歐盟地區使用者同意授權政策相關說明

為什麼要制定本政策?本政策的適用範圍為何?

本政策是配合《一般資料保護規則》(GDPR) 和《電子通訊隱私指令》這兩項歐洲隱私權法的特定規定,以及任何同等的英國法律所制定。請注意,《電子通訊隱私指令》與目前尚在研議中的《電子通訊隱私條例》(ePrivacy Regulation) 並不相同。上述法律適用於歐洲經濟區 (EEA) 和英國的使用者。歐洲經濟區包含歐盟會員國,以及冰島、列支敦斯登和挪威。

本政策的原始版本於 2015 年推出,更新版本則在 2018 年 5 月 25 日歐盟《一般資料保護規則》(GDPR) 生效當天推出。

對於位在歐洲經濟區或英國的發布商或廣告客戶而言,本政策適用於所有的使用者嗎?

Google 的《歐盟地區使用者同意授權政策》僅適用於歐洲經濟區或英國的使用者。

Google 會如何確保遵守本政策?

自 2015 年推出本政策以來,我們對採用 Google 廣告服務的網站和應用程式都會進行審查,以確保遵守政策內容。我們的審查人員會以消費者身分造訪網站或應用程式,並檢查該網站或應用程式提供的資訊及取得的同意聲明。

我們的首要任務向來都是與合作夥伴並肩合作,共同落實政策遵循。如果有合作夥伴違反了我們的政策,我們首先會向合作夥伴告知這個問題,然後再設法協助他們遵守相關政策規定。

我們會按照 2015 年以來的慣例,給予合作夥伴合理的時間,讓他們對網站或應用程式做出必要變更;假使合作夥伴沒有回應,或是沒有盡其所能在合理的時間內落實政策遵循,我們可能會對相關帳戶做出處置,包括將帳戶停權。

除了審核網站和應用程式以外,我們在 2023 年 5 月宣布,從 2024 年 1 月 16 日開始,發布商向歐洲經濟區和英國境內的使用者放送廣告時,一律須採用經認證的 CMP,以確保遵守這項政策。Google 會繼續對已採用經認證 CMP 的發布商合作夥伴網站和應用程式執行稽核。

我必須向使用者揭露哪些資訊?

根據 Google 的政策,您必須逐一指明有哪些第三方因您使用 Google 產品而接收到使用者的個人資料。此外,使用者個人資料的相關使用資訊必須出現在醒目的位置,並方便使用者查看。我們已在這個網頁中發布有關 Google 如何運用此類資料的資訊。為履行與 Google 資料使用行為相關的揭露義務,發布商和廣告主必須提供該網頁的連結。同時,我們也要求其他與 Google 產品整合的廣告技術供應商針對他們使用個人資料的方式提供相關資訊。

在實施同意聲明機制時,可參閱下方檢查清單,避免常見錯誤

清單中僅列舉部分檢查事項,僅供參考之用。如果發布商已採用經認證的 CMP 並加以妥善運用,應該都符合此檢查清單的要求。請務必確保您實施的機制符合 Google 政策的所有規定。

  • 您是否已向使用者說明,當使用者同意您的網站/應用程式收集他們的個人資料時,這些資料會用於哪些用途?舉例來說,使用者是否瞭解他們的個人資料會用於提供個人化廣告,以及您可能會使用 Cookie 放送個人化和非個人化廣告?
  • 請檢查當歐洲經濟區國家/地區的使用者存取您的網站/應用程式時,是否都會看到您的同意聲明通知?
  • 請檢查是否已為使用者提供確認動作選項,讓他們表明自己的同意立場,例如提供可點擊的 [確定] 按鈕或 [我同意] 按鈕?
  • 您是否已揭露哪些第三方 (包括 Google) 也能存取您的網站/應用程式收集到的使用者資料?
  • 您是否已向使用者說明,當使用者同意您的網站/應用程式收集他們的個人資料時,Google 會如何使用這些資料?舉例來說,您是否提供了 Google 業務資料責任網站的連結?此外,您是否已說明其他第三方會如何使用這些資料?
  • 如果您只透過非個人化廣告營利,請檢查是否已依法向使用者取得 Cookie 或其他本機儲存空間 (例如行動裝置 ID) 的使用同意聲明?請注意,我們在網站上放送的非個人化廣告仍需使用 Cookie 才能正常運作。
  • 如果您只透過受限制的廣告曝光來營利,則 Google 不僅會停止為廣告個人化而收集、分享或使用個人資料,也會停用需要使用本機 ID 的功能 (例如展示頻率上限)。只有在啟用程式輔助受限制廣告時,我們才會為了協助防範詐欺和濫用行為,使用無效流量偵測專用 Cookie 和本機儲存空間。請注意,使用者的瀏覽器和行動作業系統在正常運作期間,仍會快取或安裝廣告放送技術 (我們的 JavaScript 代碼和/或 SDK 程式碼)。您應根據所在管轄區的當地法律,自行評估法規遵循義務,包括必要的通知和同意選項。如要進一步瞭解這項功能,請參閱 Ad ManagerAdMob 說明中心AdSense
  • 如果您採用 IAB 認證的 CMP,您是否已將「Google 廣告產品」納入供應商清單?
  • 您是否已確定如果未取得使用者同意,不會設定任何 Google Ads Cookie,也不會變更非個人化廣告的預設狀態?

如果我不想將使用者的個人資料用於放送個人化廣告,該怎麼做?

您可以選擇是否要將使用者的個人資料用於放送個人化廣告。請注意,我們在網站或應用程式中放送的非個人化廣告仍須使用 Cookie 或行動 ID,才能正常運作。您必須依法取得 Cookie 或行動 ID 的使用同意聲明。

針對 Ad ManagerAdSenseAdMob 曝光,您也可選擇透過受限制的廣告營利。在放送受限制的廣告和非個人化廣告時,您應根據所在管轄區的當地法律,自行評估法規遵循義務,包括必要的通知和同意選項。

我需要針對撤銷同意聲明向使用者說明哪些事項?

根據本政策,您必須告知使用者如何撤銷對於廣告個人化的同意聲明。使用者撤銷同意聲明的方式,需與一開始提供同意聲明一樣簡單。請提供足夠的資訊,讓使用者至少能輕鬆存取您的網站或應用程式的廣告控制選項,以便修改同意聲明偏好設定。

還有哪些 Google 產品採用本政策?

除了廣告和評估產品外,《Google 地圖平台服務條款》、《YouTube API 服務條款》、《reCAPTCHA 服務條款》和 Blogger 等其他 Google 產品也都引述了本政策。

在本政策中,「個人化廣告」是指哪些類型的廣告?

個人化廣告 (舊稱「按照興趣顯示廣告」) 是一項強大的工具,不但可向使用者放送更貼近需求的廣告,還能提升廣告主的投資報酬率。Google 的發布商產品 (取決於產品的使用方式) 可根據使用者造訪的網站或使用的應用程式推測他們的興趣,讓廣告主能夠據此鎖定廣告活動目標,因此使用者和廣告主都能享有更完善的體驗。詳情請參閱廣告主專用個人化廣告政策

如果系統在決定所放送廣告時是根據先前收集的資料或歷來資料 (包括使用者先前的搜尋查詢、活動、網站或應用程式造訪情形、客層資訊或位置),或受到這類資料影響,Google 就會將這類廣告視為個人化廣告。具體來說,這種廣告可能使用了指定客層、指定興趣類別、再行銷、指定目標客戶比對名單,以及在 Google Marketing Platform 上傳的指定目標對象名單。

在稽核程序中,稽核人員將我的同意橫幅標記為不符規定。有什麼最適合的解決方法嗎?

如果我們發現合作夥伴未遵守本政策,我們的首要之務就是協助合作夥伴遵守政策規定。我們的稽核團隊會提供詳細資訊,說明違規情形以及需要採取的措施,幫助您確保網站/應用程式符合政策規範。

為了確保橫幅經過妥善設定,讓使用者可以選擇是否同意,我們建議廣告主與第三方 CMP 供應商合作,或參閱相關的管理同意聲明設定文件,確保 CMP 已與同意聲明模式妥善整合。

為什麼政策規定必須取得 Cookie 使用同意聲明,即使 Cookie 是用於廣告個人化以外的用途 (例如評估廣告成效) 也一樣?

Cookie 或行動 ID 可用於 Google 放送的個人化和非個人化廣告,協助防範詐欺和濫用行為、設定展示頻率上限及匯總廣告報表。根據我們的政策,如果使用者所在國家/地區的法律要求必須取得當事人同意才能使用 Cookie 或行動 ID,您就必須依法取得使用同意聲明。

我是廣告客戶,只在自家網站上使用 Google 產品,也必須遵守本政策嗎?

如果您在自家網頁上使用 Google Ads 或 Google Marketing Platform 等廣告產品的代碼,就必須遵守 Google 的《歐盟地區使用者同意授權政策》,取得歐洲經濟區和英國使用者的同意聲明。根據我們的政策規定,無論是要使用 Cookie 來評估廣告成效,還是要將使用者個人資料用於個人化廣告 (例如網頁中設有再行銷代碼),您都必須取得使用者的同意聲明。

同意聲明通知應包含哪些內容?

同意聲明通知的內容取決於您將資料用於哪些用途 (例如用於個人用途,或是用於您採用的其他服務),因此 Google 政策並未規定您必須向使用者提供哪些選項。

Google 是否要求應用程式使用特定形式的同意授權訊息?

是,我們已在 2023 年 5 月宣布,從 2024 年 1 月 16 日開始,發布商向歐洲經濟區和英國境內的使用者放送廣告時,一律須採用經認證的 CMP。如果您的 CMP 不在此清單中,我們建議您與 CMP 供應商合作取得認證。

我們已為廣告合作夥伴建立 CMP Partner Program,協助廣告主建立和設定同意橫幅。請注意,這份清單並未詳列所有現有的 CMP。

合作夥伴應如何選擇要採用哪一家同意聲明管理平台 (CMP) 供應商?

我們已為廣告合作夥伴建立 CMP Partner Program,協助廣告主建立和設定同意橫幅。請注意,這份清單並未詳列所有現有的 CMP。 我們不保證採用其中任一個 CMP 即可符合 Google 的《歐盟地區使用者同意授權政策》規定,因為最終結果取決於 CMP 採用情況,以及您向使用者提供的具體同意授權訊息 (如需詳細指引,請參考前述「在實施同意聲明機制時,可參閱下方檢查清單,避免常見錯誤」)。

有哪些第三方會收集使用者的個人資料?該如何確認及揭露這項資訊?

許多採用 Google 廣告系統的廣告客戶和發布商會使用第三方放送廣告,以及評估廣告活動在網站和應用程式中的成效。根據我們的政策,如果有 Google 以外的任何一方因您使用 Google 產品而可能收集、接收及/或運用使用者的個人資料,您必須明確指出這些第三方的身分。您可以利用 AdSense、Google Ad Manager 和 AdMob 中的控制項,指定哪些供應商可在您的網站或應用程式中收集資料。

我的網站不是設在歐洲,是否也必須遵守本政策?

只要您使用的 Google 產品採用本政策,且您的服務對象涵蓋歐洲經濟區或英國境內的使用者,您就必須遵守本政策。

我是發布商,而且並未將任何廣告活動的指定地區設為歐洲經濟區或英國,是否也必須遵守這項同意聲明規定?

如果您針對這些國家/地區的使用者撤除網站上的 Google 服務,就不必取得他們的同意聲明。不過,如果網站仍然採用 Google 服務,只是沒有放送任何廣告,您還是需要取得同意聲明,因為 Google AdMob、AdSense 和 Google Ad Manager 會使用 Cookie,而根據 Google 政策,如果為了評估廣告成效而使用 Cookie,仍需要取得使用同意聲明。Google Ad Manager 也會收集個人資料,但如果廣告請求或歐盟地區使用者同意授權設定中載明請求的為非個人化廣告,則為例外。

本機構對於相關法律有不同見解,並有意採行其他方法揭露資訊及取得使用者同意。我們可以這麼做嗎?

Google 致力確保在歐洲地區提供的所有服務,都遵循 GDPR (包括納入英國法律的規範)。我們的《歐盟地區使用者同意授權政策》反映了這項承諾,也遵守歐洲資料保護主管機關的指示。我們也持續評估法律和業界做法,據此更新提供的建議和規定。

為什麼必須取得使用者同意聲明才能評估廣告成效?難道這不算是我們的正當利益嗎?

Google 會使用 Cookie 和各項廣告 ID 來評估廣告。根據現有的線上隱私權法律,如果使用者所在國家/地區的法律有此規定,就必須依法取得使用者同意聲明,才能做這類使用。因此,我們的政策規定,您須取得使用者同意聲明,才能提供廣告個人化及評估廣告成效,這也包括在線下評估成效的情況 (例如商店銷售)。

我是否要先取得使用者同意,才能啟用代碼?還是可以之後再取得對方同意?

您必須先取得使用者對於放送個人化廣告的同意聲明,才能啟用網頁上的 Google 代碼。

如要使用點擊追蹤程式,也要先取得使用者同意聲明嗎?

如果廣告客戶選用第三方點擊追蹤技術 (也就是在使用者點擊廣告後,將使用者的瀏覽器先導向第三方評估供應商,再導向廣告客戶的到達網頁),則他們必須遵循適用法律使用點擊追蹤程式。Google 為發布商提供的供應商控制項不支援點擊追蹤技術。

我需要保留哪些記錄?

根據 Google 的政策,客戶必須保留同意聲明記錄。該記錄須至少包含以下內容:同意聲明機制中提供給使用者的文字內容和選項,以及使用者確認同意的日期和時間記錄。

我採用的 CMP 也通過 IAB 認證,為何 Google 判定我的發布商 CMP 不符合相關規定?

我們不保證採用經認證的 CMP 便符合 Google 的《歐盟地區使用者同意授權政策》規定,因為最終結果將取決於 CMP 採用情況,以及您向使用者提供的具體同意授權訊息 (如需詳細指引,請參考前述「在實施同意聲明機制時,可參閱下方檢查清單,避免常見錯誤」)。

如果我使用的產品採用 Privacy Sandbox API,是否須遵守本政策?

是。使用 Privacy Sandbox API (TopicsProtected AudienceAttribution Reporting) 時,您可能會將個人資料用於個人化廣告和/或存取本機儲存空間。根據《歐盟地區使用者同意授權政策》的規定,您必須取得有效的使用者同意聲明,才能採取這些行動。正如在歐洲經濟區和英國,您現在必須徵得使用者同意,才能提供個人化廣告和使用非必要的本機儲存空間。進一步瞭解 Privacy Sandbox

本政策的更新內容

Google 原始版《歐盟地區使用者同意授權政策》已於 2018 年 5 月 25 日更新。為了反映英國與歐盟之間不斷演變的關係,我們在 2019 年 10 月 31 日做了些微修改。本政策目前沒有其他預定變更,但如上所述,我們會持續評估相關法律和業界做法,據此更新我們提供的建議和規定。