浅析opt-in &opt-out
引言
同意是数据处理中的一个很重要的合法性因素之一,也是数据保护合规工作中一个重点,本文将聚焦欧洲、亚洲的法规,深入探讨在不同场景下,该如何考虑选择性同意和退出的合规要点。
01什么是选择性同意(opt-in)和选择性退出(opt-out)?
选择性同意,通常为用户积极主动执行同意的过程,一般可以通过主动“勾选”、“同意”、“注册”等主动填写或主动同意的方式来进行。选择性退出,是指用户撤回同意或拒绝同意执行某些操作的过程。
Q:为什么opt-in和opt-out可能会影响同意的有效性呢?让我们先从欧洲的一个典型的判例开始说起,这个案例为后来同意有效性的判定提供了重要的参考价值。
2013年9月24日,德国Planet49 GmbH(以下简称Planet49)公司组织了一次促销彩票的活动,参与抽奖的用户需要登录网站填写基本信息,在该界面,用户需要对两个复选框进行勾选,复选框的内容如图1:
第一个复选框的主要内容
“同意第三方合作伙伴向用户进行营销,用户可随时撤销同意”
第二个复选框的主要内容
“同意使用cookie分析用户行为,进而通过第三方开展个性化推荐等服务,用户可随时删除cookie”。
不得不提到的是,该网站上的第一个复选框没有被勾选,但是第二个复选框被Planet49预先替用户勾选过了。
最初,德国消费者协会(以下简称协会)表示,Planet49的关于收集用户同意的实践不符合德国法条的要求,向其发出警告但未被其重视,之后协会针对该问题相继上诉到法兰克福高等法院和德国联邦法院。德国联邦法院给出的关于预选勾选框(第二个复选框)的裁决意见为不视为获得用户有效的同意,首先预先勾选不属于用户积极的同意,其次访问cookie的同意请求不应该包含于确认参与彩票活动注册时,需要另外单独授权【1】。
说到同意的有效性,不得不提的是世界范围中最严格的数据保护相关的法律《一般数据保护条例》(以下简称GDPR),其中关于数据主体同意(以下简称consent)的相关要求【2】如下图2:
另外在英国GDPR指导中也明确说明同意需要一个明确的积极的选择,不应使用预先默认勾选框或任何其他默认同意的方法【3】。
反观国内,根据《个人信息安全规范》中关于授权同意的要求,主要有两种,一种是明示同意【4】,更多是与GDPR中要求的积极主动同意类似,个人可以通过书面,口头等主动性的方式进行明确授权;另一种是授权同意【5】,范围相对大一些,既包括明示同意,也包括消极同意。对于敏感数据、生物数据和儿童数据的收集等则需要数据主体的明示同意。
相对于GDPR中“一刀切”的明示同意来说,我国的要求看起来更加的人性化。澳大利亚的同意有效性与我国的要求比较类似。
Office of Australian Information Commissioner (以下简称OAIC)澳大利亚数据保护监管对Privacy Act-The Australian Privacy Principles中的关于同意(consent)的概念作出解释【6】,包括明示同意(express consent)和默认同意(implied consent),但是对于两种同意的要求,都是要求数据主体自愿给出,用户有权撤回同意,且在默认同意中,要求选择退出选项清晰且须免费提供,数据主体有能力执行选择退出是默认同意机制成立的一个必要选项。
02什么是软选择同意机制(soft opt-in)?
不少人肯定也会看到过关于soft opt-in的说法,是的没错,在Privacy and Electronic Communication Regulations (以下简称PECR)和ePrivacy Regulation中都有相关的规定,更多的是用于直接营销的场景。
英国Information Commissioner’s Office (以下简称ICO)中提到,软选择同意机制意味着可以向自己的客户发送电子邮件或发短信,但它不适用于潜在客户或新的联系人【7】。ePrivacy Regulation中也提到在提供服务的过程获取用户的联系方式,可以使用该联系方式进行对该用户进行类似产品或者服务的直接营销,但是需要给到用户在收集联系方式的时候的反对权利【8】。
关于soft opt-in也有这样的一个比较典型的判例。2021年3月份,英国ICO处罚了一家食品公司,原因是该公司没有满足英国PECR中关于soft opt_in的成立条件进行营销,在2019年3月25日到2019年10月25日之间,违规发送高达1亿封左右的邮件和六百多万条SMS,最终被处以5万英镑的罚款【9】。
根据PECR第 22(3)【10】,soft opt-in的成立条件需要满足以下三点:
1) 必须在向该用户销售(或销售谈判)产品或服务的过程中获得相关联系方式;
2) 直接营销只针对该用户营销本公司的相似产品和服务;
3) 无论是在第一次收集详细信息时还是在此后的每条消息中,都必须给此用户一个简单的机会来拒绝或选择退出营销。
许多欧洲企业依靠soft opt-in作为直接营销的方式,作为GDPR 合规同意的简单替代方法。但是使用的过程中,需要考虑到不同法规要求的对比以及执法的角度和力度。
Opt-in和Opt-out对商业化推送的影响
直销是opt-in和opt-out的一个很重要的应用场景,不同的国家关于商业化推送有不同的要求,但是实际应对中,都是可以从推送过程中的几个关键节点入手:
推送前:首先需要关注同意的有效性和推送信息的内容。ePrivacy Regulation中有提到发送商业化信息之前需要获取用户的同意【11】。中国《消费者权益保护法》中提到“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息【12】。”《互联网电子邮件服务管理办法》也提到任何组织或者个人未经互联网电子邮件接收者明确同意,不得向其发送包含商业广告内容的互联网电子邮件【13】。
关于推送信息内容方面,国外和国内也有相似的要求。例如,ePrivacy Regulation中有规定每次发送商业性信息时需要告知用【14】:
1) 发送者身份及其有效的退货地址或联系方式;
2) 通讯信息的营销性质及发送者的身份和详细联系方式;
3) 接收者可在任何时间以简单有效的方式免费反对或撤回其同意。
国内的《通信短信息服务管理规定》中规定【15】,短信息服务提供者、短信息内容提供者请求用户同意接收商业性短信息的,应当说明拟发送商业性短信息的类型、频次和期限等信息。由此可看出,在推送信息的时候推送者应该关注发送者身份和联系方式,该信息的营销性质类型,发送频次和期限等内容。
推送后:很大程度一部分的法律中,都提到了拒收这个问题。用户如果不想再继续收到类似的信息,是否可以通过某种途径进行关闭,行使自己的拒绝权。国内《个人信息安全规范》中提到【16】“应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。” GDPR中也提到【17】用户主体有权随时撤回同意,撤回需要和同意一样的容易。从中可以看出,设置一个方便,简单的拒绝接收通道,对营销业务来说是必要的。
关注法规的特殊性:对于一个跨国企业来说,满足数据处理的合法性是很重要的一件事。由于某些场景,如营销和cookie的特殊性,有些国家可能会建立不同于基本数据保护法规的规定或者指导,需要关注其特殊点,以及是否可以设置勾选框,勾选框是否可以预先默认勾选等要求。
用户有效的同意和撤回权利:另外,需要关注在获取用户授权之前充分告知数据处理的目的以及方式等,涉及到商业化推送或者营销相关的内容,需要建立商业化隐私政策并获取用户的有效同意,设置用户拒绝接受服务或者选择退出的通道且保证该通道容易识别和操作。
引用列表:
[1]http://curia.europa.eu/juris/document/document.jsftext=Cookie&docid=212023&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=3758434#ctx1
[2] Article 4(11) of the GDPR:‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
https://gdpr-info.eu/art-4-gdpr/
[3] Consent requires a positive opt-in. Don’t use pre-ticked boxes or any other method of default consent.
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/
[4] 《个人信息安全规范》3.6 explicit consent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。注: 肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
[5] 《个人信息安全规范》 3.7 consent 个人信息主体对其个人信息进行特定处理作出明确授权的行为。注: 包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。
[6] https://www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-b-key-concepts/
[7]https://ico.org.uk/for-organisations/guide-to-pecr/electronic-and-telephone-marketing/electronic-mail-marketing/
[8] ePrivacy Regulation,Article 16(2)
[9]https://ico.org.uk/media/action-weve-taken/enforcement-notices/2619368/muscle-foods-limited-en.pdf
[10] PECR Regulation 22(3)
[11] ePrivacy Regulation,Article 16(1)
[12] 《消费者权益保护法》第二十九条
[13] 《互联网电子邮件服务管理办法》第十三、十四条
[14] ePrivacy Regulation,Article 16(6)
[15] 《通信短信息服务管理规定》第十八条
[16]《个人信息安全规范》8.4
[17] Article 7(3) of the GDPR