来源：京东数字科技研究院 

文/刘元兴

编者按：
2018年11月7日，德国数据保护会议（committee of the independent German federal and state data protection supervisory authorities，德国联邦数据局及各自独立的州数据保护局联合委员会）（以下简称“DSK”）发布了针对在GDPR语境下的用于直接营销目的的个人数据处理的指导意见（DS-GVO）[1]。该指导意见对在GDPR语境下的市场营销困惑起到了拨云见日的效果。

以下为编译内容：

适用于直接营销的GDPR一般原则

· DSK对“营销”这个词有着相当广泛的理解，其也包括顾客满意度调查以及圣诞节或生日宴会邮件。

· 直接营销活动需要“平衡利益”（balancing of interests），即依据第13条及第14条向数据主体完整地和透明地告知个人数据处理情况，有助于为市场营销提供正当性依据。“平衡利益”尤其应该考虑到数据主体的合理预期。

· 如果用于直接营销的数据处理是公平的和透明的，且于直接营销目来说为必要，那么直接营销一般是允许的。

· 根据GDPR第9条，特殊类别的个人数据须经数据主体明确同意方可用于营销目的。

· 如果个人数据搜集的初始使用目的不是市场营销而被用于市场营销，那么适用GDPR第6条第4款关于目的变更的规定。数据的控制者必须进行兼容性测验以评估市场营销目的是否与初始目相兼容。

市场营销活动正当化列举

下列市场营销活动典型案例通常被视为正当的：

· 发送与已购产品或服务相似的其他产品或服务的非个性化的营销材料。

· 通过添加共同的特征标签给特定的顾客群体分类。（如：年龄、兴趣）。

以下市场营销活动典型案例通常难以被视为正当的：

· 更具侵犯性的做法，例如能够得出额外评估结果的用户详细特征创建、行为预测和分析等自动化程序性操作；DSK将这种情况认定为用户画像行为，须征得用户个人同意，而不仅仅是“利益平衡”。

· 依据来源于第三方（例如，社交网络）的营销材料创建的用户画像。

· 将数据披露给第三方为市场营销目的使用以及使用来源于第三方的地址数据的行为，具体正当与否，DSK援引GDPR序言第47条建议考量数据主体与数据控制者之间是否存在（商业）关系，进一步来说还需要援引GDPR第6条第4款的规定要求。

个性化营销传播渠道的特殊规定

DSK进一步论证道，如果个性化营销方式不符合所适用的“不正当及欺骗性贸易惯例法”的规定，那么将个人数据用于市场营销目的的行为将无法通过“利益平衡测试”得以正当化。例如，德国《反不正当及欺骗性贸易惯例法》（“UWG”）详细阐述了不同渠道（比如电话，电子邮件以及邮递）的营销所需遵守的特定要求。不符合这些要求的营销活动，也是为GDPR所禁止的。

德国UWG通常认定下列营销方式是正当的：

· 满足三个条件的电子邮件营销：（1）针对现有顾客；（2）电子邮件地址是基于先前已存在业务关系所获得的；（3）遵循GDPR第13条规定已向顾客作适当告知。

· 针对（现有客户以外的）其他市场参与者的电话营销，前提是其默示同意可以被推定。

德国UWG通常认定下列营销方式是禁止的：

· 向没有作出明示同意的顾客进行电话营销。

· 向没有作出同意表示的顾客或者先前不存在业务关系的顾客进行电子邮件营销（例外情形，请参见上方）。

· 发送者的身份（营销传播发送行为的被代理人）被隐藏或保密的任何营销传播行为。

必要的通知

DSK承认，在获取个人数据的同时，特别是在类营销（例如，某些特定的销售抽奖或彩票抽奖活动）中，告知所有必要信息在实操上是有困难的。因此，DSK支持由第29条数据保护工作组（“WP 260”）首先提出的分层隐私声明。根据这种方式，开始先告知一套最低标准的信息，然后根据GDPR第13及第14条的要求告知剩余的信息。最低标准的信息告知将根据GDPR第13条第1及第2款进行，其中包括以下信息：

· 数据控制者的身份；数据控制者数据保护官的联系数据；数据处理（如是）是基于合法利益的说明；数据接收者或数据接收者目录；向第三国转移的情况；根据GDPR第21条享有的反对权；了解更多强制性告知信息的渠道。

· 数据控制者必须是特定的自然人或法人且提供其完整地址。简称（例如，XY-组）是不足以满足信息告知要求规定的。

对以直接营销为目的的个人数据处理所作出的同意

DSK 对“同意作为用于营销目的的数据处理的合法要件”作了详细阐述。总而言之，同意必须是在知情的情况下自由作出的，且是特定的。在直接营销中，“知情同意”程序要求提供以下信息：

· 所要开展的营销活动采取的渠道方式（信件、电邮、电话等等）；

· 广告的产品或服务；

· 以及广告公司。

在下列情形下，同意通常被认定为合法获得且是真实的：

· 递上名片可以被认定为同意接受营销，前提是没有迹象显示名片非本人所有。

· 电子同意要求双重确认程序以确认数据主体的所作出的声明。

在下列情形下获得的同意普遍被认定为难以成立或证实：

· 双重确认程序对正当化将来源于网上电话号码用于电话营销的行为是不充分的。在这种情况下，数据控制者需要数据主体的书面同意。

用于营销目的的获取的数据的有效使用期限

GDPR没有明确一个特定的个人数据营销使用期限。然而，DSK依据慕尼黑地区法院的判决间接地示明了一个既得同意的有效期限。

对此法院有以下论证：

· 对电子邮件营销所作出的同意，在同意作出的17个月后且一直未予营销使用的，将不再作为为直接营销目的数据处理行为的正当化的法律依据。因为没有收到来自数据控制者的营销传播时日已久，数据主体可以合理预期以后也不会被联系。

· DSK认为就用于市场营销目的联系数据而言,17个月的有效限期是合理的。如果数据控制者在这一期限内对该数据未予使用，那么其将无法再基于其合法利益处理该数据，毕竟数据主体的利益优先于数据控制者的利益。

· 这一期限在特定情况下可能更短。

用于直接营销目的的有效数据处理的特殊情况

直接营销在下列情形下通常被认定为正当的：

· 如果数据控制者向数据主体履行了信息告知义务，那么以营销使用为目的对在促销竞争或者目录索要的情形中获得的电子邮件地址数据所进行的处理行为是正当的。

· 经过请求客户后，在电话簿中公布其联系方式。

直接营销在下列情形下通常难以被认定为正当的：

· 从压印中获得的数据，因为此等数据是基于法定义务才公开的。

· 转告朋友市场营销，因为该数据处理不符合公平性和透明性的要求。

· 推荐营销，例如提供给用户输入朋友邮件地址的机会，那么朋友便会收到未经其请求的被动接收的推荐邮件。

GDPR第21条第2及第4款赋予数据主体的反对权

DSK详细阐述了数据控制者关于GDPR第21条所规定的“反对权”所承担的相关义务。出于问责制的考量，DSK建议在每次营销传播中对数据主体享有的“反对权”给出提示指引。依据GDPR第21条第4款，该“反对权”必须明确地提请数据主体注意且应该清晰地且有别于其他信息地呈现，还不能被“隐藏”在大量的条款和条件中。

为了高效地保障数据主体的权利，DSK要求数据控制者调查数据主体的真实意图，例如，数据主体想要其数据被删除或者其不想在将来成为市场营销传播的目标群体。

· 如果数据主体不想在将来成为营销传播的目标群体，他/她必须被纳入“营销传播禁止名单”中。保有此等“禁止名单”是被GDPR所容许的。但数据主体应当被告知其被纳入“营销传播禁止名单”的情况。

· 如果数据主体明确要求仅仅删除其数据，那么其将不会被纳入“营销传播禁止名单”且将来有可能成为营销目标群体。因此，他/她应该被告知他/她可能在不久之后会再次收到营销传播。

如果数据主体行使他/她的反对权，数据控制者必须执行以下内容：

· 立刻处理其请求

· 已经开展的营销活动不需要立即暂停，因为数据主体可以合理预期到——此等营销活动不能被立即停止。

· 为了防止不必要的投诉，数据控制者应该向每一个数据主体发放个人答复函，其中包括“反对确认”以及数据主体可能仍会收到营销传播的时间期限。

[1] 下载链接为：https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/Orientierungshilfe_Direktwerbung.html;jsessionid=42B9F9798A30E6EF071BC8225166521C.1_cid354?nn=5217016

来源：bfdi.bund.de&jdsupra.com

编译：陈冰冰，京东数科研究院助理研究员

审定：刘元兴，京东数科研究院研究员