欧盟法规要求下的用户同意实践白皮书 目录 介绍02 第1章:GDPR和ePD针对用户同意对企业的要求04 第2章:在欧洲经济区建立合规横幅的最佳实践10 第3章:Q&A20 结论21 联系我们22 1欧盟法规要求下的用户同意实践白皮书 欧盟实施的《通用数据保护条例》(GeneralDataProtectRegulation,GDPR)驱使全球数据保护法规更加严格,赋予了消费者更大的隐私权。随着GDPR执法模式的不断完善,在欧洲经济区 (EEA)运营的公司必须遵守隐私保护法规,否则将可能面临高昂的罚款(罚款高达2000万欧元或上一个财年全球营业收入的4%),并且影响企业声誉,导致企业丧失消费者的信任。因此,企业应注意加强数据保护合规能力,以降低法律风险和经济风险,保障企业的可持续发展,同时可以赢得消费者的信任,打造良好的品牌形象,间接提高消费者对企业的忠诚度。 GDPR被公认为是隐私保护立法的重要里程碑,对数字广告行业产生了深远的影响。该法规限制企业收集和处理来自欧盟IP地址的个人数据。同样,英国脱欧后,《英国通用数据保护条例》 (UK-GDPR)和《2018年数据保护法》也约束了企业作为网站或应用程序所有者必须获取和存储用户同意,即英国地区的企业也应遵守相同的要求。在处理个人数据之前,广告商和出版商必须获得用户明确的同意,而且用户可以随时撤回同意。因此,企业必须清楚了解自己的义务。本白皮书全面概述了欧盟关于获得“用户同意”的监管要求,并提供了良好实践的范例。 介绍 欧盟法规要求下的用户同意实践白皮书2 •第1章对GDPR和ePrivacyDirective(《电子隐私指令》,ePD)有关用户同意的要求进行了介绍,其中包括与Cookie1或个性化广告等主题相关的案例研究和解释。 •第2章提供了制作合规横幅的实用指导。 •第3章列出了针对用户同意实践的常见问题以及答复。 1存储在用户本地终端上的缓存数据,由用户客户端计算机暂时或永久保存的信息,可被网站再次读取。 欧盟法规要求下的用户同意实践白皮书 3欧盟法规要求下的用户同意实践白皮书 第1章GDPR和ePD针对用户同意对企业的要求 ePD规定了Cookie或类似技术的同意要求,而GDPR规定了有关个人数据处理活动同意的一般原则。欧洲数据保护委员会(EDPB)也在其《关于GDPR下“同意”》的指南中明确指出,GDPR下获得有效同意的条件也适用于ePD范围内的情况。因此,我们更关注GDPR的同意要求。根据GDPR的要求,处理个人数据必须具有法律依据。企业处理个人数据大多采用“获得数据主体2的同意”作为法律依据。根据GDPR的定义,个人数据是指与已识别或可识别的自然人(“数据主体”)有关的任何信息,如姓名、身份证号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素。总之,如果企业采用“用户同意”作为网站或应用程序处理个人数据的法律依据,则需要遵守以下有关用户同意的要求。 —用户同意应当满足有效性 有效的用户同意是指,数据主体通过声明或明确肯定的行动来表示同意处理与其有关的个人数据,意思表示应当是自由给予的、具体的、知情的和明确的。应注意以下四个关键要素: •自由提供:意味着数据主体拥有真正的选择权和控制权。对数据主体施加任何不适当的压力或影响阻止数据主体自由地行使其意愿,都会导致获取的同意无效。 -不能把同意作为服务条款的捆绑部分。 例:某网站提供商安装了一个脚本会阻止网站内容的显示,只显示询问是否同意Cookies的请求以及正在设置哪些Cookies和出于何种目的处理数据的信息。如果不点击“接受Cookies”按钮,就无法访问内容。由于没有向数据主体提供真正的选择,获取的同意不是被用户根据自由意愿提供的。 2GDPR将数据主体定义为“已识别或可识别的自然人”,从其处或收集关于其的信息。 欧盟法规要求下的用户同意实践白皮书4 -不应让用户一次性对多个处理目的提供同意,数据主体应可自由选择他们接受的目的。 例:在同意请求中,零售商要求客户同意使用其数据通过电子邮件向其发送营销信息,并与集团内其他公司共享其详细信息。这种同意的范围比较宽泛,没有针对这两个不同的处理目的设置单独同意,因此 •具体:意味着确保用户数据对用户的透明度,用户对数据具有一定程度的 控制能力。数据主体必须在对特定处理目的知情的情况下,始终对特定的处理目的表示同意。如果为各种不同的处理目的征求同意,应该为每种目的提供单独的选择,允许用户为每种特定目的给予特定同意,并告知每种目的的信息。 这种同意无效。例:某游戏应用程序根据用户的同意收集他们的个人数据,并根据他 欧盟法规要求下的用户同意实践白皮书 5欧盟法规要求下的用户同意实践白皮书 -拒绝或撤销同意不能对数据主体造 成损害(如额外费用、服务性能下降)。 例:客户订阅了某时装零售商提供折扣的资讯,零售商要求客户同意收集更多有关购物偏好的数据,以便根据客户的购物记录或自愿填写的问卷,为其量身定制优惠。当顾客后来撤销同意时,仍应收到相同的折扣但不包含个性化营销资讯。 们的操作习惯推荐用户可能感兴趣的游戏内容。一段时间后,该应用程序决定让第三方根据用户习惯发送(或显示)有针对性的广告。鉴于这一新的目的,则需要征得新的同意。 3GDPR第22(2)条要求:数据主体有权不接受仅基于自动处理(包括用户画像)的决定,除非有以下三种情况之 一的法律依据:(a)为签订或履行数据主体与数据控制者之间的合同所必需;(b)经数据控制者所遵守的欧盟或成员国法律授权,且该法律还规定了适当措施以保障数据主体的权利和自由以及合法利益;或(c)基于数据主体的明确同意。 4GDPR第46条要求:在向第三国或国际组织传输个人数据之前,控制者或处理者应提供适当的保障措施。 欧盟法规要求下的用户同意实践白皮书6 •知情:要求在征得数据主体同意之前 向其提供有关信息,使其能够做出知情的决定。征得同意的要求应与其他事项明确区分开来,以易懂、易获取的形式展现,使用清晰明了的语言表达。如:此类信息不应只隐藏在向用户展示的一般条款中。 为获得有效的用户同意,至少应提供以下信息: a.控制者的身份; b.征求同意的每项数据处理目的; c.将收集和使用什么(类型)数据; d.用户撤销同意的权利; e.根据GDPR第22(2)(c)3条,在相关情况下,提供有关使用数据进行自动决策的信息; f.由于缺乏欧盟委员会的充分性决定和适当的保障措施(如GDPR第46条4所述),数据传输可能存在的风险。 •明确表示意愿:有效的同意需要用户 通过声明或明确的肯定行动来表示。同意可以通过书面或(记录的)口头声明,包括电子方式收集。 数据主体的沉默或不主动反馈以及仅仅继续使用服务,都不能被视为主动选择的表示,所以需要注意收集用户同意时,应当提供有利于用户反馈的界面,如提供按钮和默认不勾选的条件框。同样,接受一般条款不能被视为同意使用个人数据的明确肯定行动。在设计同意机制时,应让数据主体清楚明白其同意的行为代表什么,避免含糊不清,并确保同意的行为可以与其他行为区分开来。 例:当用户第一次访问某网站时,他们会被告知Cookie被用来收集他们的交互信息,用于改善用户浏览体验。通过点击“接受”按钮,用户可以有效地执行“明确的肯定行为”,同意进行处理。此外,还需要向用户提供一个“拒绝”按钮,当用户点击“拒绝”按钮时,将不再收集他们的交互信息。 二应获得“明示”同意的情况 如果在下列情况下使用同意作为法律依据,则需要获取用户“明示”的同意,比常规同意的内容要求更严格: •处理GDPR第9条定义的特殊类别个人数据时,包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据,以及处理基因数据、用于唯一识别自然人身份的生物特征数据、与健康有关的数据或与自然人的性生活或性取向有关的数据。 •用于对个人数据的自动化决策的处理,包括用户画像5。 •在缺乏适当保障措施的情况下向第三国或国际组织传输个人数据。 5指任何形式的个人数据自动处理,包括使用个人数据对自然人的某些个人方面进行评估,特别是分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或行动。 7欧盟法规要求下的用户同意实践白皮书 如企业在处理用户个人信息时存在以上场景,普华永道建议咨询专业的第三方,对上述情况进行详细分析。 可以考虑通过以下方法之一获得数据主体的明确同意: •书面声明:数据主体通过提供书面声明明确表示同意,在适当情况下可能需要签名。 •数字或在线同意:数据主体通过填写电子表格、发送电子邮件、上传带有数据主体签名的扫描文件或使用电子签名来表示同意。 •分两阶段核实用户同意:可分两个阶段核实同意,以确保其真实性和有效性。 为了最大限度地避免合规问题,建议不要将特殊类别数据和精确位置数据用于广告目的的数据处理。 三获得儿童同意的额外要求 在处理弱势自然人(尤其是儿童)的个人数据时,需要根据GDPR要求建立额外保护机制,特别是适用于为了营销或创建个性/用户档案而使用儿童个人数据,以及直接向儿童提供服务时收集儿童的个人数据。如果网站或应用程序以儿童为目标受众,则在基于同意进行数据处理时,应注意附加要求: •如果儿童未满16周岁(根据欧洲经济区各国的法律可能有所不同),只有在儿童的父母监护人同意或授权的情况下,此类处理才是合法的。 •应考虑到现有技术,尽力核实同意是否由儿童的父母监护人给予或授权。 如果希望最大限度地避免合规问题,建议在业务中禁止针对儿童的个性化广告。 欧盟法规要求下的用户同意实践白皮书8 四撤回同意的要求 GDPR第7(3)条规定,数据主体有权随时撤回其已提供的同意。有关撤回同意的一些具体要求如下: •数据主体应能够像提供同意一样方便地撤回其同意。例如,如果同意是通过网站或应用程序的特定服务用户界面获得的,则必须可以通过相同的电子界面撤回同意。 •撤回同意应是免费的,且不会导致服务质量下降。 •必须告知数据主体其具有撤回同意的权利,这是为获得有效同意而提供的信息的一部分。 •如果数据主体撤回同意,必须立即停止数据处理。如果没有其他合法依据,则必须删除数据。 五同意的记录 GDPR第7(1)条中,明确概述了控制者具有证明数据主体同意的明确义务。换句话说,企业应保存从数据主体处获得同意的记录。只要相关数据处理活动持续进行,企业就有义务证明曾获得用户同意。而处理活动结束后,同意证明的保存时间不得超过履行法律义务或确立、行使或捍卫法律主张所严格需要的时间。 9欧盟法规要求下的用户同意实践白皮书 第2章在欧洲经济区建立合规横幅的最佳实践 一 —网站同意横幅的注意事项 步骤1:了解用户同意方面的监管要求 可以参考第1章有关欧洲经济区和英国关于用户同意的要求。请注意,它们是通用要求,还需要了解其他可能存在的差异(例如,儿童的年龄的定义)。 步骤2:审计网站所使用的技术,识别 Cookie和其他跟踪器 对网站进行全面、彻底的扫描,了解网站上的Cookie、信标和其他跟踪技术。验证Cookie的使用是否符合网站隐私政策或放置Cookie的第三方网站的隐私政策。对网站进行审计可以自动检测和分类Cookie等跟踪技术,有助于消费者理解并选择正确的内容。Cookie通常有以下几种类型:严格必要的、功能性的、统计性的、营销性的等。只有严格必要的Cookie可以默示同意,其他类型的Cookie应由用户自主选择接受或拒绝。步骤3将对此作进一步解释。 欧盟法规要求下的用户同意实践白皮书10 步骤3:设计横幅 当设计同意横幅时,建议充分考虑以下内容。这些内容可以提升用户友好体验,可能会增加用户同意率。其他要求应以当地数据保护机构发布的指南为基础,在一些同意管理平台上也可以找到相关指南。普华永道在此提供一些