随着GDPR执法模式的不断完善,在欧洲经济区(EEA)运营的公司必须遵守隐私保护法规,否则将可能面临高昂的罚款(罚款高达2000万欧元或上一个财年全球营业收入的4%),并且影响企业声誉,导致企业丧失消费者的信任。GDPR被公认为是隐私保护立法的重要里程碑,对数字广告行业产生了深远的影响。该法规限制企业收集和处理来自欧盟 IP 地址的个人数据。
同样,英国脱欧后,《英国通用数据保护条例》(UK-GDPR)和《 2018 年数据保护法》也约束了企业作为网站或应用程序所有者必须获取和存储用户同意,即英国地区的企业也应遵守相同的要求。因此,企业必须清楚了解自己的义务,在处理个人数据之前,广告商和出版商必须获得用户明确的同意,而且用户可以随时撤回同意。
一、网站同意横幅的注意事项
步骤1:了解用户同意方面的监管要求
可以参考有关欧洲经济区和英国关于用户同意的要求。请注意,它们是通用要求,还需要了解其他可能存在的差异(例如,儿童的年龄的定义)。
步骤2:审计网站所使用的技术,识别Cookie和其他跟踪器
对网站进行全面、彻底的扫描,了解网站上的Cookie、信标和其他跟踪技术。验证Cookie的使用是否符合网站隐私政策或放置Cookie的第三方网站的隐私政策。对网站进行审计可以自动检测和分类Cookie等跟踪技术,有助于消费者理解并选择正确的内容。Cookie通常有以下几种类型:严格必要的、功能性的、统计性的、营销性的等。只有严格必要的Cookie 可以默示同意, 其他类型的Cookie应由用户自主选择接受或拒绝。步骤3将对此作进一步解释。
步骤3:设计横幅
当设计同意横幅时,建议充分考虑以下内容。这些内容可以提升用户友好体验,可能会增加用户同意率。其他要求应以当地数据保护机构发布的指南为基础,在一些同意管理平台上也可以找到相关指南。普华永道在此提供一些实践做法供参考。
• 位置:横幅的位置是影响同意率的关键因素。常见的放置位置包括在网页的中间、网站的页脚和网页的顶部。将横幅置于中间位置往往能吸引更多的注意力。业内调研曾发现放置在页面中间的同意横幅获得了最高的同意率。
• 内容:需要充分考虑用户同意方面的合规要求,如第1章所述。应当以简单易懂、不使用过于专业晦涩的语言告知用户有关Cookie使用的信息,信息应包括:
a) 明确标识组织名称。在横幅上显示所在的组织名称或徽标;如果网站将与第三方(如广告或分析合作伙伴)共享通过Cookie收集的数据,同意横幅应告知用户此类数据共享做法;
b) 说明将收集和使用哪些(类型) 数据;
c) 解释收集数据的原因(处理的目的)。例如,使用Cookie收集到的数据为用户提供相关促销(营销)信息,或是提供更好的网站体验(功能);
d) 告知用户随时撤销同意的权利以及撤销同意的方法;
e) 指向网站详细的Cookie政策和隐私政策的链接。还建议横幅上提供一个链接,展示共享数据的供应商列表。
• 按钮: 在横幅上应清晰地显示“接受”和“拒绝”或类似含义的按钮。只有用户主动点击“接受”按钮才能被视为有效的同意。研究表明“接受+ 拒绝”这种按钮组合的同意率较低,因为如果用户不了解正在发生的事情,他们通常会选择拒绝。相比之下,“接受+设置”组合会获得最高的接受率。还可以通过让人愉快或信任的语气增加用户的同意。例如,“请接受!”和“【网站名称】重视您的隐私”的方式,以不同程度增加用户的接受率。
• 颜色:可以根据组织的形象与风格,设计同意横幅的颜色。在字体颜色方面,尝试视觉冲击强的颜色搭配(例如深色背景和亮色文本,而不是亮色背景和深色文本),可能会提高同意率。例如,“拒绝”按钮使用浅色,“接受”按钮使用较深的颜色,有边框,且有一个易于选择的图标。
• 字体:通常标题文本设置字体(例如组织名称和按钮文本)应足够大,便于查看;描述信息收集目的的文本一般以较小的字体显示,长度不宜过长或过短;隐私政策和Cookie政策的链接应通过不同的字体(例如斜体、粗体等)和颜色来区分。
• 语言:根据网站所在的国家或司法管辖区,显示本地语言的横幅,让用户有效地理解内容。
图1:不同语言横幅显示的实践参考*
* EEA地区英语、法语界面示例
• 同意管理机制:
a) 在同意横幅之后,用户可通过“管理Cookies”按钮或链接进入同意管理界面。在收集用户个人信息之前,应向用户提供选择权来选择他们希望接受的Cookie选项。如步骤2所述,对Cookies进行分类,并告知用户各类Cookies的作用。除严格必要的Cookies外,所有其他类型的Cookies都需要用户主动勾选。
b) 还应该具备明确简单的退出机制,让用户能够随时撤回他们的同意。通常可以在网页页脚提供用户管理Cookie的链接,在弹出的Cookie横幅后,用户可以通过简单的方式进入网页来管理Cookie,例如更改同意偏好。
图2:同意管理机制的实践参考*
* EEA地区英语界面示例
步骤4:仔细检查
应该确保在获得用户同意之前阻止网站跟踪器的自动运行。确保横幅设置和Cookie执行方式与呈现Cookie和隐私政策一致。在正确的时间,向正确的人显示正确的同意横幅。
步骤5:衡量同意率
在网站上有了基本的横幅之后,监控同意率也很重要。如果选择同意的人数较少,可以选择一些第三方平台对同意率进行一些测试。通过A/B测试、实验,和对模板设计、布局、文本、行动呼吁按钮(CTA)、颜色等简单测试,确定哪些变化产生了最高的转化率。根据一些同意管理平台的实践,同意率在不同行业之间变化很大。
主要行业的同意率:
体育 87%
娱乐 83%
汽车 77%
电子商务 84%
家庭 90%
医疗/制药 85%
信息技术 82%
财经 81%
工作与教育 89%
旅游 83%
保险 83%
游戏 78%
新闻 87%
来源:Consent Manager对使用其CMP平台的15,000个网站的10亿多个同意层的统计分析结果
二、应用程序同意横幅的注意事项
应用程序端的同意因业务的多样性更为复杂,在此仅提供一些一般性建议供参考。进一步的指导应参考应用程序发布平台对开发者的要求,如Google Play的指南或Apple App Store的指南。在进行开发之前就开始考虑隐私设计(Privacy by Design)也很关键。
移动程序端网站的实践参考:
With your agreement, we and our partners use cookies or similar technologies to store, access, and process personal data like your visit on this website. You can withdraw your consent or object to data processing based on legitimate interest at any time by clicking our Privacy Policy
I have read and agree to XX’s Privacy Policy.
步骤1:了解有关用户同意的监管要求
对于应用程序提供者而言,在欧洲经济区和英国发布应用程序需要遵守的监管要求与第1章所述要求相同。此外,还需要遵守发布应用程序的应用平台的隐私政策。
步骤2:审核应用程序中的服务和应用程序接口(API)是否合规
在集成第三方服务或API时,应考虑GDPR的要求,对应用程序进行彻底扫描。第三方服务或API的详细信息需要展示在网站隐私政策中。
步骤3:在应用程序上设计并设置同意横幅或同意框
如果选择“获得数据主体的同意”作为在应用程序上处理数据的法律依据,则应在首次处理数据前征得用户同意。建议采用符合GDPR的唯一方法——在应用程序启动时显示同意横幅(横幅、框等形式)。
在iOS设备上提供应用程序时,还须遵守苹果对应用程序开发人员的要求:在符合各地法规要求获取用户同意之外, 单独获得用户对应用程序跟踪透明度(ATT)的同意。在iOS设备中,需要通过应用程序跟踪透明度(ATT)框架获得用户许可,才能跟踪用户或访问其设备的广告标识符。
与网站上的同意横幅一样, 需要对内容、按钮、颜色、字体和语言进行类似的设置。(此处不再赘述)。
• 位置:建议将应用程序弹出窗口放在屏幕的中部或下部,这样更容易吸引用户的注意力,也方便用户点击。
• 同意管理机制:
a) 可以选择侧边栏或菜单项链接到管理隐私和数据收集的界面。向用户展示隐私政策、所收集数据类型的相关信息,并允许用户更改同意选择。此外,还应在设置页面上为用户提供是否启用个性化广告的选项。
b) 同样,符合GDPR标准的移动应用程序也应该有专门的页面,让用户可以选择退出与应用程序的通信或要求删除他们的数据。该页面的入口应简单明了。
c) 此外,有必要实施GDPR要求的其他合规措施,如为数据主体提供行使其权利的机制。建议咨询专业的第三方机构,以获得有关更多情况的详细分析。
步骤4:仔细检查
在获得用户同意之前,应用程序不能采集用户信息。确保应用程序的数据收集方式符合隐私政策。
步骤5:衡量同意率
最后,还需要监控应用程序的同意率,并使用合适的方法进行测试,以找到促进积极效果的变化方向。
三、合规的同意横幅的检查清单
以下检查清单提供设计同意横幅时应当避免的常见错误。
- 针对来自欧洲经济区(EEA)的用户访问您的网站或应用程序的场景,您是否检查了同意横幅的显示情况?
- 在获得用户同意之前,您是否禁止了网站跟踪器等技术自动运行?
- 当用户同意在您的网站或应用程序上被收集个人数据时,您是否向用户清晰说明收集哪些种类的个人数据,及收集数据的原因?(例如,他们是否知道他们的个人数据将用于个性化广告?)
- 您是否告知用户,使用其数据的组织或机构(包括第三方)以及使用数据的时间?
- 您是否为每个数据处理目的提供了单独的同意选项,而不是将同意捆绑以涵盖多种目的或活动?
- 用户是否可以通过点击“确定”按钮或“我同意”按钮等清晰积极的操作来表示同意?
- 您是否为用户提供了便捷的途径,供用户修改其同意偏好或撤销同意?
- 在获得用户同意后,您是否记录并保存了这些同意数据,以便在数据保护机构(DPA)进行审计时用于验证用户的同意?
本文摘编自普华永道发布的《欧盟法规要求下的用户同意实践白皮书》。
在文末扫码关注官方微信公众号“idtzed”,回复“入”直通 AIGC+X 个人信息保护营、数据安全营、数据合规营,@老邪 免费获取。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
