2024欧盟法规要求下的用户同意实践白皮书

目录 02 介绍 04第1章：GDPR和ePD针对用户同意对企业的要求 10第2章：在欧洲经济区建立合规横幅的最佳实践 20第3章：Q&A 21结论 22联系我们 介绍 欧 盟 实 施 的《通 用 数 据 保 护 条 例》(GeneralDataProtectRegulation,GDPR)驱使全球数据保护法规更加严格，赋予了消费者更大的隐私权。随着GDPR执法 模 式 的 不 断 完 善，在 欧 洲 经 济 区（EEA）运营的公司必须遵守隐私保护法规，否则将可能面临高昂的罚款（罚款高达2000万欧元或上一个财年全球营业收入的4%），并且影响企业声誉，导致企业丧失消费者的信任。因此，企业应注意加强数据保护合规能力，以降低法律风险和经济风险，保障企业的可持续发展，同时可以赢得消费者的信任，打造良好的品牌形象，间接提高消费者对企业的忠诚度。 GDPR被公认为是隐私保护立法的重要里程碑，对数字广告行业产生了深远的影响。该法规限制企业收集和处理来自欧盟IP地址的个人数据。同样，英国脱欧 后，《英 国 通 用 数 据 保 护 条 例》（UK-GDPR）和《2018年 数 据 保 护法》也约束了企业作为网站或应用程序所有者必须获取和存储用户同意，即英国地区的企业也应遵守相同的要求。在处理个人数据之前，广告商和出版商必须获得用户明确的同意，而且用户可以随时撤回同意。因此，企业必须清楚了解自己的义务。本白皮书全面概述了欧盟关于获得“用户同意”的监管要求，并提供了良好实践的范例。 •第1章对GDPR和ePrivacy Directive（《电子隐私指令》，ePD）有关用户同意的要求进行了介绍，其中包括与Cookie1或个性化广告等主题相关的案例研究和解释。 •第2章提供了制作合规横幅的实用指导。 •第3章列出了针对用户同意实践的常见问题以及答复。 第1章GDPR和ePD针对用户同意对企业的要求 ePD规定了Cookie或类似技术的同意要求，而GDPR规定了有关个人数据处理活动同意的一般原则。欧洲数据保护委员 会（EDPB）也 在 其《关 于GDPR下“同意”》的指南中明确指出，GDPR下获得有效同意的条件也适用于ePD范围内的情况。因此，我们更关注GDPR的同意要求。根据GDPR的要求，处理个人数据必须具有法律依据。企业处理个人数据大多采用“获得数据主体2的同意”作为法律依据。根据GDPR的定义，个人数据是指与已识别或可识别的自然人（“数据主体”）有关的任何信息，如姓名、身份证号码、位置数据、在 线 标 识 符 或 与 该 自 然 人 的 身 体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素。总之，如果企业采用“用户同意”作为网站或应用程序处理个人数据的法律依据，则需要遵守以下有关用户同意的要求。 一用户同意应当满足有效性 有效的用户同意是指，数据主体通过声明或明确肯定的行动来表示同意处理与其有关的个人数据，意思表示应当是自由给予的、具体的、知情的和明确的。应注意以下四个关键要素： •自由提供：意味着数据主体拥有真正的选择权和控制权。对数据主体施加任何不适当的压力或影响阻止数据主体自由地行使其意愿，都会导致获取的同意无效。 -不 能 把 同 意 作 为 服 务 条 款 的 捆 绑部分。 例：某网站提供商安装了一个脚本会阻止网站内容的显示，只显示询问是否同意Cookies的请求以及正在设置哪些Cookies和出于何种目的 处 理 数 据 的 信 息。如 果 不 点 击“接受Cookies”按钮，就无法访问内容。由于没有向数据主体提供真正的选择，获取的同意不是被用户根据自由意愿提供的。 •具体：意味着确保用户数据对用户的透明度，用户对数据具有一定程度的控制能力。数据主体必须在对特定处理目的知情的情况下，始终对特定的处理目的表示同意。如果为各种不同的处理目的征求同意，应该为每种目的提供单独的选择，允许用户为每种特定目的给予特定同意，并告知每种目的的信息。 -不应让用户一次性对多个处理目的提供同意，数据主体应可自由选择他们接受的目的。 例：在同意请求中，零售商要求客户同意使用其数据通过电子邮件向其发送营销信息，并与集团内其他公司共享其详细信息。这种同意的范围比较宽泛，没有针对这两个不同的处理目的设置单独同意，因此这种同意无效。 例：某游戏应用程序根据用户的同意收集他们的个人数据，并根据他们的操作习惯推荐用户可能感兴趣的游戏内容。一段时间后，该应用程序决定让第三方根据用户习惯发送（或显示）有针对性的广告。鉴于这一新的目的，则需要征得新的同意。 -拒绝或撤销同意不能对数据主体造成损害（如额外费用、服务性能下降）。 例：客户订阅了某时装零售商提供折扣的资讯，零售商要求客户同意收集更多有关购物偏好的数据，以便根据客户的购物记录或自愿填写的问卷，为其量身定制优惠。当顾客后来撤销同意时，仍应收到相同的折扣但不包含个性化营销资讯。 •知情：要求在征得数据主体同意之前向其提供有关信息，使其能够做出知情的决定。征得同意的要求应与其他事项明确区分开来，以易懂、易获取的形式展现，使用清晰明了的语言表达。如：此类信息不应只隐藏在向用户展示的一般条款中。 e.根据GDPR第22（2）（c）3条，在相关情况下，提供有关使用数据进行自动决策的信息； f.由于缺乏欧盟委员会的充分性决定和适当的保障措施（如GDPR第46条4所述），数据传输可能存在的风险。 为获得有效的用户同意，至少应提供以下信息： a.控制者的身份；b.征求同意的每项数据处理目的；c.将收集和使用什么（类型）数据；d.用户撤销同意的权利； 3GDPR第22（2）条要求：数据主体有权不接受仅基于自动处理（包括用户画像）的决定，除非有以下三种情况之一的法律依据：（a）为签订或履行数据主体与数据控制者之间的合同所必需；（b）经数据控制者所遵守的欧盟或成员国法律授权，且该法律还规定了适当措施以保障数据主体的权利和自由以及合法利益；或（c）基于数据主体的明确同意。 4GDPR第46条要求：在向第三国或国际组织传输个人数据之前，控制者或处理者应提供适当的保障措施。 •明确表示意愿：有效的同意需要用户通过声明或明确的肯定行动来表示。同意可以通过书面或（记录的）口头声明，包括电子方式收集。 应获得“明示”同意的情况 如果在下列情况下使用同意作为法律依据，则需要获取用户“明示”的同意，比常规同意的内容要求更严格： 数据主体的沉默或不主动反馈以及仅仅继续使用服务，都不能被视为主动选择的表示，所以需要注意收集用户同意时，应当提供有利于用户反馈的界面，如提供按钮和默认不勾选的条件框。同样，接受一般条款不能被视为 同 意 使 用 个 人 数 据 的 明 确 肯 定 行动。在设计同意机制时，应让数据主体清楚明白其同意的行为代表什么，避免含糊不清，并确保同意的行为可以与其他行为区分开来。 •处理GDPR第9条定义的特殊类别个人数据时，包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据，以及处理基因数据、用于唯一识别自然人身份的生物特征数据、与健康有关的数据或与自然人的性生活或性取向有关的数据。 •用 于 对 个 人 数 据 的 自 动 化 决 策 的 处理，包括用户画像5。 •在缺乏适当保障措施的情况下向第三国或国际组织传输个人数据。 例：当用户第一次访问某网站时，他们会被告知Cookie被用来收集他们的交互信息，用于改善用户浏览体验。通过点击“接受”按钮，用户可以有效地执行“明确的肯定行为”，同意进行处理。此外，还需要向用户提供一个“拒绝”按钮，当用户点击“拒绝”按钮时，将不再收集他们的交互信息。 如企业在处理用户个人信息时存在以上场景，普华永道建议咨询专业的第三方，对上述情况进行详细分析。 获得儿童同意的额外要求 在处理弱势自然人（尤其是儿童）的个人数据时，需要根据GDPR要求建立额外保护机制，特别是适用于为了营销或创建个性/用户档案而使用儿童个人数据，以及直接向儿童提供服务时收集儿童的个人数据。如果网站或应用程序以儿童为目标受众，则在基于同意进行数据处理时，应注意附加要求： 可以考虑通过以下方法之一获得数据主体的明确同意： •书面声明：数据主体通过提供书面声明明确表示同意，在适当情况下可能需要签名。 •数字或在线同意：数据主体通过填写电子表格、发送电子邮件、上传带有数据主体签名的扫描文件或使用电子签名来表示同意。 •如果儿童未满16周岁（根据欧洲经济区各国的法律可能有所不同），只有在儿童的父母监护人同意或授权的情况下，此类处理才是合法的。•应考虑到现有技术，尽力核实同意是否由儿童的父母监护人给予或授权。 •分两阶段核实用户同意：可分两个阶段 核 实 同 意，以 确 保 其 真 实 性 和 有效性。 如果希望最大限度地避免合规问题，建议 在 业 务 中 禁 止 针 对 儿 童 的 个 性 化 广告。 为了最大限度地避免合规问题，建议不要将特殊类别数据和精确位置数据用于广告目的的数据处理。 撤回同意的要求 同意的记录 GDPR第7（3）条规定，数据主体有权随时撤回其已提供的同意。有关撤回同意的一些具体要求如下： GDPR第7（1）条中，明确概述了控制者具有证明数据主体同意的明确义务。换句话说，企业应保存从数据主体处获得同意的记录。只要相关数据处理活动持续进行，企业就有义务证明曾获得用户同意。而处理活动结束后，同意证明的保存时间不得超过履行法律义务或确立、行使或捍卫法律主张所严格需要的时间。 •数据主体应能够像提供同意一样方便地撤回其同意。例如，如果同意是通过网站或应用程序的特定服务用户界面获得的，则必须可以通过相同的电子界面撤回同意。 •撤回同意应是免费的，且不会导致服务质量下降。 •必须告知数据主体其具有撤回同意的权利，这是为获得有效同意而提供的信息的一部分。 •如果数据主体撤回同意，必须立即停止 数 据 处 理。如 果 没 有 其 他 合 法 依据，则必须删除数据。 第2章在欧洲经济区建立合规横幅的最佳实践 步骤1：了解用户同意方面的监管要求 步骤2：审计网站所使用的技术，识别Cookie和其他跟踪器 可以参考第1章有关欧洲经济区和英国关于用户同意的要求。请注意，它们是通用要求，还需要了解其他可能存在的差异（例如，儿童的年龄的定义）。 对网站进行全面、彻底的扫描，了解网站上的Cookie、信标和其他跟踪技术。验证Cookie的使用是否符合网站隐私政策或放置Cookie的第三方网站的隐私政策。对网站进行审计可以自动检测和分类Cookie等跟踪技术，有助于消费者理解并选择正确的内容。Cookie通常有以下几种类型：严格必要的、功能性的、统计性的、营销性的等。只有严格必要的Cookie可 以 默 示 同 意，其 他 类 型 的Cookie应由用户自主选择接受或拒绝。步骤3将对此作进一步解释。 步骤3：设计横幅 当设计同意横幅时，建议充分考虑以下内容。这些内容可以提升用户友好体验，可能会增加用户同意率。其他要求应以当地数据保护机构发布的指南为基础，在一些同意管理平台上也可以找到相关指南。普华永道在此提供一些实践做法供参考。 •位置：横幅的位置是影响同意率的关键因素。常见的放置位置包括在网页的中间、网站的页脚和网页的顶部。将横幅置于中间位置往往能吸引更多的注意力。业内调研曾发现放置在页面中间的同意横幅获得了最高的同意率。 •内容：需要充分考虑用户同意方面的合规要求，如第1章所述。应当以简单易懂、不使用过于专业晦涩的语言告知用户有关Cookie使用的信息，信息应包括： d)告知用户随时撤销同意的权利以及撤销同意的方法； e)指向网站详细的Cookie政策和隐私政策的链接。还建议横幅上提供一个 链 接，展 示 共 享 数 据 的 供 应 商列表。 a)明确标识组织名称。在横幅上显示所在的组织名称或徽标；如果网站将与第三方（如广告或分析合作伙伴）共享通过Coo