在欧盟的立法框架下，营销行为不仅涉及数据安全和隐私保护，还会涉及到消费者保护法的相关内容。营销行为往往涉及使用通过收件人的设备收集的数据，例如从其智能手机收集的位置数据或通过cookie收集的数据。而且，营销行为发送信息的方式不再局限于邮政邮件和电子邮件，还可以通过第三方平台消息、推送消息和应用内消息发送。因此关于营销行为中的数据合规往往是数据合规体系中最复杂的一部分，数据控制人们往往疲于应付一系列令人眼花缭乱的选择加入（Opt-in）和选择退出(Opt-out)的要求。未能清楚了解数据保护法律如何应用于营销行为可能对个人和企业造成严重法律后果。如果企业没有合法收集到用户的许可，最终可能会将营销信息发送给不希望收到这些通信的个人，这样既构成了法律合规风险，也造成了潜在的品牌形象的损害。相反，对数据保护规则应用过于严格的企业可能会对本可以合法发送营销通信的营销策略施加不必要的限制。

另外，各成员国可能会在GDPR的基础上或在其法律外沿之外，针对广告和通信以及消费者权益保护方面制定其他更严格的法律对于营销行为的模式作出限制，并管理个人数据使用的时间和方式。例如，针对未经请求的商业消息(“反垃圾邮件”)的规定，以及在网站页面、电子邮件和推送通知中使用cookie和类似技术的规定。故而关注各成员国国内法在进行针对用户的营销中也是非常重要的。

如果公司或组织没有在合规的基础上进行营销，除了会受到数据合规监管机构的行政处罚外，还有可能涉及民事甚至刑事风险。

1、营销行为数据合规的基本框架

（1）定义

并非所有出自于企业或组织的沟通信息都构成数据保护法下需要被约束的营销行为。当然，营销的定义还是很宽泛的。根据WP29对数据合规中营销行为的解释，营销行为是指任何形式的有利于促进销售的向他人传递信息的行为，甚至包括由慈善机构和政治组织进行的以筹款为目的直接营销。然而，营销信息并不一定需要提供需要出售的商品或服务，在某种程度上，它可以是一个免费服务的推广信息。

数据保护法下的营销行为更多是指针对一个或多个个人的直接营销，即通过任何广告或营销材料的传播向特定的个人发送信息。因此，数据保护法下的营销行为是指需要进行个人数据处理以向数据主体传递营销信息的行为。在这一定义下，不针对特定对象的广播行为，以及向已有的客户发送与双方履行合同有关的信息并不会收到数据保护法的管辖。

（2）数字营销与非数字营销

GDPR中对处理个人数据后的营销行为作出了规定，适用于通过信件、电话、传真、以及电子邮件等所有线上或线下方式进行的直接营销行为。当公司或组织基于对个人数据的处理而进行的营销时，需要履行GDPR中的如下义务：

1、需要基于合法理由收取并处理数据主体的个人数据。一般而言这意味着取得数据主体明确同意或给予合法利益进行数据处理（合法性要求）。

2、向数据主体提供数据处理的合理信息，说明他们的个人数据将用于营销目的( 透明性要求)。

3、实施适当的技术和组织措施保护被处理的个人数据，与代表数据控制人进行直接营销的任何服务提供商，如外部广告代理、邮件服务等，签订包含适当数据保护义务的合同。

4、不将个人数据输出到欧洲经济区 (EEA)以外，除非在其接收上有足够的保护，比如使用BCR或SCC。例如，在没有确保适当保护措施到位的情况下，不应向海外广告公司发送联系人列表，以数据控制者的名义发送营销通信。

5、遵守其他GDPR下的数据处理义务。

另外如果通过电子通信的方式进行数字营销，比如通过网络广告、短信、即时通信软件等进行的营销行为，则还需要适用欧盟数字隐私指导（ePrivacy Directive 2002/58/EC）。这包括对通过电话、传真和电子邮件(包括短信和即时消息)进行营销的同意和信息要求，也包括对推送通知和其他消息的要求。一般的规则是，除了个人对个人的点对点电话营销外，大多数形式的数字营销都需要事先征得预期收件人明确参与的同意。而对于个人数据是在产品或服务销售的情况下被数据控制人预先收集的情况下，后续的电子邮件营销可以直接向数据主体发送，前提让数据主体可以选择退出或停止接收任何类似的邮件。

隐私指导还规定了一些特殊的规则，这些规则会影响基于位置的营销和数据控制人使用cookie进行在线行为广告(OBA)的能力。适用于每种不同营销传播渠道的特定规则将在下面进行更详细的讨论。

（3）数据主体接受营销行为的退出权（Opt-out）

GDPR要求个人必须有权利拒绝或选择从数据控制器发送的直接营销的联系列表中退出。这一规定已适用于在数据主体同意的基础上处理个人数据的情况，因为任何同意均可在任何时间撤回。另外这种退出权也适用于基于合法利益进行数据处理后进行直接营销的情况。具体而言，GDPR对退出权作出了如下的要求：

1、个人需要在每次通信时都被告知他们有选择退出的权利。在与数据主体进行第一次通信时，应明确提及数据主体的权利，并应明确地与任何其他信息分开提出以引起注意。

2、须允许个人选择退出所有营销渠道的营销信息接收。个人必须能够选择退出所有形式的直接营销，这适用于通过邮寄、电话、电子邮件或任何其他方式进行的直销。

3、数据控制人必须及时跟进数据主体提出的任何形式的退出请求，不能作出不合理的延迟，并且不得对这种请求收取任何费用。

4、除非根据法律要求必须保留数据、用于诉讼目的、或其他必须的合法理由，在数据主体要求退出时，必须删除与营销相关的个人数据，包括删除用户画像数据。

当数据主体要求退出时，必须立即停止所有针对该数据主体的营销行为，并采取措施将该数据主体在营销列表中作出标注。因此，在发起任何营销通信之前，数据控制人应该根据其内部退出记录整理、交叉引用和更新其营销联系人列表。

2、通过信件方式进行营销

由于信件并非网络方式，因此通过信件的营销并不收到数字隐私指导，但采取这种方式依然需要满足GDPR中的一些基本要求。

营销行为主要的法定要求是基于合法理由向用户发送信息，虽然欧盟立法针对信件营销没有明确的特殊要求，但很多成员国，比如比利时、西班牙，都要求在向用户发送信件前获取明确的同意。而在没有这种强制性要求的国家，数据控制人可能会依赖合法利益理由作为直接邮寄营销的替代性合法依据，从而避免明确去的同意。这种情况下数据控制人的利益与个人的基本权利和自由之间需要进行谨慎的平衡，并考虑如下要素：

1、营销产品或服务的性质，以决定对于个人而言，数据控制人向他们发送有关这些产品和服务的营销信息是否具有心理预期。

2、接受营销信息的个人是否是数据控制人的现存客户。

3、数据控制人之前是否告知用户将不会发送任何营销通信。

如果经过审慎考虑后，数据控制人发现无法依赖合法利益的理由，则获取个人同意依然是进行通信前的必要步骤。

3、电话营销

电话营销是数字营销的一种形式，因此这种营销行为受隐私指导的规制。此外，数据控制人在通过个人数据处理进行电话营销时，必须确保他们满足GDPR的一般合规要求。

（1）获取同意

隐私指导对于个人之间的点对点电话营销并没有作出规定要求必须事前取得个人的同意，但同时允许各个成员国用国内法对此作出规定，因此不经过事先同意的点对点的营销是否可行还是要参照各国国内法对于电话营销的规定。即便可以在不经过事先同意的情况下进行电话营销，也必须免费给用户提供退出权，一旦用户行使退出权则不能再向该特定用户进行电话营销。此外，有些成员国国内法还规定，每次电话营销都必须向用户告知其享有退出权和随时进入权，并不收取任何费用。而对于自动电话呼叫调用系统作出的批量式营销，指导则规定必须事前取得个人的同意。综上，关于电话营销的规则和最佳实践因国而异，而取得事先明确同意则是更加安全的合规路径。

（2）自动呼叫调用系统

自动呼叫调用系统是一种自动拨打电话号码，然后在接收者接听电话时播放预先录制的信息的系统数据控制者在使用自动呼叫调用系统进行直接电话营销时，必须事先获得个人的同意。此外，一些成员国的法律(如波兰)要求，以这种方式进行电话营销必须提供营销者的身份和联系方式。

（3）B2B和B2C电话营销

法律对待企业对企业(B2B)的直接电话营销在成员国之间有所不同。一些成员国不区分企业对企业（B2B）和企业对消费者(B2C)的营销，而其他国家则采用更加放任的态度对待B2B的电话营销。

当个人数据被处理以用于电话营销时会触发GDPR的相关规定，同理当处理员工的个人数据以进行B2B营销时，也一样适用GDPR关于个人数据处理的规定。因此，数据控制人在对这些员工进行B2B电话营销之前， 必须有合法处理这些员工个人数据的依据。

如果成员国国内法律区别对待B2C和B2B电话营销， 允许B2B电话在选择退出的基础上不经事先同意进行，数据控制人可能依旧需要根据该国法律定期更新其营销对象列表以保证行使退出权的人不会接到营销电话。

4、网络电子信息营销，包括使用电子邮件，短信，即时通信软件

（1）网络电子信息的定义

隐私指导中的术语“电子信息”指的是“通过公共通信网络发送的任何文本、语音、 声音或图像信息，该信息可以存储在网络或收件人的终端设备中，直到收件人收集为止”。这一术语采用了比较中立的技术解释，使其覆盖范围足以包括通过电子邮件、短信和即时通信软件进行的营销行为。

（2）获取同意

根据隐私指导的要求，数据控制人必须事先获得明确同意(opt- in)，才能通过电子信息向个人发送营销信息。通常情况下，数据控制人在收集个人数据时必须向数据主体提交合理的数据处理通知，要求数据主体同意数据控制人通过电子信息进行营销。

（3）事先获取同意的例外情况

当用户个人数据已经在之前的销售商品或服务的过程中被数据控制人获取的情况下，隐私指导允许数据控制人在不经过个人明确同意但同时给予个人完善退出权保障的的情况下，向其发送电子信息，针对数据控制人提供的且个人曾经购买过的类似商品或服务进行营销，这一制度也被称为软同意（Soft Opt-in）。针对这种软同意，数据控制人必须确保符合如下要求：

1、个人数据的收集必须发生在之前数据控制人与个人的商品或服务交易中，并且在当时必须具有合法的数据收集理由。

2、软同意下进行营销的商品或服务，必须是数据控制人自己进行销售或运营的商品或服务，并且这些商品或服务需要与之前收集个人数据时进行交易的商品或服务属于同一类别，不能时其他商品。比如若之前收集个人数据时的交易是个人购买食品，则后续基于软同意进行推广营销的商品也只能是食品而不能是电子产品或其他产品类别。

3、在初始收集个人数据时，就必须告知相关个人，其有权决定不接受后续的针对同类产品的营销（Opt-out）。并且个人行使这种权利应当简单和易于执行，不应被附加任何的障碍，更不得收取费用。一般而言，合规的做法是给用户提供一个打勾的选项允许其通过简单的点击行使退出权。

4、在后续每次向个人发送电子营销信息时，都必须告知个人其享有退出权，并且提供简单的行使退出权的机制，比如提供打勾退订选项。

（4）信息披露义务

在进行电子信息营销时，隐私指导要求数据控制人向个人提供详细的地址或联系方式信息以方便个人行使退出权。这种信息的提供需要与发送信息的手段相一致，比如若是通过电子邮件发送，则需要提供退订的邮箱地址或退订的超链接；若是通过短信发送的营销信息，则要提供个人发送退订信息的方式。在这个过程中，数据控制人不得隐藏信息或隐藏真实的发件人地址；不得将组织的营销信息伪装成个人之间的通信；不得提供虚假的或无法实现的营销手段信息，如给出虚假的或无法轻松获得的折扣。

（5）B2B和B2C电子营销

与电话营销一样，B2B和B2C之间监管的差别是依据具体成员国国内法而定的，因此在进行电子营销时还是需要着重注意各成员国法律规定方面的区别。

5、基于位置的营销

在智能手机、车联网、物联网技术飞速发展的当下，大量个人设备不仅具备了接入互联网的能力，更能够获取用户的位置信息。正是大量的个人位置数据使基于位置的营销成为可能，也让基于位置的营销成为了另一个数据保护法领域的重点和热点。

GDPR适用于任何涉及个人数据处理的位置数据使用，因此GDPR的绝大部分规定一样适用于大多数基于位置的营销行为。因此，数据控制人在处理个人数据以进行基于位置的营销时，必须确保他们满足GDPR的一般合规要求，包括透明性要求和合法数据处理要求。此外，隐私指导要求在处理个人位置数据时提供具体的同意和选择退出机制。

（1）位置数据的定义

隐私指导将术语“位置数据”定义为“在电子通信网络或电子通信服务中处理的任何表明公共可用电子通信服务用户终端设备的地理位置”。这包括有关个人终端设备的纬度、经度、高度和移动方向的信息。

需要注意的是，隐私指导下的位置数据处理规则仅适用于揭示了个人“终端设备”的地理位置的数据 (即:比如他们的智能手机或电脑终端)，而不是这个人的位置。因此如果一个人在社交网站上公布了其个人所在位置，而数据控制人处理该人实际所在位置的信息并不属于基于位置的营销行为的范围。

（2）同意要求

隐私指导要求使用个人的位置数据来提供“增值服务”必须经过个人明确同意。个人位置数据仅以匿名形式处理的情况下，可豁免此明确同意要求。然而，在基于位置的营销的背景下，这一豁免不太可能适用。

（3）信息披露义务

在获取个人的同意以处理位置信息数据时，数据控制人必须向个人提供如下信息：

1、将收集和处理的位置数据类型

2、位置数据处理的目的和数据处理的持续时间

3、是否会考虑将位置数据传输给第三方，以供提供增值服务

4、个人有权在任何时候撤回对位置数据的处理同意以及撤回同意的方式

6、基于用户线上行为的营销

用户线上行为广告（OBA）是指一种基于观察用户行为对用户进行个性化推送的网页或线上广告。这种广告基于用户行为分析往往可以给用户推荐更适合的或用户更加感兴趣的产品或服务，从而使广告推广更加有效率更加精确。有些网站会自行在脚本中运行用户行为监控程序，并针对用户的浏览和点击行为作出智能化的广告推荐。或者网站运营者会与第三方用户行为监控和广告推广平台合作。不论是那种情况，一般而言在线行为监控系统会储存用户浏览过程中产生的cookie，记录这些cookie中产生的特异性数据，并结合IP地址等其他信息，最终形成用户画像，并在之后根据用户画像有针对性的推广产品。

（1）线上行为广告在GDPR下的监管

虽然针对用户线上行为的所收集的数据能否被归类为个人数据在学理上存在争议，但GDPR明确把通过这种线上行为监控的数据归类为个人数据的范畴。这首先是因为GDPR明确规定线上的个人可识别数据是个人数据，因为这些数据可以把独特的个人从人群中识别出来。第二是因为GDPR明确了用户画像的概念为“任何形式的个人数据自动化处理，包括使用个人数据评估与自然人有关的某些方面，特别是分析或预测与自然人在工作中的表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、地点或活动有关的方面。”根据GDPR Recital 72，在未来欧盟数据保护机构（EDPB）会发布一些针对用户画像的具体指导。

由于用户线上行为数据被认为是GDPR定义下的个人数据，那么当网站使用第三方广告推荐系统时，就需要明确究竟是网站本身还是该第三方亦或是广告主作为GDPR定义下的数据控制人。针对这一问题，WP29给出了如下指导意见：

1、一般而言广告推荐系统的控制人将被视为数据控制人。

2、网站的运营坊有可能与广告推荐系统控制人构成共同数据控制人，具体是否构成需要考虑网站与广告推荐系统的合作模式、合作关系。并且网站和广告系统双方之间应当就各自承担的数据责任作出明确的约定。

3、广告主在如下情况下有可能构成独立的数据控制人：个人通过广告主的网站点击目标广告，然后，广告主监测用户的浏览活动和在线行为，并将其与与该用户相关的目标广告结合起来。

因此，关于网站、广告系统和广告主三者之间的数据处理责任需要根据个案的情况予以确定。三者都应注意确保在其签订的服务供应合同中考虑数据合规角色和相应的责任。

（2）线上行为广告在隐私指导下的监管

与GDPR不同，隐私指导根本就不考虑用户线上行为相关的数据是否是个人数据，而是采取只要发生用户行为监测就必须强力监管的态度。在此背景下，隐私指导的关键条款是第5(3)条，该条款涉及使用cookie和其他设备来存储或访问个人电脑上的信息的情况。指导第5(3)条规定，使用 cookie来存储或访问个人计算机中的信息，必须是在向相关个人提供了明确和全面的信息的前提下，相关个人已给予他们的明确同意，并且这些同意是自由作出且可以撤销的。然而，公民权利指导(Citizens’ Rights Directive) Recital 66中却认为，只要这在技术上是可能的和可行的，个人的同意可以通过使用浏览器或其他应用程序的使用来达到默示表达的效果。这就与GDPR中对于同意的表达出现了冲突。

由于存在上述立法不明确的问题，隐私指导第5(3)条在各成员国融入国内法的情况也不尽相同，有些国家要求运用最严苛的明示同意以作为cookie使用的条件，比如在波兰，cookie的使用必须经过用户在网站上打勾的行为才能实施。而相反有些国家则采用了默示同意的解释，比如德国和法国，持续浏览网站就被视为提供了对cookie使用的默示同意。

另外，大多数线上行为广告解决方案都会使用第三方cookie。提供第三方cookie的网站应提供关于哪些cookie属于哪些第三方的信息，以及在哪里可以找到此类第三方处理的信息。