编者按

对于大多数企业而言,通过短信、邮件等方式向消费者发送广告、宣传营销资料等商业性信息(本文所讨论的“商业性信息”将仅限于通过手机短信、电子邮件的方式向受众推送的,包括广告、营销、企业宣传等在内的,以介绍、推销自身或他人商品或服务为目的商业宣传信息)仍然是推销宣介商品或服务,触达潜在用户/激活已有用户的主要方式之一。相较线下发放宣传册、在第三方平台投放广告等,这种营销推广方式运营成本低、触达率高。

然而,不分时段、不分场合地频繁收到各类商家的推送信息则让消费者不堪其扰,无效的退订方式更是使人颇为窝火。事实上,各国立法和监管对于发送营销信息的行为均有所要求,且共同关注的核心有三点:

  • 接收者的“同意”(事前opt in)

  • 接收者的“拒收/退出”(事后opt out)

  • 对接收者的告知

总之,只想安安静静地发条营销短信,不问用户要同意、不让用户拒收、不充分告知——这事儿不可行。

本系列将分别从“国内篇”和“国外篇”梳理中国及欧美等国的相关规定,比较各法域对于企业进行商业性信息推送的合规要求,以为合法地发送商业性信息提供有益参考。前一篇关注国内规定【发送商业性信息的合规要点 | 国内篇】。本篇关注国外规定。作者为完美世界的何云云、金林、薛颖律师。

上一篇我们介绍了国内对于商业性信息推送的合规规制,本篇将视野聚焦于国外。我们以欧盟、美国、加拿大的规定作为切入点,探讨这些法域对于商业性信息推送的合规规制。总的来说,就商业性信息推送的三个核心要点而言,域外法域的要求和国内还是有所差异、更为严格:、

  • 关于“同意”。这些域外法并非均要求事先获得用户“consent”。但如要求获得“consent”的,则必须是针对接收商业性信息给出的单独同意——比国内法严格。

  • 关于“告知”。这些域外法均有明确的告知义务要求——比国内法严格。

  • 关于“退出”。这些域外法均有关于退出机制的要求——与国内法类似。

2021年3月29日,加拿大广播电视和电信委员会(“CRTC”)宣布对某一个人罚款7.5万加元,因此人在未经收件人同意的情况下发送了超过67万封商业电子邮件,违反了《加拿大反垃圾邮件法》(“CASL”)。这是加拿大迄今为止针对个人未经用户同意发送商业性信息的最高处罚。[1]

一、国外对商业性信息推送的相关规定

(一) 欧盟相关规定

欧盟《通用数据保护条例》(GDPR)第21条明确规定了数据主体对于市场营销进行数据处理的反对权:“以直接营销目的处理个人数据的,数据主体有权随时拒绝该等营销目的下对其个人数据的处理,包括与该等直接营销有关的数据画像”。

针对直接营销,欧盟《电子隐私指令》(ePrivacy Directive)有细化的规定。2021年2月欧盟理事会通过的《电子隐私条例》(ePrivacy Regulation,生效后将取代ePrivacy Directive),对商业性信息推送则提出更高的要求:

1、对获取“同意”的要求

ePrivacy Directive第13条规定,通过自动呼叫、发送传真或电子邮件方式向订阅用户发送商业性信息,需获得用户的事先同意(prior consent)。ePrivacy Regulation将直接营销的范围扩大到“通过可公开获取的电子通信服务直接向一个或多个特定的终端用户发送的任何书面或口头形式的广告”[2],同时也规定发送商业性信息必须获得用户的事先同意[3]。

但,此欧盟法下的“同意”非彼国内法下的“同意”。上述“同意”采用GDPR下“consent”的标准,即“数据主体通过声明或明确而肯定的动作、自由作出的、具体的、知情的、明确的表明同意对其相关个人数据进行处理的意愿”[4],且应仅针对一个或多个特定目的(specific purpose)的数据处理活动[5]。因此,虽然欧盟与国内法都作出了“同意”规定,但存在着较大差别:欧盟法下的“consent”要求仅针对接收商业性信息给出单独的同意,不能像国内做法那样通过用户同意隐私政策而一揽子获得同意。

此外,针对仅发送自己产品或服务商业性信息的场景,ePrivacy Directive及ePrivacy Regulation做出了例外性规定,即软性同意机制(soft opt-in rule):企业在用户购买产品或服务的情况下获得的联系方式等个人信息,在清晰且明确地给予用户以简单的方式免费地提出反对这种使用的机会后,可以使用这些联系方式直接营销企业自身的类似产品或服务,无需获得用户的事先同意。但应在收集用户的联系方式时给予其反对的权利,如果用户最初没有拒绝,则在每次向该用户发送信息提供反对的权利。[6]

2、对接收者的告知义务

与国内的监管要求不同,欧盟的相关规定中强调保护商业性信息接受者的“知情”,即信息发送者要有很强的告知义务:

(1)收集信息时的告知义务。在收集接收者信息时,应向接收者告知其可在任何时间以简单有效的方式免费反对或撤回其同意的途径,并提供必要的信息。[7]

(2)发送商业性信息时的告知义务。禁止企业以直接营销为目的发送匿名邮件。ePrivacy Regulation要求商业性信息发送者必须在每次发送商业性信息时告知[8]:

  • 发送者身份及其有效的回信地址或号码;

  • 通讯信息的营销性质及发送者的身份和详细联系方式;

  • 接收者可在任何时间以简单有效的方式免费反对或撤回其同意。

  • 对提供“退出机制”的要求

除软性同意机制之外, ePrivacy Directive未直接规定提供接收者选择退出(opt-out)的权利,仅规定各成员国可以在本国立法中作出相关规定。ePrivacy Regulation直接规定了选择退出的权利:清晰且明确地给予接收者在任何时间以简单有效的方式免费反对或撤回其同意的途径,并提供必要的信息[9]。

关于提供“退出机制”的时间,则应在收集接收者个人信息时+每次发送商业性信息时。除此之外,撤回同意应和给予同意一样容易。

(二) 美国相关规定

《控制非自愿色情和推销侵扰法案》(Controlling the Assaultof Non-Solicited Pornography And Marketing Act of 2003,CAN-SPAM法案)是美国联邦层面关于反垃圾邮件的法案。该法案对于发送商业性信息的主要规定包括:

1、无需获得接收者“同意”

CAN-SPAM 法案区分了一般性邮件和商业电子邮件进行[10]。同时,该法案第5条要求商业邮件发送者必须在信息中明确告知营销性质、接收者opt-out的权利及发送者的地址,但无需获得接收者的同意。

2、对接受者的告知义务

美国FTC(FederalTrade Commission)发布了《CAN-SPAM法案企业的合规指引》,并提出了合规七步走[11]:

(1) 邮件应准确标识发送邮件的主体,不得使用虚假或误导性的信息;

(2) 邮件主题不得包含误导性描述;

(3) 说明该邮件为广告;

(4) 告知邮件发送者的物理地址;

(5) 告知收件者退出的方式;

(6) 建立退出机制;

(7) 监控所有以公司名义发送的邮件。

3、对提供“退出机制”的要求

FTC的上述合规指引第5条、第6条详细规定了对于向接收者提供“退出机制”的要求:

在发送的信息中告知接收者拒绝接受信息的方式,该告知应清晰明确,采用一般人易于辨认、阅读和理解的方式。向接收者提供方便易于交流的邮箱地址或其他方式。向接收者提供可选择的关闭按钮菜单,但是需保证接收者可有权选择拒绝接收所有的商业性信息,并确保接收者的请求不会被屏蔽。

另外,企业应在发送商业性短信后至少30天内建立起退出机制,对于接收者提出的退出要求应在10个工作日内响应,且不得收取任何费用或收集额外的个人信息。一旦接收者提出不再愿意接收商业性信息,企业不得将买卖或转让其邮箱地址。

(三) 加拿大相关规定

加拿大规制发送商业性信息的法律主要为《加拿大反垃圾邮件立法》(Canada"s anti-spam legislation “CASL”)[12]。根据CASL,发送商业电子信息需要满足三项要求:

1、获得接收者同意

CASL第6条(1)款规定,禁止在个人同意(无论是明示同意或默示同意)接收信息前向个人发送商业电子信息。信息发送者想获得明示同意,则需要清晰、简洁地明确同意的目的、收集的信息。

默示同意仅适用于与接收方存在商业关系的情形下,且个人未明确表示拒绝接受该信息——类似于欧盟ePrivacy Regulation下的“软性同意机制”[13]。

2、对接收者的告知义务

CASL第6条(2)款规定,信息发送者必须明示以下信息:

  • 信息发送者或被代表方的身份;

  • 信息发送者的有效联系方式;

  • 退出机制的相关信息。

3、对提供“退出机制”的要求

CASL第11条要求,如接收者不愿意再接收电子商业性信息,信息发送者应免费提供退出的机制。退出的方式应采用与发送信息的方式一致或接收者同意的其他方式。同时提供可通过网页浏览器访问的电子地址或网页,确保接收者能访问相关信息。

二、国外平台的合规事件——以同意机制为例

一些全球化运营的互联网业务平台,因涉及多个法域,对于发送商业性信息的实践操作也采取了多元化的合规方案,仅以“同意机制”为例:

1、根据不同的法域设置不同的合规方案

以某互联网在线信息服务为例,不同国家/地区用户进行注册并收集信息时,针对接收商业性信息是否获得用户“同意”做了差异化的分区处理、以分别符合各个适用法的要求,具体方案如下:

地域

同意机制

页面设计

产品端方案示例

中国版(境内公司运营)

一揽子同意

无单独勾选框,同意在线协议即可

/

美国(境外公司运营)

单独Soft opt-in

有单独勾选框,默认已勾选

欧盟(境外公司运营)

单独Opt-in

有单独勾选框,默认无勾选

从上可看出,上述服务采用的是高合规基准的方案,即针对不同地区的合规要求分别设置不同的同意机制和产品端方案。但此种路径对于大部分公司而言,合规成本较高。

2、不同法域设置相同合规方案

对于大部分的企业而言,即使一个产品的用户涉及多个国家或地区,还是会多采用统一的合规方案。当然,各平台的方案不尽相同,仅就 “同意”机制来说,主要分为以下几种:

同意机制

页面设计

产品端方案示例

单独Opt-in (多数情况)

注册页面有勾选框,正向勾选

注册页面无勾选框,设置页面中发送信息功能默认关闭。

单独Soft opt-in

注册页面有勾选框,默认勾选

注册页面有勾选框,反向勾选

一揽子同意

通过“同意隐私政策”+“隐私政策marketing条款告知”一揽子同意。

三、企业对海外用户发送商业性信息的合规建议

对于有出海业务的中国企业来说,通过互联网向海外用户提供服务,有可能落入到域外法管辖范围。出海企业应依据相关合规要求以及合规实践,结合企业自身情况,制定匹配的合规方案。

总的来说,针对商业性信息推送,建议企业对下述三点予以关注,而不是简单照搬境内做法:

1、获得用户有效同意——这点非常重要

对于企业发送第三方的商业性信息,建议事先获得用户的有效同意。在上述介绍的法域中,大部分情况下通过同意隐私政策一揽子获得的同意,难以构成“有效”的同意。常见的实际操作可考虑:

  • 在用户注册时设置单独的勾选框让用户同意,或,在产品设置页面设置接收商业性信息的具体功能开关,且默认为关闭(拒绝接收)、由用户自行开启。

  • 在可以适用“soft opt-in”的情形下,对于企业发送自身的商业性信息,可在用户注册页面设置默认勾选框或反向勾选框。

2、履行充分告知义务

每次向用户发送商业性信息时,均应明确向用户告知以下信息:

  • Ÿ 发送者的身份及其有效回信地址或号码、有效联系方式;

  • Ÿ 用户有权随时拒绝接收或撤回同意。

3、设立有效退出机制

为用户设立有效的退出机制,包括在产品设置页面或发送信息页面为用户提供便利、显著、免费的退出方式。同时,如用户提出退出请求或操作了退出开关的,企业应快速反馈、确保用户的退出行权及时完成,且一旦完成退出则确保用户不会再收到商业性信息。

[1] https://www.canada.ca/en/radio-television-telecommunications/news/2021/03/crtc-issues-largest-ever-penalty-to-an-individual-for-sending-messages-without-consent.html

[2] ePrivacy Regulation,Article 4.

[3] ePrivacy Regulation,Article 16.

[4] GDPR,Article 4(11).

[5] GDPR,Article 6(1) (a).

[6] ePrivacy Directive, Article13(2), ePrivacy Regulation,Article 16(2).

[7] ePrivacy Regulation,Article 16(6)

[8] ePrivacy Regulation,Article 16(6).

[9] ePrivacy Regulation,Article 16(6).

[10] CAN-SPAM Act,Article 3(2).

[11] https://www.ftc.gov/tips-advice/business-center/guidance/can-spam-act-compliance-guide-business

[12] https://laws-lois.justice.gc.ca/eng/acts/E-1.6/page-1.html#docCont

[13] CASL Section 10 (9).

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。