《一般資料保護規則》(General Data Protection Regulation,GDPR)於 2018 年 5 月開始生效,目的是讓網際網路使用者重獲個人資料控制權。任何以電子郵件形式進行的促銷活動都需要使用者明確的同意,即「Opt-in」(選擇同意接收電子郵件廣告),從而限制濫用。GDPR 對網際網路使用者來說非常有利,企業也應以積極的態度看待此規則,將其視為提高行銷活動參與率的上策。因此,在「Opt-in」(選擇同意接收)、 「Opt-out」(選擇拒絕接收)和「Double opt-in」(雙重確認)的作法之間,該如何避免在網際網路上泄露個人資料呢?讓我們一起來看看什麼才是最好的作法吧!

Opt-in 的定義

Opt-in 是指使用者明確同意接收某企業的訊息,通常是行銷和廣告資訊。

企業通常使用電子報、促銷郵件甚至促銷簡訊來開拓業務和提高客戶忠誠度。然而,在與客戶分享任何促銷資訊之前,企業必須事先獲得客戶的同意,這就與「Opt-in」有關了,網站使用者可採用「Opt-in」的作法,明確表示同意接收行銷和促銷資訊。

GDPR 與 Opt-in

《一般資料保護規則》(GDPR)旨在保護歐盟公民的個人資料,GDPR 特別注重線上行銷與資訊蒐集過程的透明度。2018 年 5 月 25 日,GDPR 把關於企業尋找潛在客戶的政策變得更加嚴格,使用者(客戶)必須是 「自由、具體、知情和明確的」表達同意。 

使用者有權任意退訂商業電子報,並且在不訂閱電子報的情況下仍然能夠正常使用網站,任何要求利用使用者個人資料的網站都是非法的。
徵詢使用者同意須使用具體條款並以個人為單位,而且使用者有權選擇是否接收電子郵件和促銷郵件等等。使用者必須被告知其資料將被如何使用以及由誰使用,除此之外,向使用者發送電子郵件須獲得使用者明確的同意,不得絲毫含糊不清。自 2018 年起,GDPR 完全禁止了「Opt-in passif」(即事先勾選同意框,從而被動選擇同意接收電子郵件廣告)的作法,如果使用者不再希望收到任何商業電子郵件,使用者有權選擇停止接收該類電子郵件。

Opt-in 的用途

網際網路上到處都在蒐集使用者的個人資料,接下來我們一起看看 Opt-in 到底可以用在哪些地方。

電子郵件

此處「電子郵件」所指的是企業發送的行銷與促銷郵件,無論是每月的電子報,還是促銷活動的簡短介紹,抑或是推廣新產品的電子郵件,與電子郵件相關的 Opt-in 在網際網路上無處不在。使用者必須在訪問企業網站時,事先明確表示同意接收,企業才能向使用者發送此類電子郵件,通常使用者在網站建立帳號時會看到這種 Opt-in 同意請求。

如果使用者希望停止接收這類型的促銷郵件,可以注意到每封郵件的底部都有一個連結,請點擊該連結取消訂閱。取消訂閱的過程通常簡單又迅速,但取消訂閱的過程完全取決於郵件寄送方,因此也會有例外。

除了電子郵件之外,還有另一種蒐集使用者個人資料的方法也是無處不在。您能猜到是什麼嗎?沒錯,就是 Cookies!

Cookies

漢堡選單(漢堡功能表)可不是在說舉世聞名的漢堡,就如同 Cookies 在電腦語言中也不是巧克力餅乾的意思。

如今,在網際網路上比比皆是的 Cookies 到底是什麼呢?答案是:小型文字檔案。如果您選擇接受 Cookies,當您進入網站時,Cookies 就會被安裝在您的電腦上。此外,Cookies 允許網站紀錄您在該網站上的使用資料,網站藉此會紀錄您在某一網頁上點擊或瀏覽的產品,從而分析您的使用情況。Cookies 讓每個網際網路使用者都能以個人化的方式使用企業網站,而網站會針對性地向使用者發送推薦廣告。

使用 Cookies 需要蒐集您的個人資料,因此,Cookies 就和電子郵件一樣,需要遵守 GDPR 的規定。正如您所見,在您瀏覽的每個網站上,都有類似橫幅的警告,告知您該網站使用 Cookies,而您有權關閉所有或部份的 Cookies。請注意!如果有網站要求使用者接受所有的 Cookies 才能正常瀏覽該網站,這樣是違法的。 

Opt-in、Opt-out 與 Double opt-in 的差異

現在網際網路上有幾種蒐集個人資料和徵詢使用者同意的作法:Opt-in(選擇同意接收電子郵件廣告)、Opt-out(選擇拒絕接收電子郵件廣告)以及 Double opt-in(即在電子郵件訂閱過程中增加一個步驟,要求使用者驗證其電子信箱位址並確認訂閱)。

Opt-in

Opt-in 分為兩種:主動(active)和被動(passive)。主動 Opt-in 給予使用者選擇權,使用者有權同意或謝絕提供個人資料,然後勾選相應的選項方格即可。當使用者進入網站或在網站上註冊帳號時,就會出現上面寫著諸如 「我同意透過電子郵件接收資訊」或 「我接受使用 Cookies 」此類的資訊橫幅,此時,使用者只需依照意願勾選附帶的方格即可。
與主動 Opt-in 相比,被動 Opt-in 也有相同類型的「橫幅」,但不同的是,徵詢使用者意願的被動 Opt-in 選項之方格已經被預先勾選了,因此,綜上所述,GDPR 明文禁止被動 Opt-in 這種作法。

Opt-out

Opt-out 是發送商業性電子郵件的另一種作法,Opt-out 允許企業在未徵得網際網路使用者同意的情況下發送電子郵件。雖然 Opt-out 是合法的,但受到嚴格監管,只有在兩種特定情況下才能使用 Opt-out。

  • 當使用者已經同意企業使用其個人資料時,企業可向使用者發送類似可訂閱的電子報,其中內容可能包含同一企業或其合作夥伴的產品。
  • 如果企業提供與網際網路使用者有關的服務,那該企業有權採用 Opt-out 的作法,並在其電子郵件中加入商業計畫。

然而,網際網路使用者必須被明確告知其資料的使用目的,以及使用者是否有權撤銷同意。如果使用者要撤銷同意,必須告知企業不希望個人資料被用於某特定的服務,使用者通常也是只要勾選相應選項的方格即可完成。

Double opt-in

Double opt-in 是 Opt-in 驗證方法的一種,其與 Opt-in 一樣,使用者於初次瀏覽網站時就可以勾選方格表示同意。接著,使用者會收到一封電子郵件,其中含有再次確認其最終決定的連結,而這種雙重確認的流程就是 Double opt-in 的特點。
Double opt-in 的作法不僅能確保使用者提供的電子信箱位址正確無誤,同時也能確保使用者對企業所發送的內容真的感興趣。企業可以利用 Double opt-in 的優勢,呈現由使用者親自選擇的興趣清單,以便之後為該使用者提供更個人化的內容,此外,Double opt-in 還能符合 GDPR 要求的可追溯性。

結論

現在您已經瞭解了 Opt-in、Opt-out、Double opt-in 以及其在網際網路上的用途。此外,多虧有 GDPR 的嚴格監管,網際網路使用者對個人資料及其使用方式才握有更多控制權。再者,GDPR 能確保使用者的個人資料受到保護,凡是不遵守 GDPR 的企業,處罰可高達 37.5 萬歐元(折合台幣約 NT$1.2億)或該企業營業額的 5%,甚至會要求該企業關閉其網站。(法語連結)

如果您不想錯過任何 Gandi.net 的最新資訊和動態,不要猶豫,快來訂閱我們的電子報吧!您可在 Gandi 部落格 的頁尾找到 Double opt-in 的表格。;)