厘清个性化广告发展与个人信息保护的关系尤为重要。
文|樊瑞编辑|朱弢
来源:财经E法
我们身处一个被数字广告覆盖的时代,它们无处不在。
近日,《财经》商业治理研究院与中国社科院大学互联网法治研究中心联合发布了《个性化广告合规发展研究报告》(下称《报告》)。《报告》指出,域内外逐渐完备的立法以及趋严的监管,正推进企业实现更高要求的个人信息及隐私保护合规,隐私计算技术的发展也在逐步降低用户对隐私侵犯的担忧,成为未来平衡用户体验和个性化广告产业发展的保障。
在这一大趋势下,进一步厘清数字广告发展与个人信息保护的关系,关系到行业未来的持续健康发展。
数字广告的发展是否以牺牲用户隐私为代价?如何看待个性化广告推送争议,这种广告方式是否存在滥用个人信息的风险?目前的隐私保护技术的应用情况和发展趋势是什么?
01
合规是必然趋势
数字广告产业是数字经济的实践者和先行者。作为全球第二大广告市场,中国数字广告产业市场规模达近万亿元,对于促进消费、扩大就业、激发市场活力,拉动经济增长助力明显。
据中国广告协会互联网广告委员会秘书长霍焰介绍,目前数字广告市场规模占整体广告市场规模的80%,且其中的90%依存于移动互联网而存在。
国家统计局在2021年印发的《数字经济及其核心产业统计分类》中,把数字广告列为数字经济及其核心产业。霍焰指出,数字广告能促进数字经济的发展,具体来说,通过降本增效的信息对接,促进消费、推动中小企业发展、激发市场活力,甚至有助于增强企业的国际竞争力。
一位不愿具名的数据安全专家指出,数字广告是数据收集、使用和交易密集的行业,其发展趋势是更精准的投放和更准确的效果评估。这一模式以数据作为基础驱动力,应用场景一般包括程序化购买、广告监测、广告效果评估、无效流量排查和反作弊等,涉及的数据处理活动包括收集、使用、存储、传输、删除等,涉及的实体包括广告主、媒体、受众等。
因数据量庞大,数据处理活动频繁,这位专家指出,数字广告产业链各方如广告主、媒体、用户、代理商、第三方监测机构之间在数据处理活动中矛盾不断。
2020年3月中共中央国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》,将数据与土地、劳动力、资本、技术并列为五大生产要素,这意味着数据是可社会化配置和利用的经济资源。
前述专家建议,数字广告要综合考虑合规与数据要素合法利用,充分发挥互联网技术的优势,增强数字行业的竞争力,发挥数据要素的商业价值。随着法律法规、监管行动的落地执行,数字广告行业也正向着更加合法、健康、透明的方向发展。
02
个性化广告误区
霍焰表示,对广告主而言,借助数字技术分析预测用户的喜好、偏好,就可推送更加精准的广告,可节省大概80%的广告成本。同时还可得到用户的反馈,反馈的数据有利于广告主改善其生产和经营策略,“广告主是非常欢迎个性化广告运作模式的,这可以大大提升广告产业本身的发展和规模。”霍焰表示。
调查数据也显示,相较之无用信息的打扰,大多数消费者更看重个性化广告的效率和便捷。
然而,也有很多消费者担忧个性化广告可能侵犯个人隐私。比如一些网友就质疑,手机App通过“监听”的方式,向用户投放个性化广告。
上述数据安全专家坦言,从理论上、技术上探讨能否实现“监听”的意义不大,如果通过黑客攻击的方式,能做到包括“监听”在内的很多事情。但他指出,现实操作的可能性几乎没有。一是操作系统对权限管理越来越精细、严格,App调用“麦克风权限”需要获得用户授权,而且使用时手机系统会在顶部高亮显示图标提醒用户;二是使用麦克风权限会消耗较多设备能耗,导致发热、耗电;三是法律风险极高。“总体来说得不偿失,没必要这么做。”他说。
例如,人们在A电商平台搜索产品,跳转至B内容平台后会得到相关搜索的推荐,这个过程中A电商平台通过已掌握的“用户画像”,在B内容平台购买广告位进行投放。整个个性化广告投放过程依据“程序化广告系统”自动完成,B内容平台仅提供广告位与个性化广告的技术对接,并无法获取A平台的用户个人信息。
中国社会科学院大学互联网法治研究中心执行主任刘晓春指出,个人信息保护法对自动化决策有直接规制。而自动化决策的各种形式中,个性化广告应用场景最为广泛,与数字经济发展最为密切。但是,相比其他一些自动化决策的应用类型,广告的个性化推送对于消费者权益带来的损害风险可能并不大,更多是给消费者提供商业决策上的便利。。
“个性化广告对数据和用户标签的应用,是数据作为生产要素的重要体现,合规前提下的数据和算法正当运用应当得到鼓励。”刘晓春表示,目前来看,个人信息和算法领域的合规具体标准,尚待结合产业实践特点和需要加以进一步明确。
03
大平台合规日趋完善
从行业现状来看,标识符或ID是支撑数字广告业务的基础性数据,产业链各方以此来实现互联互通并开展各种广告业务。
前述数据安全专家指出,在标识领域依然存在诸多问题,主要包括:一市面上的标识众多,很多方案没有做到或者没有严格做到可开关、可重置,即没有给予用户充分的知情权、选择权;二是在一些旧版本的系统或者新型终端系统上,不可变更的设备标识,如MAC地址、IMEI被违规采集、共享的情况依然存在;三是即使是主流设备ID或者广告ID,也存在被冒用或篡改的现象,而且被用于流量造假甚至是一些灰黑产领域。
其实,国际上已有一些有关标识符的重要进展值得关注。2021年4月26日,苹果公司于在iOS 14.5版本上线了App跟踪透明(App Tracking Transparency)功能,来实现征得用户许可以及获取苹果广告标识符(Identifier For Advertising,简称IDFA),同时更新苹果应用商店政策,限制任何第三方标识,也就是苹果的广告标识的获取从opt-out变为opt-in,更加严格地保护用户的个人隐私。同时,为了解决归因问题,苹果公司同步推出了SKAdNetwork方案,已经更新到4.0版本。
2022年初,谷歌宣布将在安卓系统中引入隐私沙盒(Privacy Sandbox),其中的一项重要措施是提出了Topics API,即群体标识或者主题标识,其功能是基于用户设备上的应用推断粗略的兴趣信号。广告 SDK 可以输入这些主题,以便向相关用户投放广告。
前述数据安全专家认为,这些趋势表明苹果、谷歌等国际主流操作系统平台均在弱化直接通过唯一ID来开展广告业务,值得中国企业参考和重视。
在当下,需要什么样的数字广告标识?这位专家指出,第一、应该具有可开关性。通过方便快捷的方式给予消费者选择权,让消费者对广告标识进行开启或关闭。
第二要有连续性。广告标识涉及广告产业链众多参与方如广告主、媒体、广告平台、第三方监测平台的利益,因此服务提供方应确保服务的稳定性、可持续性。
第三要匿名性。客户端采集的数据应不包含任何个人身份信息,标识生成算法应保证匿名性,应无法逆推出任何用户设备、个人身份。
第四要有安全性。为对抗互联网灰黑产,防止广告标识被伪造、篡改,应采用访问控制、密码技术等手段保障数据安全、算法安全。
这位专家表示,目前,大平台的个性化技术更加合规、完善,比如增加了个性化管理、权限管理等功能,增加了个人信息收集清单、第三方信息共享清单等展示,给予用户知情权和选择权。一些平台也会结合自身账号体系以及设备指纹方案来标记用户,并开展数字广告业务,而部分设备指纹的风险是开关、重置做不到位。
04
寻找数据匿名化路径
随着网络安全法、民法典、个人信息保护法等相关法规出台,个人信息保护愈发受到重视,公众的隐私意识也更强。数字广告领域面临的数据安全与个人信息保护难点日益凸显。
刘晓春指出,在程序化购买和广告联盟的商业模式中,如何实现用户画像等行为在知情同意意义上的合规,包括哪些信息和行为需要单独同意,什么形式的单独同意可以满足法定要求,不同应用场景下的合规要求是否可以有所区别等,都可能成为数据合规的挑战。此外,随着未来的法规修改,相关商业模式中各方的法律地位和权利义务关系可能会被重构,这对于产业发展来说,也会带来挑战和不确定性。
前述数据安全专家分析,个人信息保护法实施后,数字广告的部分业务模式面临挑战,比如这部法律的第二十三条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当取得个人的单独同意。这给现有数字广告模式、场景带来极大挑战,以程序化购买为例,交易在毫秒之间即完成,其中涉及百万、千万级别高频次、高并发的信息处理动作,若要获得逐一同意的授权,向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,几乎没有可操作性。
同时,近年来平台方基于加强数据安全、保护用户隐私的考量,纷纷推出数据的“围墙花园”,以谷歌、字节跳动、阿里巴巴、腾讯等为代表的互联网巨头均建设了自身的Ads Data Hub,一般具有独立的存储空间、严格的权限管理机制、重要数据加密、数据不出库等特点,实现数据可用不可见,保障用户隐私。
前述数据安全专家建议,要加紧标准制定,推进行业共识。具体包括制定数字广告行业数据安全和个人信息保护系列标准如数据分类分级、个性化广告告知同意、广告数据匿名化、广告隐私计算、无效流量判定等,统一行业认知,指导行业实践,平衡好数据安全与产业发展,解决行业痛点,规范行业健康有序发展。
同时,还应寻找匿名化的合理路径。目前各行业对匿名化、去标识化、假名化、脱敏等概念界定交叉、模糊,未来有必要在广告行业明确匿名化的定义,达成行业共识,并提出实现路径。值得一提的是,绝对的、无条件的匿名化是不存在的,但是可控环境下的匿名化是可以实现的。因此,数字广告领域应重点关注具体场景、可信环境下的匿名化实施,通过技术、管理、法律手段,做到可管、可信、可证,即利用适当的安全技术和管理措施,在可控环境和可信证明下,对数字广告数据进行处理,达到匿名化效果。
霍焰对数字广告提出社会共治的建议,即建立政府监管、行业自律和社会监督共享共建共治的综合治理模式。具体来说,政府完善监管和法规;行业组织通过制定、执行行业标准,提升行业自律水平;各市场主体健全合规制度,执行相关法律法规要求;同时要建立消费者监督机制,促进各方治理更加完善。