文章探讨了数据隐私法规中的选择加入和选择退出原则,比较了GDPR和CCPA的异同,强调企业需遵守各地法律法规,确保在收集和处理用户数据时的合规性,特别是关于用户同意、撤回同意和退出权的处理方式。
选择加入和选择退出
选择加入(Opt-in)和选择退出(Opt-out)是数据隐私保护的两种方法,数据保护法的两个主要趋势均以此为基础。然而由于各国或各司法管辖区的法律法规或指南规定不一,使得公司往往疲于应付一系列令人眼花缭乱的选择加入和选择退出的要求,未能清楚了解数据保护法如何将其应用于数据处理行为,从而可能对用户和企业造成严重法律后果。如果企业没有合法收集到用户的许可,最终可能会将营销等信息发送给不希望收到这些通信的用户,这样既构成了法律合规风险,也造成了潜在的品牌形象的损害。
什么是选择加入?
从法律意义上来说,选择加入意味着用户需要采取肯定行为来选择接受企业对其数据的处理。如果用户不选择提供其数据用于公司告知的处理目的,则公司不得对其进行处理。如果用户同意数据处理,公司则可以继续其处理行为。
例如,当用户在网站上使用Cookie(包括收集个人数据的功能性或广告性的Cookie)时,选择加入方法要求用户在触发Cookie之前征求同意。这通常在用户第一次登陆公司网站时会出现。当用户进行电子邮件营销时,选择加入意味着用户已同意接收公司的新闻通讯。如果他们没有选择接收电子邮件,公司就无法向他们的用户账号发送电子邮件。
欧盟《通用数据保护条例)(GDPR)、巴西LGDP、泰国PDPA以及许多其他遵循GDPR立法模式的国家都采取这种选择加入的方式来对个人数据进行保护,且都强调同意要具体,即必须针对特定目的给予同意,处理个人数据的一般授权应被视为无效。此外,GDPR和LGDP都明确规定公司获得同意前需要告知用户的信息内容,但泰国PDPA没有说明需要提供哪些信息来响应访问请求。
另外值得注意的是,GDPR对于个人之间的点对点电话营销并没有做出要求必须事前取得个人同意的规定,但同时允许 成员国在国内法中对此作出规定。因此不经过事先同意的点对点的营销是否可行,还是要参照各国国内法对于电话营销的规定。即便可以在不经过事先同意的情况下进行电话营销,也必须给用户提供免费的退出权,一旦用户行使退出权则不能再向该特定用户进行电话营销。而对于自动电话呼叫调用系统作出的批量式营销,GDPR则规定必须事前取得个人的同意。
什么是选择退出?
选择退出是指公司企业在收集、处理个人数据时可以不经用户同意,但必须对用户保留随时撤回同意的权利。选择退出意味着用户的个人数据可以随时由任何人以任何方式收集,并且可以自由处理,直到公司将对个人数据进行某些特定的处理行为,并将此行为告知用户,用户出于对自身利益的保护或其他考虑,可以要求公司停止其数据处理行为。包括限制处理、撤回先前给予的同意、删除个人数据、阻止个人数据的销售或阻止企业对其手机的个人数据进行任何操作。
选择退出模式无需取得cookie同意或其他任何类型的数据处理同意,其所需要的只是在用户希望停止对其数据的处理行为时,公司能够立即作出反应。
选择退出的概念最早出现在加利福尼亚州的CCPA和CPRA,以及科罗拉多州CPA、弗吉尼亚州CDPA、犹他州UCPA和康涅狄格州DPA中。在CCPA中选择退出权仅限于“出售”消费者数据,而CPRA除此之外,还包括选择退出“共享”用户个人数据的权利。
选择加入和选择退出的区别:GDPR vs. CCPA
GDPR与CCPA是了解选择加入和选择退出两种模式所存差异的最佳法律模版。GDPR是典型的选择加入模式的法律,CCPA则是典型的选择退出模式,但两者本身都包含选择加入和选择退出元素。
在大多数情况下,GDPR要求公司要取得用户同意才能处理其数据,但用户可以随时通过撤回先前给予的同意来选择退出。此外,GDPR还赋予用户通过限制、反对处理或要求删除其个人数据来选择完全或部分退出数据处理活动。用户还可以将他们的数据从一个公司转移到另一个公司,这意味着,用户在选择退出该公司后,又再次选择加入另一家公司。
CCPA采取选择退出模式,允许公司在不经过个人明确同意但同时给予个人完善退出权保障的的情况下,处理用户信息。但该规则有两个例外,一是收集和处理儿童数据;二是用户之前选择退出了,后又想要选择加入,此时需要用户明确同意。
当用户选择退出时,公司怎么办?
当用户表明他们想要退出时,公司不问任何理由,必须满足他们的要求。
当公司收到选择退出的请求时,他们需要做到:
1.只有GDPR要求的:
撤回同意:撤回同意必须像给予同意一样简单。一旦用户撤回同意,公司不得再处理他们的数据。
反对或限制处理:这取决于用户请求的具体内容,公司需要根据用户的要求调整他们的数据处理行为。
2.GDPR和CCPA/CPRA共有的:
删除个人数据:当用户请求销毁其数据时,公司需要将用户数据删除。
3.只有CCPA/CPRA要求的:
选择退出销售或经济激励计划或定向广告:美国法律允许出售个人信息,但是CCPA仍赋予加州居民选择不让拥有其个人数据的企业出售其个人数据的权利。在美国,公司出售个人数据的现象很常见,包括那些处理个人敏感信息的公司,例如与信用卡使用相关的数据、财务数据、健康数据、购买行为等。用户还可以选择退出与其个人信息相关的任何经济激励计划,如果公司收到此类请求,则必须将该用户从计划中删除。
阅读更多:
用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
