面,如提供按钮和默认不勾选的条 件框。同样,接受一般条款不能被视 为同意使用个人数据的明确肯定行 动。在设计同意机制时,应让数据主 体清楚明白其同意的行为代表什么, 避免含糊不清,并确保同意的行为可 以与其他行为区分开来。
例:当用户第一次访问某网站时, 他们会被告知Cookie被用来收集他 们的交互信息,用于改善用户浏览 体验。通过点击“接受”按钮,用 户可以有效地执行“明确的肯定行 为”,同意进行处理。此外,还需 要向用户提供一个“拒绝”按钮, 当用户点击“拒绝”按钮时,将不 再收集他们的交互信息。
如果在下列情况下使用同意作为法律依 据,则需要获取用户“明示”的同意, 比常规同意的内容要求更严格: 处理GDPR第9条定义的特殊类别个人 数据时,包括揭示种族或民族血统、 政治观点、宗教或哲学信仰或工会会 员身份的个人数据,以及处理基因数 据、用于唯一识别自然人身份的生物 特征数据、与健康有关的数据或与自 然人的性生活或性取向有关的数据。用于对个人数据的自动化决策的处 理,包括用户画像5。 在缺乏适当保障措施的情况下向第三 国或国际组织传输个人数据。
如企业在处理用户个人信息时存在以上 三 场景,普华永道建议咨询专业的第三方, 对上述情况进行详细分析。 可以考虑通过以下方法之一获得数据主 体的明确同意: 书面声明:数据主体通过提供书面声 明明确表示同意,在适当情况下可能 需要签名。 数字或在线同意:数据主体通过填写 电子表格、发送电子邮件、上传带有 数据主体签名的扫描文件或使用电子 签名来表示同意。分两阶段核实用户同意:可分两个阶 段核实同意,以确保其真实性和有 效性。
对网站进行全面、彻底的扫描,了解网 站上的Cookie、信标和其他跟踪技术。 验证Cookie的使用是否符合网站隐私政 策或放置Cookie的第三方网站的隐私政 策。对网站进行审计可以自动检测和分 类Cookie等跟踪技术,有助于消费者理 解并选择正确的内容。Cookie通常有以 下几种类型:严格必要的、功能性的、 统计性的、营销性的等。只有严格必要 的Cookie可以默示同意,其他类型的 Cookie应由用户自主选择接受或拒绝。 步骤3将对此作进一步解释。