你可能不知道的 | 欧盟直接营销合规
欧盟直接营销合规
Direct Marketing
今天想聊一下欧盟内直接营销的合规要求。在欧盟,如果做触达明确个人的纯电子广告,几乎都需要遵守直接营销合规要求。但目前中企出海多数还在系统搭建、人员排布层面,即便是营销也都是广告投放,所以这个小小知识点很少被谈到。但它在欧盟的数据合规体系下是一个挺重要的因素,一直在罚款!
直接营销定义与适用法律
所谓直接营销,是指以任何方式向特定个人直接作出的广告或营销通信(这个定义是ICO给的)。
此处有三个点可以注意:
-
广告/营销并不以营利目的为前提,因此即便是非营利组织发出的营销通信也属于直接营销(e.g.,号召筹款)。
-
直接营销不一定是有一个特定的产品或服务作为营销客体,单纯宣传公司也属于直接营销。但如果是常规的、与既有服务相关的(e.g.,通知物流信息、改变交易条款等)通信不视为直接营销,在该等通信中嵌入品牌slogan也不会被视为营销。
-
直接营销必须针对特定个人,例如打电话、发传真、发短信和电子邮件都是直接发送至特定人士的,因此属于此范畴。而与之形成对照组的是,如果在户外广告牌或者电商平台上的展示广告则不被视为是直接营销范畴。
在欧盟层面,直接营销活动受两个法规管:GDPR和ePrivacy Direcive。
关于ePrivacy Direcive可能国人不太熟悉,简单介绍一下。指令全称为Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications,通常中文翻译为《电子隐私指令》。这个指令是针对欧盟内提供公共电子通信服务相关的个人数据保护事宜,于2002年生效,对于企业最显性的影响分别是直接营销(第13条)和Cookies(第5条)两个部分。需要提示的是,《电子隐私指令》需要被转化为成员国国内法才能生效(详见文章最后)。
另外,GDPR序言第173条明确指出,《电子隐私指令》在GDPR生效后继续有效,且应保持与GDPR规定的一致性。因此在解读直接营销合规时,需要把两部分内容重叠理解。
欧盟直接营销的合法性基础
直接营销从GDPR的视角上是一种个人数据处理活动。而任何个人数据处理活动都需要拥有合法性基础。目前,直接营销可用的合法性基础有二:正当利益与同意。也有按照double opt in/opt in/opt out这样的叫法分类的,但内涵都是一样的。
1. 正当利益(legitimate interest)
|
GDPR Recital 47 The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest. Notwithstanding paragraph 1, where a natural or legal person obtains from its customers their electronic contact details for electronic mail, in the context of the sale of a product or a service, in accordance with Directive 95/46/EC, the same natural or legal person may use these electronic contact details for direct marketing of its own similar products or services provided that customers clearly and distinctly are given the opportunity to object, free of charge and in an easy manner, to such use of electronic contact details at the time of their collection and on the occasion of each message in case the customer has not initially refused such use. |
直接营销从GDPR的视角是一种个人数据处理活动,必须拥有合法性基础。
“正当利益”四个字本身充满了可解释性(=不确定性)。从落地角度,企业使用正当利益做合法性基础需要满足以下条件:
(1) 营销对象仅限于既有客户
×营销对象为关联公司而非自己的客户。
×潜在客户。例如仅注册了账户或填写了问卷。
(2) 营销对象的营销联系方式为企业向其销售产品或提供服务过程中获取的。
成员国法律对于“在销售产品或服务的背景下”的转化也是存在差异的。比如德国、奥地利就严格限定在销售交易过程中所收集个人信息,而荷兰数据保护局在实践中将账号注册、请求报价也视为“在销售产品或服务背景”。
(3) 营销产品/服务需要与客户此前购买产品或服务具有相似性。
所谓相似性是指同系列、同品类,或任何客户基于已购买产品或服务会合理期待的产品/服务。但是,切勿站在经营者的角度做思维发散。买保险不代表有兴趣买基金,买iphone也不说明是iwatch的受众。
(4) 客户此前被告知将会受到直接营销通信,且客户未明确反对。
个人在联系方式被收集时必须有选择退出的选项: 在个人数据被收集时,个人必须被赋予一个简单、免费的方式来拒绝电子邮件营销。通常,会在数据收集的地方显示的勾选框,并适当告知个人,除非他们勾选了选择退出的选项,否则其相关信息将被用于电子邮件营销。
下图是一个例子:
(5) 企业完成了正当利益评估此处推荐播客“别泄露了”(王婆卖瓜),我们做了四期正当利益的讨论,分别在001、002、004和005。
需要注意的是,既然有评估就代表结果不是一定成功。可能针对不同场景、不同客户群评估的结果也有所不同,企业切忌不要在这一点上做纸面文章(处罚案例已经很多了)。另外最好定期审查营销策略和评估是否合法权益基础仍然适用。
2. 同意(Consent)
|
GDPR Art.6(1)(a) Processing shall be lawful only if and to the extent that at least one of the following applies: (a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes... e-Privacy Directive Art. 13(1) The use of automated calling and communication systems without human intervention (automatic calling machines), facsimile machines (fax) or electronic mail for the purposes of direct marketing may be allowed only in respect of subscribers or users who have given their prior consent. |
此处的同意即指代GDPR第六(1)(a)款合法性基础,其要求同意需要以自由(不是被捆绑或强迫的)、明确(不是模糊的)、主动(不是被预选的或默认的)、具体(不是概括)、单独(仅针对接收商业性信息)的方式给出。
既然有同意,那么就会存在同意的外观客体——告知。一个合格的同意需要包含对以下信息的知悉:预期营销活动的方式(电话、邮件等)、营销的产品/服务、营销方的身份、撤回同意的路径。
下图是另一个例子:
除此之外,德国对于线上同意有Double Opt-in的特殊要求。即,数据主体需要做出两次“同意”意思表示:第一次作出“同意接收营销通信”的意思表示,第二次作出“确认是本人同意订阅”的意思表示。例如,在用户提交个人信息用于营销后,发送一份带有确认链接的电子邮件要求用户进行二次确认。
还有,“同意”也不是一劳永逸的。目前GDPR没有规定将个人数据用于营销目的的具体期限,但已经有了一些判例(例如Munich District Court, final judgment of 14 February 2023 – 161 C 12736/22)认定默认同意长期有效的做法不可取。另外我有看到一些文章写德国DSK给的建议有效期是17个月,我翻了对应指南没有找到这个数字的出处,如果有朋友知道准确出处感谢指正。
如何发送营销信息?
除了要营销的产品或服务外,营销信息还必须包括以下几点:
-
发送者身份和联系方式
-
通讯信息的营销性质(必须要清楚明白表示“这是一条营销通信!”,不要试图伪装成个人通信,也不要把营销通信和其他讯息混在一起)
-
接收者可在任何时间选择退出(每次发营销通信都要提示,例如“如您不希望收到我们的进一步营销电子邮件,可点击退订链接”)
其他边角知识点
1. ePrivacy Directive vs. ePrivacy Regulation
从2017年起,欧盟委员会试图推出《电子隐私条例》(ePrivacy Regulation),该条例草案基本继承ePrivacy Directive的内容并在其基础上扩大了适用范围。但该条例已经过近十轮讨论和修改仍未通过。欧盟委员会已于2025年2月撤回了该提案。
2. ePrivacy Directive在部分成员国的转化情况如下:
|
国家 |
转化后法律名称 |
|
德国 |
Telekommunikation-Telemedien-Datenschutz-Gesetz(TTDSG,电信与媒体数据保护法)+ UWG(反不正当竞争法)第7条 |
|
法国 |
Code des postes et des communications électroniques(邮政和电子通信法) |
|
意大利 |
Codice in materia di protezione dei dati personali(隐私法) |
|
西班牙 |
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico(LSSI-CE,信息社会服务和电子商务法) |
|
荷兰 |
Telecommunicatiewet(电信法) |
|
英国 |
PECR 2003,以前叫做Privacy and Electronic Communications (EC Directive) Regulations 2003,是为实施 ePrivacy Directive而制定的,脱欧后仍适用 |
几乎每个成员国都有转化,但我不是所有成员国都了解,所以未穷尽列举。
作者|肖莆羚令
排版|被热死的肖大国
审稿|江明月
评论