文/王捷 常孝雯 梁曦尹
本文收录于 W&W 国际法律团队《数据合规风向:2025年度报告暨2026趋势展望》。完整报告免费获取方式可在下方推文获取,还能通过推文参与抽奖获得精美礼品及实用清单。
一、2025全球有关直接营销的执法动态
(一)欧洲地区
2025年9月3日,法国数据保护机构(CNIL)对 Google 未经同意投放广告作出高额处罚,原因是Google LLC 与 Google Ireland Limited 在 Gmail 服务中存在两项重大违规行为:一是未经用户事先同意,在 Gmail 收件箱的“促销”“社交”等标签页中插入与电子邮件形式高度相似的广告,构成通过电子邮件实施的直接营销;二是在 Google 账户创建过程中,以界面设计诱导用户接受广告 cookies,未取得有效、知情同意,分别违反了《邮政和电子通信法规》(CPCE)及《法国数据保护法》,相关行为影响法国超过 7400 万用户。[1]
图1 来源于https://tech.ifeng.com/c/8mMqCzUeARZ
2025年9月,法国数据保护机构(CNIL)以违反了与Cookie使用相关的规定为由同时对谷歌和 SHEIN 作出高额处罚,核心并非单一技术违规,而是围绕“未经有效同意进行追踪与定向营销”的系统性问题。CNIL 明确指出,无论是通过 Cookie 进行用户行为追踪,还是在邮箱界面中以近似通信形式投放广告,只要未取得用户事先、自由且知情的同意,即可能同时触及数据保护规则与电子通信监管要求。
2025年11月13日,欧盟法院(CJEU)就 C-654/23 号案件作出判决,明确免费订阅新闻通讯亦可能构成直接营销,该案起因是Inteligo Media 公司在未取得有效同意的情况下,利用用户免费注册的邮箱发送推广付费内容的新闻通讯,罗马尼亚数据保护机构认为构成未经请求的直接营销。[2] 2025年12月2日,欧盟法院(CJEU)就 C-492/23 号案件作出裁决,明确在线分类广告平台对用户广告中的个人数据承担控制者责任,平台在GDPR 下的数据保护义务不受《电子商务指令》相关条款豁免;这一项裁决显著提高了平台对用户广告及营销内容的合规审查责任。[3]
除此之外,欧洲值得关注的执法动态还有在2025年12月5日,欧盟委员会因违反《数字服务法》(DSA)对 X(前 Twitter)处以 1.2 亿欧元罚款。
(二)亚太地区
2025年3月6日,澳大利亚通信和媒体管理局(ACMA)因违反《反垃圾邮件法》对 Telstra 处以 62.6 万澳元罚款。 ACMA 认定,Telstra 在2022年至2024年期间向客户发送大量营销短信时,未提供有效退订机制,并向未同意或已撤回同意的用户继续发送营销信息,构成对消费者选择权的系统性侵害。除罚款外,ACMA 还要求 Telstra 签署具有法律约束力的执行承诺,接受独立合规审查并持续整改。[4]
新加坡与欧盟于2025年5月6日签署了《数字贸易协定》,该协定内容包含要求采取措施应对未经请求的直接营销,确保收件人能够阻止此类信息,并强制要求商业电子信息必须获得收件人的同意;直接营销必须可识别,并披露发送者的身份以及停止接收信息的请求方式。[5]这一举措显示了新加坡对直接营销的执法态度。
2025年6月11日,中国香港地区个人资料私隐专员公署(PCPD)支持法院对 Credit Base 未经同意使用个人资料进行直销作出刑事定罪,[6]该案源于2023年11月的一起投诉,法院裁定Credit Base的行为违反《个人资料(私隐)条例》第35C(1)条及第35F(1)条,并判处罚款港币5,000元。
2025年6月17日,ACMA 因直接营销违规对 TAB 处以400万澳元高额罚款。 调查显示,TAB 在向 VIP 客户发送短信和 WhatsApp 营销信息过程中,未提供取消订阅选项、未充分披露发送者身份,并在用户撤回同意后仍继续发送信息,触及《反垃圾邮件法》多项核心义务。该案成为澳大利亚近年来针对直接营销行为处罚金额较高的代表性案例。[7]
2025年7月30日,ACMA 对 Betfair 直接营销违规行为作出处罚。 ACMA 发现,Betfair 在向 VIP 客户发送营销短信和电子邮件时,既未设置有效退订机制,也未确保营销行为基于有效同意,违反《反垃圾邮件法》关于同意与退订的基本要求。最终,ACMA 对其处以 871,660 澳元罚款,并要求其通过执行承诺机制全面整改营销合规流程。[8]
(三)美国
2025年6月23日,联邦贸易委员会(FTC)公布其就电话营销违规与 Paddle 达成 500 万美元和解。此前,FTC 指控 Paddle 为涉嫌欺诈的技术支持电话营销项目处理付款,协助外国运营商向美国消费者(包括老年人)实施欺骗性营销,并在自动续费、订阅披露等方面存在严重违规。根据和解协议,Paddle 支付 500 万美元,并被永久禁止为技术支持电话营销人员处理付款;同时需建立客户筛选和监控机制,强化订阅条款披露并提供便捷的取消方式。[9]
图2 截自 ftc.gov
2025年8月12日,FTC 因非法自动拨号营销对 MediaAlpha 罚款 4500 万美元。FTC 调查发现,MediaAlpha 通过其营销网络,导致大量自动语音电话和电话营销拨打至已登记在“请勿来电”名单的消费者号码,用于推广医疗保险产品,违反《电话销售规则》。FTC 要求 MediaAlpha 在收集、出售或披露个人信息前取得明确知情同意,并处以 4500 万美元罚款,显示美国监管机构对非法电话营销持续保持高压态势。[10]
在其他国家和地区,2025年也有许多针对直接营销执法案例,如在拉美地区,阿根廷数据保护局(AAIP)针对 AMX Argentina 、Telefónica Móviles Argentina、FCA Automobiles Argentina等几个公司系统性联系“请勿来电”名单内个人的行为处以罚款;秘鲁国家个人数据保护局(ANPD)对 Alfin Banco 处以 669,000 秘鲁索尔的罚款,原因是其非法进行市场营销和未经同意的数据获取;同时,ANPD对两所大学多次未经同意使用收件人个人信息向发送有关其教育服务的推广信息(短信和电子邮件)的行为也进行了处罚。总体来看,2025年各地区对直接营销的监管呈现出明显的趋严态势,且监管重点均指向同意取得的真实性、反营销机制的有效性以及企业对第三方营销行为的责任承担。直接营销已不再被视为单纯的市场行为,而是个人信息合规体系中的高风险领域,企业需要从制度、系统和流程层面进行系统性调整。
二、执法案例中的共性问题与合规要点
从2025年全球各法域多起有关直接营销处罚案件可以看出,各国监管机构对于企业直接营销活动的执法力度正在加强,且越来越关注合规措施的实际执行效果,而非仅仅审查形式上的合规文件或流程。
图3 图片由AI生成,仅供参考
1. 数据合规层面,“取得有效同意”仍是监管关注的核心。
监管重点不只是停留于是否取得同意,而是审查同意是否真实、知情且可自由撤回。多起案件表明,默认勾选、界面诱导或将营销同意与服务使用捆绑的做法,已难以被认定为合法同意。即便个人信息来源合法或属于公开信息,在用于直接营销前,企业仍需履行独立告知义务,并为数据主体提供清晰、可操作的反对或退订机制。
2. 营销目的与数据最初收集目的不一致,成为各法域执法中的高频违规点。
实践中,企业常见的违规情形包括:以账户注册、合同履行或信息查询为由收集个人信息,却在后续将其用于促销推送、个性化推荐或用户画像分析,这一做法的核心问题在于违反了“目的限制原则”,也即个人信息的后续使用超出了收集时向个人信息主体告知的目的范围。当企业将服务性数据挪作营销用途时,原有的合法性基础(如合同履行必要性)可能失效,需以“重新取得用户对营销目的的同意”为合法性基础。尤其需要注意的是,监管机构对“营销”的认定可能采取宽泛标准:一旦相关内容具有商业推广属性,即可能被认定为直接营销,即便以服务通知、产品更新等名义发送,仍可能被认定为直接营销行为。
3. 实现消费者权利保护是直接营销监管的重要目标。
亚太地区、美国及拉美地区的案件显示,监管机构不仅关注个人信息处理是否具备合法性基础,而是进一步审视企业是否在营销全流程中充分尊重消费者的选择权和安宁权。根据W&W国际法律团队的观察,监管机构着重关注包括是否在营销前核查遵守“请勿来电”(Do Not Call)等退出名单、是否用户撤回同意后及时停止营销触达、是否提供真实有效且便捷的取消订阅机制以及取消订阅机制是否在合理期限内得到有效执行。
我们特别观察到,目前监管机构针对相关违规行为的认定,往往不会将其视为单纯的技术或流程瑕疵,而会将其视为对消费者权益的系统性侵害。这意味着,即便企业能够证明已建立退订机制,若该机制在实际运行中存在响应迟缓、入口隐蔽或执行不到位等问题,仍可能面临严厉处罚。
4. 企业对第三方和平台行为的责任持续被强化。
我们也观察到,企业对第三方和平台行为的责任持续被强化。从近年来的执法趋势来看,无论是委托营销服务商、使用自动化营销工具,还是运营广告或信息发布平台,只要企业对营销活动的目的、内容或受众具有决策权或实际控制力,企业即存在被认定为数据控制者或共同责任主体的可能性,我们理解目前监管机构对于营销活动中的责任认定采取穿透式审查原则,企业难以再使用“第三方实施”或“仅提供技术平台”为由规避合规责任。
综合来看,直接营销是个人信息保护与消费者权益执法的高频切入点。企业应当将其纳入整体合规治理框架,从数据分类、同意管理、供应商管理、系统配置、业务流程以及个人信息主体权利响应等多个层面建立系统化的管理机制,唯有如此,才能在保障营销业务效率的同时,降低数据合规与消费者保护层面的综合执法风险。
三、后续有关直接营销的监管趋势及企业应对建议
2025年,全球多个法域的监管机构在直接营销领域持续加强立法和执法力度,以更好地保护消费者、治理欺骗性广告并保护个人数据。对于计划开展跨境营销或拓展海外市场的企业而言,建议在进入具体市场前,系统梳理目标法域的直接营销监管框架,包括适用的法律法规、监管机构发布的指引文件及行业准则,以便在业务设计阶段即将合规要求纳入考量。以下为W&W国际法律团队整理的2025年有关直接营销的立法动态,可供各企业参考:
图4 图片由AI生成,仅供参考
2025年初,英国信息专员办公室 (ICO)在其“在线追踪战略”中指出要重点关注在线广告,包括重点监管同意机制等内容,并推出直接营销建议生成器,帮助企业在直接营销中遵守英国隐私法;意大利数据保护机构(Garante)已批准电话营销和电话销售活动的行为准则,要求企业采取具体措施确保电话营销和电话销售活动中数据处理的正确性和合法性;法国监管机构也就广告营销内容展开官方调查,并发布相关报告。在澳大利亚,“拒绝直接营销的权利”是个人信息主体的一项核心权利,也是个人数据保护制度的重要组成部分,澳洲有多部法律直接规范直接营销行为,包括1988年《隐私法》(Privacy Act 1988)、2010年《竞争和消费者法》(Competition and Consumer Act 2010)、2006年《禁止致电登记法》(Do Not Call Register Act 2006)和2003年《反垃圾邮件法》(Spam Act 2003),并且在近年也持续高度重视并对直接营销行为实施监管。[11]消费者保护方面,由欧盟委员会协调的消费者保护合作网络(CPCN)已在调查多起泛欧投诉,并主动开展“合规性检查”;2025年欧盟委员会还举办了研讨会,探讨自愿性在线广告行为准则的潜在益处和影响,旨在提高在线广告价值链的透明度,并在此基础上完善《欧盟数字服务法》中现有的具有约束力的广告条款。[12]
在直接营销监管持续趋严、监管预期日益明确的背景下,企业有必要对现有数字营销合规体系进行系统性审视和调整。缺乏前置性合规准备的企业,不仅可能面临执法处罚风险,也可能在新的监管环境下错失合规运营与商业创新的空间。
以下是W&W国际法律团队结合实务经验提供的常规应对措施:
图5 图片由AI生成,仅供参考
1. 优化同意获取机制,确保用户对营销活动的数据使用具有明确、自由和知情的选择权。同意机制是直接营销合规的核心环节,也是各法域监管机构的重点审查维度。我们建议企业应复核现有同意获取方式及用户界面设计,避免采用预勾选、捆绑授权或诱导性界面设计;同时,应确保同意记录完整可追溯,以便在监管问询或争议发生时提供合规证明。
2. 强化数据使用与追踪技术合规,明确数据使用边界与内部责任。Cookie、追踪像素、移动应用及其他营销技术在提升用户触达精准度的同时,也构成个人信息处理行为。企业应进行系统合规评估,识别各技术环节涉及的数据类型与数据流向,评估是否具备合法性基础;同时,需在内部和外部明确数据使用边界和责任,防止未经授权的用户数据处理。
3. 优化营销数据治理与流程,建立系统化流程。营销合规并非一次性工作,需要贯穿个人信息的全生命周期,企业应建立常态化的数据治理流程,确保数据收集目的与营销活动一致,并及时更新用户偏好和同意状态,确保营销系统能够实时反映用户的最新选择形成完整的操作日志以及可审计的合规链条。
4. 进行全渠道合规审查,确保用户在不同触点享有一致的控制权。特别是服务规模、产品众多以及形态各异的企业,不仅覆盖网站端,还需关注移动端、App、智能设备及跨平台营销活动,确保用户在不同渠道、不同形态的产品或服务上均享有统一的控制权。
参考资料:
[1]https://www.cnil.fr/en/cookies-and-advertisements-inserted-between-emails-google-fined-325-million-euros-cnil
[2]https://infocuria.curia.europa.eu/
[3]https://curia.europa.eu/juris/document/document.jsf?text=&docid=306136&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4667790
[4]https://www.acma.gov.au/articles/2025-03/telstra-penalised-spam-breaches
[5]https://www.consilium.europa.eu/en/press/press-releases/2025/04/14/council-moves-one-step-closer-to-concluding-the-digital-trade-agreement-with-singapore/
[6]https://www.pcpd.org.hk/english/news_events/media_statements/press_20250611.html
[7]https://www.dataguidance.com/news/australia-acma-fines-tab-aud-4m-direct-marketing
[8]https://www.dataguidance.com/news/australia-acma-fines-betfair-aud-871660-direct
[9]https://www.dataguidance.com/news/usa-paddle-pays-5m-settle-ftc-allegations-violations
[10]https://www.dataguidance.com/news/usa-ftc-fines-mediaalpha-45m-unlawful-telemarketing
[11]在https://www.legislation.gov.au/中检索得来
[12]https://digital-strategy.ec.europa.eu/en/news/european-commission-launches-workshops-explore-voluntary-codes-conduct-online-advertising
主理人信息
@王捷律师
垦丁(广州)律所创始合伙人
jie.wang@kindinglaw.com
+86 13650790754
律师介绍
●曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了15年+科技型公司实务经验,具备中外律所从业背景。同时也是广东数据资产登记合规委员会评审专家、持有CIPP/E、CIPM、区块链应用操作员资格证书、数据安全师、数据合规官等证书。
●专业领域:企业出海合规、个人信息保护与全球数据合规、互联网企业、联网产品综合合规、包括资质认证辅导、广告合规、知识产权攻防布局等。
●业务领域:移动互联网、智能软硬件与物联网、智能网联汽车与车机系统、跨境电商、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等。
识别二维码,添加律师微信
END
出海互联网法律交流群正式开放!
在这里,我们为社群成员精选每日全球互联网法律动态,涵盖数据合规、隐私保护、广告合规法规、知识产权等热点话题,帮助大家掌握最新政策趋势。我们还会定期组织线上线下交流活动,链接出海法务生态圈,助力企业合规落地,寻找潜在合作伙伴。欢迎扫描下方二维码申请入群,一同探索全球市场法律规则!
团队业绩
团队精选报告
智能软硬件出海
AIGC出海
数据合规出海
