open pdf file in asp net c# : Adding text pdf control software system web page windows asp.net console 120326privacyreport5-part392

35
C. SIMPLIFIED CONSUMER CHOICE
Baseline Principle:  Companies should simplify consumer choice.
As detailed in the preliminary staff report and in submitted comments, many consumers face challenges 
in understanding the nature and extent of current commercial data practices and how to exercise available 
choices regarding those practices.  周is challenge results from a number of factors including:  (1) the 
dramatic increase in the breadth of consumer data collection and use, made possible by an ever-increasing 
range of technologies and business models; (2) the ability of companies, outside of certain sector-specific 
laws, to collect and use data without first providing consumer choice; and (3) the inadequacy of typical 
privacy policies as a means to effectively communicate information about the privacy choices that are offered 
to consumers. 
To reduce the burden on those consumers who seek greater control over their data, the proposed 
framework called on companies that collect and use consumer data to provide easy-to-use choice 
mechanisms that allow consumers to control whether their data is collected and how it is used.  To ensure 
that choice is most effective, the report stated that a company should provide the choice mechanism at 
a time and in a context that is relevant to consumers – generally at the point the company collects the 
consumer’s information.  At the same time, however, in recognition of the benefits of various types of 
data collection and use, the proposed framework identified certain “commonly accepted” categories of 
commercial data practices that companies can engage in without offering consumer choice. 
Staff posed a variety of questions and received numerous comments regarding the proposed framework’s 
simplified consumer choice approach.  Two trade organizations argued that the framework should identify 
those practices for which choice is appropriate rather than making choice the general rule, subject to 
exceptions for certain practices.
165
周e majority of commenters, however, did not challenge the proposed 
framework’s approach of setting consumer choice as the default.
166
Instead, these commenters focused on 
the practicality of staff’s “commonly accepted” formulation.
167
For example, several commenters questioned 
whether the approach was sufficiently flexible to allow for innovation.
168
Others discussed whether specific 
practices should fall within the categories enumerated in the preliminary staff report.
169
In addition, 
numerous commenters addressed the appropriate scope of the first-party marketing category and how to 
165 Comment of Direct Marketing Ass’n, Inc., cmt. #00449, at 16; Comment of Interactive Advertising Bureau, cmt. #00388, at 8-9.
166 Several commenters expressed support for consumer choice generally.  See, e.g., Comment of Center for Democracy & 
Technology, cmt. #00469, at 11-12; Comment of Consumer Federation of America, cmt. #00358, at 6-12.  One governmental 
agency, for instance, expressly supported a general rule requiring consumer consent for the collection and any use of 
their information with only limited exceptions.  Comment of Department of Veteran Affairs, cmt. #00479, at 5.  Another 
commenter, supporting consumer choice, emphasized the importance of offering opportunities for choice beyond a 
consumer’s initial transaction.  Comment of Catalog Choice, cmt. #00473, at 10-18.
167 Comment of Center for Democracy & Technology, cmt. #00469, at 8-11; Comment of Consumer Federation of America, cmt. 
#00358, at 6-10.
168 Comment of Computer and Communications Industry Ass’n, cmt. #00434, at 16; Comment of BlueKai, cmt. #00397, at 3-4; 
Comment of Retail Industry Leaders Ass’n, cmt. #00352, at 5-7; U.S. Chamber of Commerce, cmt. #00452, at 5; Comment of 
National Cable & Telecommunications Ass’n, cmt. #00432, at 23-24; Comment of Yahoo! Inc., cmt. #00444, at 9-10.
169 Comment of Phorm Inc., cmt. #00353, at 5; Comment of Verizon, cmt. #00428, at 11-13.
Adding text pdf - insert text into PDF content in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
XDoc.PDF for .NET, providing C# demo code for inserting text to PDF file
add text boxes to pdf document; add text to a pdf document
Adding text pdf - VB.NET PDF insert text library: insert text into PDF content in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Providing Demo Code for Adding and Inserting Text to PDF File Page in VB.NET Program
how to add a text box to a pdf; add text pdf reader
36
define specific business models.  With respect to those practices that fall outside the “commonly accepted” 
categories, commenters also addressed the mechanics of providing choice at the relevant time and what types 
of practices require enhanced choice. 
Consistent with the discussion and analysis set forth below, the Commission retains the proposed 
framework’s simplified choice model.  Establishing consumer choice as a baseline requirement for companies 
that collect and use consumer data, while also identifying certain practices where choice is unnecessary, is 
an appropriately balanced model.  It increases consumers’ control over the collection and use of their data, 
preserves the ability of companies to innovate new products and services, and sets clear expectations for 
consumers and industry alike.  In order to better foster innovation and take into account new technologies 
and business models, however, the Commission is providing further clarification of the framework’s 
simplified choice concept.
1.  PRACTICES THAT DO NOT REQUIRE CHOICE.
Proposed Principle:  Companies do not need to provide choice before collecting and using 
consumers’ data for commonly accepted practices, such as product fulfillment.  
周e preliminary staff report identified five categories of data practices that companies can engage in 
without offering consumer choice, because they involve data collection and use that is either obvious from 
the context of the transaction or sufficiently accepted or necessary for public policy reasons.  周e categories 
included:  (1) product and service fulfillment; (2) internal operations; (3) fraud prevention; (4) legal 
compliance and public purpose; and (5) first-party marketing.  In response to the comments received, the 
Commission revises its approach to focus on the context of the consumer’s interaction with a company, as 
discussed below.
a‮  General Approach to “Commonly Accepted” Practices‮
While generally supporting the concept that choice is unnecessary for certain practices, a variety of 
commenters addressed the issue of whether the list of “commonly accepted” practices was too broad or too 
narrow.
170
A number of industry commenters expressed concern that the list of practice categories was too 
narrow and rigid.  周ese commenters stated that, by enumerating a list of specific practices, the proposed 
framework created a bright-line standard that freezes in place current practices and potentially could harm 
innovation and restrict the development of new business models.
171
In addition, the commenters asserted 
that notions of what is “commonly accepted” can change over time with the development of new ways to 
collect or use data.  周ey also stated that line-drawing in this context could stigmatize business practices that 
fall outside of the “commonly accepted” category and place companies that engage in them at a competitive 
170 Comment of AT&T Inc., cmt. #00420, at 18-22; Comment of Center for Democracy & Technology, cmt. #00469, at 8-11; 
Comment of Consumers Union, cmt. #00362, at 9-12; Comment of Consumer Federation of America, cmt. #00358, at 6-10; 
Comment of National Cable & Telecommunications Ass’n, cmt. #00432, at 23-25. 
171 Comment of Computer and Communications Industry Ass’n, cmt. #00434, at 16; Comment of BlueKai, cmt. #00397, at 4; 
Comment of Retail Industry Leaders Ass’n, cmt. #00352, at 6-7; Comment of Yahoo! Inc., cmt. #00444, at 9-12; Comment of 
National Cable & Telecommunications Ass’n, cmt. #00432, at 23-24.
VB.NET PDF Text Box Edit Library: add, delete, update PDF text box
Provide VB.NET Users with Solution of Adding Text Box to PDF Page in VB.NET Project. Adding text box is another way to add text to PDF page.
add text block to pdf; add text to pdf using preview
C# PDF Text Box Edit Library: add, delete, update PDF text box in
Provide .NET SDK library for adding text box to PDF document in .NET WinForms application. Adding text box is another way to add text to PDF page.
how to insert text box on pdf; add text box in pdf
37
disadvantage.  To resolve these concerns, commenters called on the Commission to provide guidance on how 
future practices relate to the “commonly accepted” category.
172
Similarly, one commenter suggested that 
the practices identified in the preliminary staff report should serve as illustrative guidelines rather than an 
exhaustive and final list.
173
Commenters also supported adding additional practices or clarifying that the “commonly accepted” 
category includes certain practices.  Some industry commenters suggested, for example, expanding the 
concept of fraud prevention to include preventing security attacks, “phishing,”
174
and spamming or to 
protect intellectual property.
175
Other recommendations included adding analytical data derived from 
devices that are not tied to individuals, such as smart grid data used for energy conservation and geospatial 
data used for mapping, surveying or providing emergency services.
176
With respect to online behavioral 
advertising in particular, some trade associations recommended clarifying that the “commonly accepted” 
category of practices includes the use of IP addresses and third-party cookie data when used for purposes 
such as “frequency capping,” “attribution measurement,” and similar inventory or delivery measurements 
and to prevent click fraud.
177
More generally, some commenters discussed the “repurposing” of existing consumer data to develop new 
products or services.  For example, one company supported expanding the “internal operations” category to 
include the practice of product and service improvement.
178
One commenter recommended treating any 
uses of data that consumers would “reasonably expect under the circumstances” as commonly accepted.
179
Another noted that, whether a new use of consumer data should be considered commonly accepted would 
depend upon a variety of factors, including the extent to which the new use is consistent with previously 
defined uses.
180
In contrast to the calls for expanding the “commonly accepted” practice categories to cover various 
practices, a number of consumer and privacy organizations advocated for a more restrictive approach to 
determining the practices that do not require consumer choice.  Although agreeing that choice is not 
necessary for product and service fulfillment, one commenter stated that most of the other practices 
enumerated in the proposed framework – including internal operations, fraud prevention, and legal 
compliance and public purpose – were vague and required additional description.  周e commenter called on 
172 Comment of eBay, cmt. #00374, at 6-7; Comment of Phorm Inc., cmt. #00353, at 5.
173 See Comment of AT&T Inc., cmt. #00420, at 18.
174 Phishing uses deceptive spam that appears to be coming from legitimate, well-known sources to trick consumers into 
divulging sensitive or personal information, such as credit card numbers, other financial data, or passwords.
175 See Comment of Microsoft Corp., cmt. #00395, at 8 (security attacks, phishing schemes, and spamming); Comment of Business 
Software Alliance, cmt. #00389, at 5-6 (security access controls and user and employee authentication, cybercrime and fraud 
prevention and detection, protecting and enforcing intellectual property and trade secrets).
176 See Comment of IBM, cmt. #00433, at 5 (energy conservation); Comment of Management Ass’n for Private Programming 
Surveyors, cmt. #00205, at 2-3 (mapping, surveying or providing emergency services).
177 See Comment of Online Publishers Ass’n, cmt. #00315, at 5 (frequency capping, click fraud); Comment of Interactive Advertising 
Bureau, cmt. #00388, at 9 (attribution measurement).
178 See Comment of AT&T Inc., cmt. #00420, at 18-19.
179 See Comment of Microsoft Corp., cmt. #00395, at 8.
180 See Comment of Future of Privacy Forum, cmt. #00341, at 5.
VB.NET PDF Text Add Library: add, delete, edit PDF text in vb.net
VB.NET PDF - Annotate Text on PDF Page in VB.NET. Professional VB.NET Solution for Adding Text Annotation to PDF Page in VB.NET. Add
adding text fields to pdf; adding text to pdf document
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
Support adding PDF page number. Offer PDF page break inserting function. DLLs for Adding Page into PDF Document in VB.NET Class. Add necessary references:
how to enter text in pdf form; how to add text to a pdf document using reader
38
the Commission to define these terms as narrowly as possible so that they would not become loopholes used 
to undermine consumer privacy.
181
One privacy advocate expressed reservations about the breadth of the “internal operations” category of 
practices – specifically, the extent to which it could include product improvement and website analytics.  
周is commenter stated that, if viewed broadly, product improvement could justify, for example, a mobile 
mapping application collecting precise, daily geolocation data about its customers and then retaining the 
data long after providing the service for which the data was necessary.  Similarly, this commenter noted 
that companies potentially could use analytics programs to create very detailed consumer profiles to which 
many consumers might object, without offering them any choice.  周is commenter recommended that the 
Commission revise the proposed framework’s internal operations category to make it consistent with the 
“operational purpose” language contained in H.R. 611 from the 112th Congress, which would include, 
among other things, “basic business functions such as accounting, inventory and supply chain management, 
quality assurance, and internal auditing.”
182
周e Commission believes that for some practices, the benefits of providing choice are reduced – 
either because consent can be inferred or because public policy makes choice unnecessary.  However, the 
Commission also appreciates the concerns that the preliminary staff report’s definition of “commonly 
accepted practices” may have been both under-inclusive and over-inclusive.  To the extent the proposed 
framework was interpreted to establish an inflexible list of specific practices, it risked undermining 
companies’ incentives to innovate and develop new products and services to consumers, including innovative 
methods for reducing data collection while providing valued services.  On the other hand, companies could 
read the definition so broadly that virtually any practice could be considered “commonly accepted.” 
周e standard should be sufficiently flexible to allow for innovation and new business models but 
also should cabin the types of practices that do not require consumer choice.  To strike that balance, the 
Commission refines the standard to focus on the context of the interaction between a business and the 
consumer.  周is new “context of the interaction” standard is similar to the concept suggested by some 
commenters that the need for choice should depend on reasonable consumer expectations,
183
but is 
intended to provide businesses with more concrete guidance.  Rather than relying solely upon the inherently 
subjective test of consumer expectations, the revised standard focuses on more objective factors related to the 
consumer’s relationship with a business.  Specifically, whether a practice requires choice turns on the extent 
181 See Comment of Consumer Federation of America, cmt. #00358, at 6.
182 See Comment of Center for Democracy & Technology, cmt. #00469, at 8-9 (citing BEST PRACTICES Act, H.R. 611, 112th 
Congress § 2(5)(iii) (2011).  
183 See Comment of Microsoft Corp., cmt. #00395, at 8; Comment of National Cable & Telecommunications Ass’n, cmt. #00432, at 
23-26; Comment of Pharmaceutical Research & Manufacturers of America, cmt. #00477, at 13.  
VB.NET PDF Library SDK to view, edit, convert, process PDF file
Support adding protection features to PDF file by adding password, digital signatures and redaction feature. Various of PDF text and images processing features
adding text to pdf file; how to add text to a pdf file in reader
C# PDF Annotate Library: Draw, edit PDF annotation, markups in C#.
Provide users with examples for adding text box to PDF and edit font size and color in text box field in C#.NET program. C#.NET: Draw Markups on PDF File.
how to insert text into a pdf file; add text in pdf file online
39
to which the practice is consistent with the context of the transaction or the consumer’s existing relationship 
with the business, or is required or specifically authorized by law.
184
周e purchase of an automobile from a dealership illustrates how this standard could apply.  In 
connection with the sale of the car, the dealership collects personal information about the consumer and his 
purchase.  周ree months later, the dealership uses the consumer’s address to send him a coupon for a free 
oil change.  Similarly, two years after the purchase, the dealership might send the consumer notice of an 
upcoming sale on the type of tires that came with the car or information about the new models of the car.  
In this transaction the data collection and subsequent use is consistent with the context of the transaction 
and the consumer’s relationship with the car dealership.  Conversely, if the dealership sells the consumer’s 
personal information to a third-party data broker that appends it to other data in a consumer profile to 
sell to marketers, the practice would not be consistent with the car purchase transaction or the consumer’s 
relationship with the dealership.
Although the Commission has revised the standard for evaluating when choice is necessary, it continues 
to believe that the practices highlighted in the preliminary staff report – fulfilment, fraud prevention, 
internal operations, legal compliance and public purpose, and most first-party marketing
185
– provide 
illustrative guidance regarding the types of practices that would meet the revised standard and thus 
would not typically require consumer choice.  Further, drawing upon the recommendations of several 
commenters,
186
the Commission agrees that the fraud prevention category would generally cover practices 
designed to prevent security attacks or phishing; internal operations would encompass frequency capping 
and similar advertising inventory metrics; and legal compliance and public purpose would cover intellectual 
property protection or using location data for emergency services.
187
It should be noted, however, that 
even within these categories there may be practices that are inconsistent with the context of the interaction 
standard and thus warrant consumer choice.  For instance, there may be contexts in which the “repurposing” 
of data to improve existing products or services would exceed the internal operations concept.  周us, where 
a product improvement involves additional sharing of consumer data with third parties, it would no longer 
be an “internal operation” consistent with the context of the consumer’s interaction with a company.  On the 
184 As noted above, focusing on the context of the interaction is consistent with the Respect for Context principle in the 
Consumer Privacy Bill of Rights proposed by the White House.  See White House, Consumer Data Privacy in a Networked 
World:  A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, App. A. (Feb. 2012), 
available at http://www.whitehouse.gov/sites/default/files/privacy-final.pdf.  周e Respect for Context principle requires 
companies to limit their use of consumer data to purposes that are consistent with the company’s relationship with the 
consumer and with the context in which the consumer disclosed the data, unless the company is legally required to do 
otherwise.  If a company will use data for other purposes it must provide a choice at a prominent point, outside of the privacy 
policy.
185 See supra at Section IV.C.1.
186 See supra note 175.
187 With respect to use of geolocation data for mapping, surveying or similar purposes, if the data cannot reasonably be linked 
to a specific consumer, computer, or device, a company collecting or using the data would not need to provide a consumer 
choice mechanism.  Similarly, if a company takes reasonable measures to de-identify smart grid data and takes the other steps 
outlined above, the company would not be obligated to obtain consent before collecting or using the data.  See supra Section 
IV.A.4.
C# PDF insert image Library: insert images into PDF in C#.net, ASP
application? To help you solve this technical problem, we provide this C#.NET PDF image adding control, XDoc.PDF for .NET. Similar
how to enter text into a pdf form; how to add text field to pdf form
C# PDF Page Insert Library: insert pages into PDF file in C#.net
By using reliable APIs, C# programmers are capable of adding and inserting (empty) PDF page or pages from various file formats, such as PDF, Tiff, Word, Excel
adding text to a pdf document; add text to pdf online
40
other hand, product improvements such as a website redesign or a safety improvement would be the type of 
“internal operation” that is generally consistent with the context of the interaction.
188
b‮  First-Party Marketing Generally Does Not Require Choice, But Certain Practices Raise 
Special Concerns‮
周e preliminary staff report’s questions regarding first-party marketing generated a large number of 
comments.  As discussed, the Commission has revised the standard for determining whether a practice 
requires consumer choice but believes that most first-party marketing practices are consistent with the 
consumer’s relationship with the business and thus do not necessitate consumer choice.  Nevertheless, as a 
number of the commenters discussed, there are certain practices that raise special concerns and therefore 
merit additional analysis and clarification. 
(i)  Companies Must Provide Consumers With A Choice Whether To Be Tracked Across Other 
Parties’ Websites.
Commenters raised questions about companies and other services that have first-party relationships with 
consumers, but may have access to behavioral activity data that extends beyond the context of that first-party 
relationship.  For example, in response to the question in the preliminary staff report regarding the use of 
deep packet inspection (“DPI”),
189
a number of commenters cited the ability of ISPs to use DPI to monitor 
and track consumers’ movements across the Internet and use the data for marketing.
190
周ere appeared to 
be general consensus among the commenters that, based on the potential scope of the tracking, an ISP’s use 
of DPI for marketing purposes is distinct from other forms of marketing practices by companies that have a 
first-party relationship with consumers, and thus at a minimum requires consumer choice.
191
Similarly, commenters cited the use of “social plugins” – such as the Facebook “Like” button – that allow 
social media services to track consumers across every website that has installed the plugin.
192
周e commenter 
stated that, as with DPI, consumers would not expect social media sites to track their visits to other websites 
or that the profiles created from such tracking could be used for marketing. 
188 Moreover, even if a given practice does not necessitate consumer choice, the framework’s other elements – e.g., data collection 
limits and disposal requirements, increased transparency – would still apply, thereby preventing a company from exploiting 
these categories.
189 Deep packet inspection (“DPI”) refers to the ability of ISPs to analyze the information, comprised of data packets, that 
traverses their networks when consumers use their services.
190 See Comment of AT&T Inc., cmt. #00420, at 21-22 & n.34; Comment of Berlin Commissioner for Data Protection & Freedom 
of Information, cmt. #00484, at 2-3; Comment of Computer & Communications Industry Ass’n, cmt. #00434, at 15; Comment 
of Phorm Inc., cmt. #00353, App. A at 3-4; Comment of U.S. Public Policy Council of the Ass’n for Computing Machinery, cmt. 
#00431, at 6.
191 See Comment of Phorm Inc., cmt. #00353, App. A at 3-4; Comment of Center for Democracy & Technology, cmt. #00469, at 14-
15; Comment of AT&T Inc., cmt. #00420, at 21-22 & n.34.
192 See Comment of Consumer Federation of America, cmt. #00358, at 8 (citing Justin Brookman, Facebook Pressed to Tackle 
Lingering Privacy Concerns, Center for Democracy & Technology (June 16, 2010), available at https://www.cdt.org/blogs/
justin-brookman/facebook-pressed-tackle-lingering-privacy-concerns); Comment of Berkeley Center for Law & Technology, 
cmt. #00347, at 8; see also Arnold Roosendaal, Facebook Tracks and Traces Everyone: Like 周is!, (Nov. 30, 2010), available at 
http://papers.ssrn.com/so13/papers.cfm?abstract_id=1717563 (detailing how Facebook tracks consumers through the Like 
button, including non-Facebook members and members who have logged out of their Facebook accounts); Nik Cubrilovic, 
Logging Out Of Facebook Is Not Enough, New Web Order (Sept. 25, 2011), http://nikcub.appspot.com/posts/logging-out-of-
facebook-is-not-enough.
41
周e Commission agrees that where a company that has a first-party relationship with a consumer for 
delivery of a specific service but also tracks the consumer’s activities across other parties’ websites, such 
tracking is unlikely to be consistent with the context of the consumer’s first-party relationship with the 
entity.  Accordingly, under the final framework, such entities should not be exempt from having to provide 
consumers with choices.  周is is true whether the entity tracks consumers through the use of DPI, social 
plug-ins, http cookies, web beacons, or some other type of technology.
193
As an example of how this standard can apply, consider a company with multiple lines of business, 
including a search engine and an ad network.  A consumer has a “first-party relationship” with the company 
when using the search engine.  While it may be consistent with this first-party relationship for the company 
to offer contextual ads on the search engine site, it would be inconsistent with the first-party search engine 
relationship for the company to use its third-party ad network to invisibly track the consumer across the 
Internet. 
To use another example, many online retailers engage in the practice of “retargeting,” in which the 
retailer delivers an ad to a consumer on a separate website based on the consumer’s previous activity on the 
retailer’s website.
194
Because the ad is tailored to the consumer’s activity on the retailer’s website, it could be 
argued that “retargeting” is a first-party marketing practice that does not merit consumer choice.  However, 
because it involves tracking the consumer from the retailer’s website to a separate site on which the retailer is 
a third party and communicating with the consumer in this new context, the Commission believes that the 
practice of retargeting is inconsistent with the context of consumer’s first-party interaction with the retailer.  
周us, where an entity has a first-party relationship with a consumer on its own website, and it engages in 
third-party tracking of the consumer across other websites the entity should provide meaningful choice to 
the consumer.
(ii) Affiliates Are 周ird Parties Unless 周e Affiliate Relationship Is Clear to Consumers.
Several trade organizations stated that first-party marketing should include the practice of data sharing 
among all of a particular entity’s corporate affiliates and subsidiaries.
195
In contrast, a number of commenters 
– including individual companies and consumer advocates – took a more limited approach that would treat 
affiliate sharing as a first-party practice only if the affiliated companies share a trademark, are commonly-
branded, or the affiliated relationship is otherwise reasonably clear to consumers.
196
One consumer advocate 
also suggested restricting data sharing to commonly-branded affiliates in the same line of business so that the 
data would be used in a manner that is consistent with the purpose for which the first party collected it.
197
193 See infra at Section IV.C.2.d. (discussing special concerns that arise by comprehensive tracking by large platform providers).
194 For example, a consumer visits an online sporting goods retailer, looks at but does not purchase running shoes, and then visits 
a different website to read about the local weather forecast.  A first party engages in retargeting if it delivers an ad for running 
shoes to the consumer on the third-party weather site.
195 See Comment of Direct Marketing Ass’n, Inc., cmt. #00449, at 16; Comment of Interactive Advertising Bureau, cmt. #00388, at 
8; Comment of National Cable & Telecommunications Ass’n, cmt. #00432, at 24.
196 See Comment of Yahoo! Inc., cmt. #00444, at 11; Comment of IBM, cmt. #00433, at 6; Comment of AT&T Inc., cmt. #00420, 
at 20; Comment of Catalog Choice, cmt. #00473, at 10; Comment of Consumers Union, cmt. #00362, at 10-11.
197 See Comment of Consumers Union, cmt. #00362, at 10-11.
42
周e Commission maintains the view that affiliates are third parties, and a consumer choice mechanism 
is necessary unless the affiliate relationship is clear to consumers.  Common branding is one way of making 
the affiliate relationship clear to consumers.  By contrast, where an affiliate relationship is hidden – such as 
between an online publisher that provides content to consumers through its website and an ad network that 
invisibly tracks consumers’ activities on the site – marketing from the affiliate would not be consistent with a 
transaction on, or the consumer’s relationship with, that website.  In this scenario consumers should receive a 
choice about whether to allow the ad network to collect data about their activities on the publisher’s site.
(iii) Cross-Channel Marketing Is Generally Consistent with the Context of a Consumer’s 
Interaction with a Company.
A variety of commenters also discussed the issue of whether the framework should require choice for 
cross-channel marketing, e.g., where a consumer makes an in-store purchase and receives a coupon – not at 
the register, but in the mail or through a text message.  周ese commenters stated that the framework should 
not require choice when a first party markets to consumers through different channels, such as the Internet, 
email, mobile apps, texts, or in the offline context.
198
In support of this conclusion, one commenter stated 
that restricting communications from a first party to the initial means of contact would impose costs on 
business without any consumer benefits.
199
周e Commission agrees that the first-party marketing concept should include the practice of contacting 
consumers across different channels.  Regardless of the particular means of contact, receipt of a message 
from a company with which a consumer has interacted directly is likely to be consistent with the consumer’s 
relationship with that company.
200
At the same time, as noted above, if an offline or online retailer tracks a 
customer’s activities on a third-party website, this is unlikely to be consistent with the customer’s relationship 
with the retailer; thus, choice should be required.
(iv) Companies Should Implement Measures to Improve 周e Transparency of Data 
Enhancement.  
A large number of commenters discussed whether the practice of data enhancement, by which a 
company appends data obtained from third-party sources to information it collects directly from consumers, 
should require choice.  Some of these commenters specifically objected to allowing companies to enhance 
data without providing consumers choice about the practice.
201
For example, one academic organization characterized data enhancement without consumer choice 
as “trick[ing]” consumers into participating in their own profiling for the benefit of companies.
202
As 
198 See Comment of Yahoo! Inc., cmt. #00444, at 10; Comment of IBM, cmt. #00433, at 6; Comment of AT&T Inc., cmt. #00420, 
at 20; Comment of Catalog Choice, cmt. #00473, at 9-10; Comment of Direct Marketing Ass’n, Inc., cmt. #00449, at 16; 
Comment of Interactive Advertising Bureau, cmt. #00388, at 8.
199 See Comment of American Catalog Mailers Ass’n, cmt. #00424, at 7.
200 Such marketing communications would, of course, still be subject to any existing restrictions, including the CAN-SPAM Act, 
15 U.S.C. §§ 7701-7713 (2010).
201 See Comment of Consumer Federation of America, cmt. #00358, at 10; Comment of Consumers Union, cmt. #00362, at 11.
202 Comment of Berkeley Center for Law & Technology, cmt. #00347, at 9-10.
43
companies develop new means for collecting data about individuals, this commenter stated, consumers 
should have more tools to control data collection, not fewer.
203
Similarly, a consumer organization explained that consumers may not anticipate that the companies 
with which they have a relationship can obtain additional data about them from other sources, such as social 
networking sites, and use the data for marketing.
204
周is commenter concluded that requiring companies 
to provide choice will necessitate better explanations of the practice, which will lead to improved consumer 
understanding.
Other stakeholders also raised concerns about data enhancement absent consumer choice.  One 
company focused on the practice of enhancing online cookie data or IP addresses with offline identity data 
and stated that such enhancement should be subject to consumer choice.
205
In addition, a data protection 
authority stated that consumers are likely to expect choice where the outcome of data enhancement could 
negatively affect the consumer or where the sources of data used for enhancement would be unexpected to 
the consumer.
206
Alternatively, a number of industry commenters opposed requiring consumer choice for data 
enhancement in connection with first-party marketing.  周ese commenters described data enhancement as 
a routine and longstanding practice that allows businesses to better understand and serve their consumers.
207
Commenters enumerated a variety of benefits from the availability and use of third-party data, including: 
development of new or more relevant products and services; ensuring the accuracy of databases; reducing 
barriers to small firms seeking to enter markets; helping marketers identify the best places to locate retail 
stores; and reducing irrelevant marketing communications.
208
One commenter noted that requiring content publishers such as newspapers to offer consumer choice 
before buying information from non-consumer-facing data brokers would impose logistical and financial 
challenges that would interfere with publishers’ ability to provide relevant content or sell the advertising to 
support it.
209
Other commenters claimed that, where the data used for enhancement comes from third-party 
sources, it was likely subject to choice at the point of collection from the consumer and therefore providing 
additional choice is unnecessary.
210
Taking a similar approach, one company noted that the third-party 
source of the data should be responsible for complying with the framework when it shares data, and the 
recipient should be responsible for any subsequent sharing of the enhanced data.
211
203 Id., at 8-10 (describing Williams-Sonoma’s collection of consumers’ zip codes in Pineda v. Williams-Sonoma Stores, Inc., 246 
P.3d 612 (Cal. 2011)).
204 Comment of Consumer Federation of America, cmt. #00358, at 10.
205 See Comment of Phorm Inc., cmt. #00353, at 5.
206 See Comment of the Information Commissioner’s Office of the UK, cmt. #00249, at 3.
207 See Comment of Newspaper Ass’n of America, cmt. #00383, at 7-8; Comment of National Cable & Telecommunications Ass’n, cmt. 
#00432, at 24-26; Comment of Experian, cmt. #00398, at 5-6; Comment of Magazine Publishers of America, cmt. #00332, at 4; 
Consumer Data Industry Ass’n, cmt. #00363, at 2-3.
208 Comment of Experian, cmt. #00398, at 6; see Comment of Newspaper Ass’n of America, cmt. #00383, at 6-8.
209 Comment of Newspaper Ass’n of America, cmt. #00383, at 7-8.
210 Comment of Experian, cmt. #00398, at 9 (citing the Direct Marketing Association’s Guidelines for Ethical Business Practice); 
Comment of Magazine Publishers of America, cmt. #00332, at 5-6.
211 Comment of Microsoft Corp., cmt. #00395, at 8.
44
周e issue of whether a first-party marketer should provide choice for data enhancement is particularly 
challenging because the practice involves two separate and distinct types of consumer data collection.  
One involves the consumer-to-business transfer of data – for instance, where an online retailer collects 
information directly from the consumer by tracking the products the consumer purchased in the store or 
looked at while visiting the retailer’s website.  周e other involves a business-to-business transfer of data – 
such as where retailer purchases consumer data from a non-consumer-facing data broker. 
As to the first type of data collection, for the reasons discussed above, if the first party does not share 
information with third parties or track consumers across third-party websites, the practice would be 
consistent with the context of the consumer’s interaction with the company.
212
周erefore, the framework 
would not call for a consumer choice mechanism.  In contrast, because the second type of data collection 
involves the transfer of data from one business to another and does not directly involve the consumer 
(and therefore is typically unknown to the consumer), it is unlikely to be consistent with a transaction or 
relationship between the consumer and the first party.  周e Commission nevertheless recognizes that it 
would be impractical to require the first-party marketer to offer a choice mechanism when it appends data 
from third-party sources to the data it collects directly from its consumers.  As discussed in the comments, 
such a requirement would impose costs and logistical problems that could preclude the range of benefits that 
data enhancement facilitates. 
Instead, full implementation of the framework’s other components should address the privacy concerns 
that commenters raised about data enhancement.  First, companies should incorporate privacy by design 
concepts, including limiting the amount of data they collect from consumers and third parties alike to 
accomplish a specific business purpose, reducing the amount of time they retain such data, and adopting 
reasonable security measures.  周e framework also calls for consumer choice where a company shares with 
a third party the data it collects from a consumer.  周us, consumers will have the ability to control the flow 
of their data to third parties who might sell the data to others for enhancement.  In addition, companies 
should improve the transparency of their practices by disclosing that they engage in data enhancement and 
educating consumers about the practice, identifying the third-party sources of the data, and providing a 
link or other contact information so the consumer can contact the third-party source directly.  Finally, to 
further protect consumer privacy, the Commission recommends that first parties that obtain marketing data 
for enhancement should take steps to encourage their third-party data broker sources to increase their own 
transparency, including by participating in a centralized data broker website, discussed further below, where 
consumers could learn more information about data brokers and exercise choices.
213
周e first parties may 
also consider contractually requiring their data broker sources to take these steps.
212 See supra Section IV.C.1.b.(i).
213 周e concept of such a website is discussed, infra, Section IV.D.2.a.  
Documents you may be interested
Documents you may be interested