根據 Google 的新版《歐盟地區使用者同意授權政策》規定,您必須向歐洲經濟區和英國境內的使用者揭露特定資訊;且依據法規要求,您在使用 Cookie 或其他本機儲存空間,並收集、分享及使用廣告個人化需要的個人資料時,都須徵得使用者同意。本政策是配合《歐盟地區電子通訊隱私指令》和《一般資料保護規則》(GDPR) 而制定。
本文將說明與《歐盟地區使用者同意授權政策》稽核相關的幾個常見問題。如要進一步瞭解該政策,請造訪《歐盟地區使用者同意授權政策》說明中心。
常見問題
我收到要求遵守《歐盟地區使用者同意授權政策》的電子郵件,這是什麼意思?
您必須取得使用者對以下項目的合法有效同意聲明:
- 依據法律要求使用 Cookie 或其他本機儲存空間;
- 收集、分享及使用個人資料,以便提供個人化廣告。
徵求同意時,您必須:
- 保留使用者提供的同意聲明記錄;
- 為使用者提供撤銷同意的明確操作說明。
根據 Google 的政策,您必須逐一指明有哪些第三方因您使用 Google 產品而接收到使用者的個人資料。此外,使用者個人資料的相關使用資訊必須一目了然,且方便使用者存取。我們已在這個網頁中發布有關 Google 如何運用此類資料的資訊。建議您提供該網頁的連結,並指出 Google 如何運用相關資料,以盡告知義務。
根據《歐盟地區使用者同意授權政策》的規定,您必須指明每一個資料分享對象。因此無論您使用的是自訂廣告技術供應商組合,還是常用組合,都需要列出這些供應商,以利使用者查看。您可以在 Ad Manager、AdSense 或 AdMob 帳戶中,查看這些控制項以及廣告技術供應商清單。進一步瞭解廣告技術供應商
如要進一步瞭解導入同意聲明機制時常見的錯誤,請參閱這份清單。
要求遵守《Google 歐盟地區使用者同意授權政策》的電子郵件是否合法?
是的。如果您收到「publisher-policy-no-reply@google.com」寄來的電子郵件,就表示文字檔附件中所列的網站或應用程式不符合我們的政策。該政策是根據歐盟和/或英國資料保護主管機關的指引所制定,如實反映我們對於 GDPR 法規的瞭解。如有其他問題或疑慮,請傳送電子郵件至 ddp-gdpr-escalations@google.com 與我們聯絡。
我收到要求遵守《歐盟地區使用者同意授權政策》的電子郵件,接下來該怎麼做?
您必須確保電子郵件中列出的網站或應用程式符合我們的政策。以下檢查清單有助您在導入同意聲明機制時避免常見的錯誤:
- 您是否已告知使用者在授權您的網站/應用程式收集他們的個人資料之後,這些資料會用在哪些地方 (例如使用者是否知道他們的個人資料會用於提供個人化廣告,以及您可能會使用 Cookie 放送個人化和非個人化廣告)?
- 請檢查歐洲經濟區國家/地區的使用者存取您的網站或應用程式時,是否都能看到您的同意聲明通知?
- 同意聲明通知是否清晰易讀 (例如同意聲明通知是否一開始就提及「Cookie」、「資料」或「資訊」等詞)?
- 請檢查是否已提供確認動作選項,以便使用者表明自己的同意立場 (例如提供可點按的「確定」按鈕或「我同意」按鈕)?
- 您是否已揭露有哪些第三方 (包括 Google) 也可以存取您網站/應用程式上收集到的使用者資料?
- 您是否已告知使用者在授權您的網站/應用程式收集他們的個人資料之後,Google 會如何使用這些資料 (例如您是否提供 Google 隱私權與條款網站的連結)?此外,您是否已說明其他第三方會如何使用這些資料?
- 如果您只透過非個人化廣告營利,請檢查是否已依法向使用者取得 Cookie 或其他本機儲存空間 (例如行動裝置 ID) 的使用同意聲明?請注意,我們在網站上放送的非個人化廣告仍需使用 Cookie 才能正常運作。
- 如果您僅使用受限制的廣告來透過 Ad Manager 和 AdMob 曝光營利,則 Google 除了無法收集、分享個人資料並用於個人化廣告,也無法存取使用者裝置上的 Cookie、使用者 ID 或用途類似的本機儲存空間。請注意,使用者的瀏覽器和行動作業系統在正常運作期間,仍會快取或安裝廣告放送技術 (我們的 JavaScript 代碼和/或 SDK 程式碼)。如 Google 的《歐盟地區使用者同意授權政策》所述,這項功能不會使用 Cookie 或其他本機儲存空間。這表示,即使尚未徵得同意或使用者拒絕授權,發布商仍可根據本政策使用這項功能。您應根據所在管轄區的當地法律,自行評估法規遵循義務,包括必要的通知和同意選項。如需詳細瞭解這項功能,請參閱 Ad Manager 說明中心和 AdMob 說明中心。
- 如果您採用 IAB 認證的 CMP,是否已將「Google 廣告產品」納入供應商清單?
Google 能不能幫我審閱同意聲明通知,看看是否符合規定?
由於我們不瞭解每間公司的情況,因此無法確認同意聲明通知是否符合 GDPR,相關規定有可能與我們政策中的核心規定相左 (Google 的政策規定旨在告知使用 Google 產品的相關義務)。建議您諮詢法務部門,以瞭解是否符合 GDPR 規定。
如果我沒有同意聲明管理平台,有哪些其他做法?
合作夥伴可考慮自行建立同意聲明解決方案、使用隱私權與訊息,或是使用第三方 CMP 解決方案。如果使用現有的 CMP,合作夥伴應諮詢法務部門,根據自身情況選擇適當的同意聲明解決方案,並確認解決方案所提供的自訂程度足以因應相關需求。
有些外部資源可協助您選擇適當的 CMP 供應商,包括已在 IAB 資訊公開和同意聲明架構註冊的 CMP 清單。請注意,這份清單並未詳列所有現有的 CMP,亦不保證採用其中任何一個 CMP 即可符合 Google 的《歐盟地區使用者同意授權政策》,畢竟最終結果取決於您向使用者提供的具體同意授權訊息 (如需更多相關說明,請參閱合作夥伴專用檢查清單,在導入同意聲明機制時避開常見錯誤)。
如何正確揭露有哪些第三方也可以存取我在網站/應用程式上收集到的使用者資料?
根據《歐盟地區使用者同意授權政策》的規定,您必須指明每一個資料分享對象 (包括 Google)。因此無論您使用的是自訂廣告技術供應商組合,還是常用組合,都需要列出這些供應商,以利使用者查看。您可以在 Ad Manager、AdSense 或 AdMob 帳戶中,查看這些控制項以及廣告技術供應商清單。
我已收到當地資料保護主管機關的書面指示,其中指出我目前的做法符合 GDPR 法規遵循相關規定。
如果您收到資料保護主管機關的書面指示,請傳送電子郵件至 ddp-gdpr-escalations@google.com 與我們聯絡,並檢附相關詳細資料。
我對《歐盟地區使用者同意授權政策》還有其他相關疑問。
如要進一步瞭解如何遵守 Google 的政策,請參閱政策說明頁面、聯絡您的 Google 代表,或是傳送電子郵件至 ddp-gdpr-escalations@google.com 與我們聯絡。此外,也建議您諮詢法務部門,以瞭解是否符合 GDPR 和 Google 政策規定。
如何避免在沒有使用者同意聲明的情況下擅自放置 Cookie?
為確保在收到使用者同意聲明後才放置 Google 廣告 Cookie,我們建議您與同意聲明管理平台 (簡稱「CMP」) 供應商合作。
此外,您也可以參閱 Google 開發人員指南,包括下列相關 Google 產品的開發人員說明文件:
Ad Manager
AdSense
AdSense 搜尋廣告
Google Analytics (分析) 廣告功能