2020年1月8日,英国信息专员办公室(“ICO”)开始就新版《直接营销行为准则(草案)》(“《准则》”)向公众征求意见。《准则》清晰且实用地阐明了基于欧盟《通用数据保护条例》(“GDPR”)的直接营销规则,并引入了对新技术的指导,例如“自定义受众”和“相似受众”。
本文将把视线聚焦于新版《准则》中的重大变更。
一 《准则》的意义、范围与结构
ICO具有发布该《准则》并在GDPR和《2003年隐私和电子通信(欧盟指令)条例》(“PECR”)执法中进行参考的法定义务。因此,在确立法律合规性方面,该《准则》应被予以充分重视,而不仅仅被视为“最佳实践”。此外,《准则》的执法部分指出,如果发生被投诉和调查的情形,ICO可能会要求提供政策、程序和相关数据保护影响评估(“DPIA”)的详细信息。因此,确保对这些政策、程序和文档有所准备,且能体现《准则》的要求是相当重要的。
该《准则》采用了新的行文结构,即以营销活动生命周期为基础。因此,对于隐私保护设计、数据收集、数据分析、营销活动、在线广告和数据销售,《准则》皆可对应适用。
无论是对特定个人进行直接营销,或是作为广义的营销生态系统的参与者,《准则》都可适用,即不仅涵盖商业组织,还包括慈善机构、第三方组织,政党、公共机构,以及那些以直接营销为目的而买卖、处理或融合个人信息的组织。
直接营销规则主要规定于PECR或欧盟成员国的对应法律中,它们与GDPR的一般规则结合适用。
二《准则》的主要内容直接营销的定义:
“直接营销”在英国2018年《数据保护法案》(“DPA”)第122(5)中被定义为“(通过任何手段)针对特定个人进行的广告或营销材料的传播”,这与旧规则下的定义相同。至关重要的是,新发布的《准则》指出,该定义不仅仅适用于直接营销信息的简单发送,还包括引导、推动或支持相关活动的所有数据处理行为。这将包括个人数据的收集和建立用户画像并用于开展定向广告。
对第三方披露数据以供其用于直接营销,也构成了直接营销的用途。
“应邀的”和“未应邀的”营销:
正如先前的规定,发送“应邀的”直接营销不受PECR限制。这是指接收方特别要求向其发送特定营销材料的情况(例如,某人向双层玻璃公司索要报价,然后该公司将报价发送给该人)。
市场调查:
新《准则》对此没有重大更改。为了使市场调查不构成直接营销,它必须是真正的“市场调查”。但是,如果某组织正在开发潜在客户,或收集稍后将用于市场营销的数据,在实践中并不能断言其不受PECR的规制。
“服务消息”:
各类组织通常会以其(发送的消息)确实是管理信息或客服信息,来为其营销活动辩护。GDPR或PECR中并未使用“服务消息”这一术语,因此需要对消息的内容进行评估。措辞、语气和上下文将是评估的关键因素。根据《准则》,通知具有可变余额转帐费率的信用卡客户,其汇率会 在有限的时间内发生变化,是有必要的。但是,如果该消息积极鼓励用户使用费率优惠,那么这很可能是直接营销,因为它是为了宣传费率以获得更多业务。毋庸置疑,这些细微的区别并不容易分辨,因此需要仔细的判断。
通过设计进行数据保护:
与GDPR责任要求相一致,《准则》草案指出,各类组织需要进行适当的规划,以避免违反直接营销规则的风险,他们也很可能需要进行DPIA,对于进行大规模数据分析、数据匹配、在线跟踪/广告、跨设备跟踪和以儿童或其他弱势人群为目标市场的组织更是尤其如此。
GDPR中直接营销的合法性基础:
一般而言,《准则》会对出于“合法权益”而直接营销的可能性进行质疑。例如,如果(数据)控制者已遵循PECR获得同意(必须符合GDPR标准),那么实际上,该同意亦具有GDPR下的适当合法性基础。但是,这其实还值得再商榷。PECR规则下的同意要求和基于GDPR选择一种法律依据,是两个独立的问题。《准则》草案的第30/31页包含一个表格,该表格旨在帮助各类组织了解不同营销渠道(例如电话、电子邮件、邮寄)是否需要PECR的同意。在这方面,目前的规则并没有变化。
《准则》指出,作为一种最佳实践,无论PECR是否要求,组织都应就所有直接营销征得同意。尽管如此,从法律角度而言,也不一定总是需要征得同意——在某些情况下,“软同意”对于电子营销就足够了。
如果不需要获取PECR下的同意,组织极可能会依赖于合法权益(例如,对于B2B的营销)。
合法权益如何适用于直接营销:
根据该《准则》,要基于合法权益进行直接营销,组织需要能够证明数据使用是适当的,对隐私的影响最小,且个人不太可能拒绝。
该《准则》重申了在评估合法权益时的典型“三步标准”:
-
目的标准:(数据控制者)是否有合法权益;
-
必要性标准:数据处理是否为实现此目的所必需的;和
-
平衡标准:该合法权益是否不会侵犯个人权利、利益或自由。
这就是ICO所称的“合法权益评估”。
《准则》规定,在以下情形中,合法权益可能无法适用:在最初收集个人信息时,没有给予个人明确的选择拒绝直接营销的权利的;由于没有告知个人而使直接营销的数据处理不符合其期望的(即隐形的处理);收集或合并不同来源的大量个人数据以创建个人画像。简而言之,任何扩大合理性界限的情形,都同样可能增加依赖合法权益作为合法性基础的能力。
资料保留:
关于以直接营销为目的保留数据的期限已有诸多讨论,但具有指导性的意见却很少。《准则》指出,“同意不会永远持续下去”,而ICO亦重申了其立场,即同意的持续时间将取决于各种情况,包括给予同意许可的背景,个人与组织的关系性质以及个人的期望。我们认为,这等同于“合理性标准”。《准则》中提供的一些示例也证明了这一点,例如,零售商应客户及时提供新产品上架信息的要求而收集的电子邮件地址,一般不可作为后续其他产品推广的推送名单。
《准则》中还有一个有用的“最佳实践建议”,即根据第三方取得的同意向新客户进行直接营销时,不要基于超过六个月前作出的同意许可。
开拓潜在客户并收集联系方式:
《准则》解释,组织可能通过多种方式开拓潜在客户并寻求联系方式,包括通过购买其产品的个人、销售潜在客户名单的第三方、租金清单或其他公开来源。显然,根据GDPR第13条和/或第14条的规定,是否存在相关的透明度义务,取决于是否直接从数据主体收集详细信息。
通知:
众所周知,GDPR要求隐私声明和披露简洁易懂,语言清晰,易于理解。该《准则》对诸如“营销目的”之类的模糊术语进行了批评。但是,真正的挑战,特别是对于诸如社交媒体和cookies的使用,在于如何清楚而简单地把这些流程解释充分。其潜在含义是要求组织设身处地、抚躬自问其是否恰当理解了数据将如何被应用于直接营销。
将公开可用的个人数据用于直接营销:
各类组织永远不可将公开可用的数据视为“可被追捕的猎物”。
《准则》明确指出,一个人可能希望有尽可能多的人阅读他们的社交媒体帖子,但是“这并不意味着他们同意其数据被收集分析,以将其定向使用于……直接营销活动中”。使用公开来源数据的公司,应根据GDPR的要求仔细审查这些流程,并将其记录在DPIA中。
购买或租用直接营销名单:
组织应当进行恰当的尽职调查,并提供一份应当包含以下内容的清单:谁整合的数据,它们来自哪里,是否向数据主体提供了有关信息,以及取得了何种同意许可或退订要求。
此外,各类组织还需要根据其已有的拒绝(营销)名单,对新取得的名单进行过滤。
要求现有客户提供其朋友和家人的详细联系信息:
旧版《准则》对此做法有些批评。根据新的《准则》草案,ICO重申,无论收集用于直接营销的细节信息或是证明问责制的情况下,这种做法均很难遵守GDPR。例如,《准则》认为,组织“既不知道个人向他们的朋友和家人透露了什么有关处理数据的信息,也无法验证这些人是否确实同意许可收集数据”。这是避免这种病毒式营销的指导性思路。ICO进一步解释,如果将以这种方式收集的联系方式用于电子营销,将“很可能违反PECR”。
用户画像和数据扩充:
用户画像是对个人的行为特征进行分析,以了解他们的偏好,预测他们的行为,做出关于他们的决定或将他们分类到不同的组别或部门中。
数据扩充是组织通过查找有关个人的更多数据以添加到已生成的用户画像文件中,包括从第三方(公共或其他)获取有关联系人和客户的其他数据。
这些做法会导致很多问题。我们要特别指出,ICO已充分表明,合法权益的范围不太可能涵盖具有侵入性的用户画像行为,因为这通常不是个人的合理期望,且极少足够透明。这对直接营销行业提出了挑战,特别是在新技术和社交媒体方面。
该《准则》还讨论了第22条和包括用户画像在内的自动化决策。第22条仅适用于对个人具有法律或类似重大影响的完全自动化决策。很有帮助的是,《准则》确认,大多数此类直接营销不太可能触发第22条,但也指出在某些情况下它仍可能会被触发。例如,以弱势群体或儿童为直接营销对象;以有财务困难的个体作为高息贷款的定向营销目标;向已知有赌博恶习的人定向推送博彩网站;或通过画像分析实现向某类产品的现有用户推销更高价格的产品。
实际上,因为这样做可能需要明示同意,组织可能希望避免触发第22条。而更好的方法是置身其范围之外。关于扩充已有的数据,《准则》认为其应对每个人都公平,即使个人并不太可能期望参与其中。因此,组织应提前就此通知个人。
在线广告和新技术:
《准则》重申了关于cookies和类似技术的当前立场,即要求提供清晰而全面的信息(即cookies通知)和同意许可(即通过图标/勾选框表明网站上使用的协议)。《准则》再度重申通知和同意规则不仅适用于cookies,还适用于设备指纹识别、像素追踪和插件以及其他第三方跟踪技术。
有趣的是,《准则》指出,由于不能将同意许可打包在一起作为接受服务的条件,因此在许多情况下,使用cookies隔离墙可能是不太合适的。最佳情况是为网站用户提供关于是否接受cookies的真实选择,而不限制他们对网站内容的访问。但是,应该指出的是,如何在不损害“网络自由”的前提下解决该问题仍是重要的哲学争论。
《准则》还论述了在社交媒体上定位客户或支持者,即社交媒体平台提供了“基础名单”的定位工具,使组织可以将直接营销定向推送位到其平台上的用户。实践上,组织上载其客户名单,然后平台将该数据与自己的用户群进行匹配。这些工具通常称为“(确定)受众群体”。在这种情况中,组织必须透明,并明确告知个人有关此过程的信息。
《准则》还指出,组织应对数据处理保持坦诚,以及个人可能不会对此有所期望。因此,他们不应“将任何有关‘基础名单’工具的信息……隐藏在隐私信息中”,这意味着需要更加显著的通知。
《准则》还指出,因为很难看到如何满足合法权益基础的三部分标准,同意很可能是该处理的适当法律依据。显然,如果个人表示了同意但随后又撤回,组织将无法使用其数据将其定位到社交媒体上,包括使用基础名单的工具。因此,这种“开关”选项需要覆盖直销营销活动、相关的分析以及使用基础名单的社交媒体的定位工具。
《准则》还讨论了对与组织的客户或支持者相似的群体,在社交媒体上实现定位的做法,通常称之为“‘相似’受众”。在这种情况下,《准则》指出,组织需要通知提供信息的个人,其打算处理数据以定位此类受众群体,并确保他们有合法的依据。《准则》中没有任何内容表明在这种情况下合法权益是不合适的,因此看来这是一个可行的选择。
最后,《准则》表示组织和平台可能都是此活动的联合控制者。这是因为,尽管社交媒体平台完成了大部分工作,但该组织进行了处理并为平台提供了初始数据集(即其原始的基础名单的对应群体)。
使用面部识别或检测进行的直接营销:
该《准则》首次讨论了将面部识别和检测用于直接营销目的。
有趣的是,这两种技术都将涉及处理生物特征数据。面部识别旨在识别或验证特定个人,而面部检测则旨在仅区分不同类别的个人。当“出于识别唯一自然人的目的”专门处理生物特征数据时,它们也是特殊类别数据。而处理的最终目的是确定数据是否为特殊类别数据,而不是是否具有唯一标识个人的技术能力。这是一个重要的区别,将有助于在这种情况下分析特殊类别数据的范围。
ICO认为,因为在遵守GDPR的合法、公平、透明的要求下,为直接营销目的而使用该技术是非常困难的,故而组织可能无法使用面部识别技术向特定个人进行直接营销。此外,这可能会触发特殊类别的数据需要明示同意的要求。
有趣的是,面部检测技术可能严格来说并不是特殊类别数据,因为它并不是要寻求识别个人,而是将观众划分类别(例如,检测某人的年龄,性别,面部特征或情绪,然后基于他们这些特征显示广告)。尽管如此,当面部检测系统在其中存储模板以跟踪各个屏幕和广告牌所覆盖区域(例如,购物中心)中的个人时,仍会触发GDPR第9条。
显然,对此需要进行更多的思考,但是该准则仍为潜在的高风险隐私领域提供了有益的观察思考。
广告ID的使用:
设备操作系统,如Android或iOS,嵌入了可用于营销目的的唯一标识符,其在Android上被称为Google Advertising ID(“ADID”),在iOS上被称为“广告标识符”(IDFA),在Windows 10上被称为“广告ID”。《准则》表示,根据GDPR第30条的规定,这些“在线标识符”可以用作个人数据。启用这些广告ID后,该组织的移动应用程序可以评估并将其用于个性化广告,类似于在线服务使用存储在cookies中的唯一标识符。此外,广告ID也可以用于其他类型的在线行为广告,例如实时出价,《准则》要求这将需要尽职调查以及DPIA。
三 总结
《准则》草案更新了有关新技术和社交媒体的指导,体现了对基于同意模式的(直接营销的)总体推动。其中的一些新技术实际应用仍有待进一步研究,例如自订广告受众和观看兴趣列表。总之,请开始阅读《准则》并研究如何在组织中进行实际应用吧,现在正当其时。
注: 本文为译作,原文标题The ICO’s new Direct Marketing Code,载于Privacy & Data Protection(2020年1/2月刊, Volume 20, Issue 3),作者:大成伦敦办公室合伙人Nick Graham及高级律师Monika Sobiecki.
