英国《2018年数据保护法案》(Data Protection Act 2018)所要求的直接营销行为守则(草案)旨在帮助各类组织履行它们的义务。对此,英国数据监管机关(ICO)于近期发布直接营销行为守则(草案),征集公众意见,截至2020年3月4日,该草案亦涉及《2003年私隐及电子通讯条例》(PECR)下的市场营销事宜。北京师范大学网络法治国际中心组织翻译该草案并择机发布,敬请关注。
长达124页的直接营销行为守则草案阐明了许多老问题,也涉及使用新技术和新社交媒体的市场营销行为。其中一些重点包括:
1、如果直接从个人收集数据,必须在收集他们的详细信息时提供隐私告知。如从个人以外的来源(例如公共来源或第三方)收集个人数据,则必须在获得数据的合理期限内提供隐私告知,且这个期限不得晚于自收集日期起计一个月。
2、如果正在考虑购买或租赁直接营销名单,必须确保已经完成了适当的尽职调查。
3、如果为了市场营销和在线广告的目的而使用新技术,很可能需要开展数据保护影响评估。
4、即使没有使用网络cookies,GDPR框架下的同意也可能是与计划使用的行为广告或者用户画像技术相称的合法性基础,这同样适用于更一般的在线广告领域。
5、在第三方获得同意的基础上针对新客户开展直接营销时,英国数据监管机关(ICO)建议不要依赖早于6个月前取得的同意。