返回列表
在线广告行业的数据合规要点解析
2022-07-01

一、前言

数字营销技术与商业模式随着信息技术的发展不断地迭代更新,这也极大推动了数字化媒体的发展,在线广告则为典型代表之一。根据国家市场监督管理总局广告监督管理司发布的《2021年广告市场规模预计破万亿 第28届中国国际广告节在厦门开幕》,中国2020年度网络广告市场规模已达7666亿元,同比增长了18.6%,在2021年将突破1万亿大关。

在线广告的营销精准性很大程度依赖于大数据分析和监测的质量和用户画像的精准程度,而这一切是建立在对巨量的个人信息等其他类型的数据的分析、共享处理基础之上。随着个人信息保护的立法逐步完善与执法力度的逐渐趋严,精准营销也正在步入监管深水区。如何在利用大数据与人工智能等技术对数据进行深度挖掘的同时,保障个人信息权益以及确保业务的合规性,是在线广告行业必须解决的一个难题。

本文将首先简要介绍程序化广告的参与主体、流程与技术架构以及程序化广告的典型例子,并基于此进行简要的合规要点法律分析,以期为行业内相关参与方提供些许合规启示。

二、在线广告业务流程及其参与方介绍

根据《程序化广告:个性化精准投放实用手册》,程序化广告(Programmatic Advertising)是通过算法手段管理广告资源与广告交易并结合时间、场景等要素将目标商品或服务广告以跨媒体、终端等方式向目标用户推送并展示,从而实现精准营销的目的。

因此,广告主可以程序化地采购媒体资源,并利用算法和技术自动实现精准的目标受众定向,只把广告投放给符合其目标条件的人,同时媒体可以程序化地售卖跨媒体、跨终端(电脑、手机、平板、互联网电视等)流量资源,并利用技术实现广告流量的分级,进行差异化定价。这将极大提升了媒体流量资源的利用率、广告投放率和营销效果。

(一)在线广告参与方介绍

在线广告业务的参与方较多,根据《程序化广告:个性化精准投放实用手册》在程序化广告运作过程相关的参与方与其角色分工如下:

目前国内在线广告经过多年的发展,已形成了稳定的在线广告技术生态,不同的业务参与方在整个生态中有自己的一个位置,但是大型互联网平台往往同时承担不同的角色,如百度、腾讯等企业同时提供DSP和SSP等其他服务。国内当前在线广告生态中较为重要的公司的角色可以参见RTB China发布的“中国程序化广告技术生态图”。

下图简要展示了各参与方在在线广告业务中的分工协作:

(二)实时竞价

实时竞价(Real-Timing Bidding,RTB)是程序化广告的精髓,RTB提供了一套实时广告投放模式,能够有效解决广告流量浪费、目标受众不正确等问题。广告主可以在RTB交易市场自由挑选媒体资源,竞价购买目标人群,同时媒体可以接入RTB交易市场,获取更多广告主,迅速实现流量变现,由此提升广告投放效率和流量资源利用率。

从用户打开网页或APP到其实际看到向其投放的精准广告,仅仅耗费了毫秒级时间,但一次完整的RTB实际上是一个极为复杂和高效的流程,涉及多个参与方之间的巨量的数据交互。具体流程如下图所示。

(三)Cookie ID映射

个性化精准推送广告的前提是对不同用户进行唯一标识并形成该用户的画像标签。在移动端通常用IMEI号、Mac地址、Android ID或者苹果IDFA等唯一标识符或基于而此自定义的UserID对用户进行标识,这些标识符通常不会发生改变。但近年来iOS与Android系统都开始采取措施防止应用程序读取上述标识符内容,以保护用户隐私。在传统PC或网页中,通常只能依靠各方自行种植Cookie ID的方式进行标识,但不同域名设置的Cookie ID都不一样,因此不同参与方需将各自的Cookie ID进行相互映射,才能将不同参与方手中的同一用户关联起来。Cookie ID映射的发起、映射关系保存与Cookie ID种植的主体并不固定,因此需要根据具体情况而定。

在程序化广告业务中,典型的Cookie映射场景是SSP与DSP之间的映射。如在上文RTB流程中,DSP的竞价引擎模块如果无法在用户数据中心查询到SSP提供的用户信息,就需要向SSP发起Cookie映射请求,由SSP将映射URL发送至浏览器,当用户浏览器触发该映射URL跳转至SSP映射服务后,再由SSP重定向至DSP映射服务。随后DSP生成自有Cookie DSP_ID并重新发送至浏览器进行种植,并对DSP_ID与SSP_ID之间的映射关系进行保存。具体流程见下图。

三、数据合规要点与建议

随着不断完善法律法规和更加细化的合规要求,程序化广告行业的发展受到监管部门和平台巨头们等多方挑战。2021年4月26日起,苹果公司要求所有iOS App都必须使用AppTrackingTransparency框架来征得用户的许可,才能对其进行跟踪或访问其设备的广告标识符;2022年谷歌也推出安卓隐私沙盒(Android Privacy Sandbox)功能,能够一键关闭Android平台的APP读取唯一标识符的权限;IE与Chrome等主流浏览器也逐渐普及了隐私浏览模式,对Cookie ID的种植造成了技术上的阻碍。

由此可见,随着隐私保护要求不断细化和隐私保护合规意识的愈发强烈,广告行业迎来了新一轮的“洗牌”,程序化广告合规已成为竞争的手段,第三方程序化广告行业将会更加艰难。但程序化广告的数据合规已是大势所趋。

在线广告的投放离不开不同参与方之间的个人信息使用与共享,其中的法律关系非常复杂,较为值得关注的数据合规问题主要有以下几点:

(一)个人信息处理的合法与安全问题

程序化广告整个流程涉及到复杂的包括用户的设备号、历史浏览信息、交易信息等个人信息的采集、加工与使用和提供(共享),需遵守《个人信息保护法》《网络安全法》《网络安全等级保护条例》《常见类型移动互联网应用程序(APP)必要个人信息范围》等法律法规对于个人信息的合法及安全的要求,其中要点如下:

1. 收集个人信息环节

应事先识别个人信息处理的合法性基础,并根据合法性基础的要求,履行信息处理目的、方式及范围等个人信息处理规则的告知和获得个人信息主体的有效授权同意的义务,具体包括:

(1)个人信息用于广告目的,包括个性化推送,而收集、使用和加工(如用户画像)、共享给广告参与方的,均需进行个人信息处理规则的告知,同时征求用户的同意。如涉及数据共享的,例如共享用户ID和用户画像生成的标签的等个人信息的,还需获得用户的单独同意。

(2)从其他参与方间接收集个人信息前,应核实数据的合法性来源和数据提供方提供数据的行为是否具备合法性基础。例如从流量供应方或者DSP等第三方处购买人群标签包,需要确认是否获得了用户的授权同意等合法性基础。

(3)不得用户拒绝提供程序化广告所需的个人信息而拒绝提供基本服务,或降低基本服务的质量。

2. 共享个人信息环节

共享个人信息的行为应遵守《个人信息保护法》第二十三条、五十五条等有关规定,具备包括:

(1)事先开展个人信息保护影响评估并做好记录。

(2)对共享情况进行告知并征求单独同意。例如在各广告参与方之间共享用户ID与标签等个人信息,应获得用户的单独授权同意,但该义务宜收集环节就应落实。

(3)此外应注意与数据共享方签订完善的数据安全与个人信息保护共享协议,明确对各方的权利义务。

3. 数据安全保护问题

程序化广告的整个流程涉及多个主体之间的大量个人信息或其他类型的数据的流转与使用。参与方应当根据《网络安全法》《数据安全法》《密码法》以及《网络安全等级保护条例》等规定采取必要的安全技术与管理措施,在可信的环境下进行数据的传输与存储,防止数据受到未经授权的访问、泄露或损毁。关于数据的安全加密和去标识化内容,可参考《北源研究 | 密码技术在个人信息合规中的应用与落地》。

(二)算法合规问题

在线广告的精准推送主要基于用户画像与推荐算法。《个人信息保护法》《互联网信息服务算法推荐管理规定》与《信息安全技术 个人信息安全规范》(GB/T 35273—2020)均对用户画像与算法推荐技术提出了合规要求。中央网信办牵头开展“清朗·2022年算法综合治理”专项行动,旨在落实算法推荐服务公正公平、规范透明要求,促进算法推荐服务向上向善,营造更加清朗的网络空间。

因此对于在线广告中的算法合规,尤其是流量供应方,应重点关注以下的合规要点:

1. 确保算法的规范透明,确保算法知情权和选择权。

(1)考虑通过政策、弹窗等适当的方式,公示算法的基本原理、目的意图和主要运行机制等,对于用户画像/标签处理等行为还应当征得用户的授权同意。

(2)提供在线广告时,应当同时提供不针对其个人特征的选项和向个人提供便捷的拒绝个性化推送的方式。例如APP的二级页面设置一键关闭个性化推送或者回复T或N拒绝广告推送邮件或短信。

2.确保算法的公平和公正,避免侵害合法权益。

应当加强用户模型和用户标签的管理,避免将违法和不良信息关键词记入用户兴趣点或者作为用户标签。此外使用该算法筛选广告目标人群过程,还需强化内审、评估和验证算法模型和应用结果,避免生成和使用违反法律法规或者违背伦理道德的算法模型,同时避免进行算法广告推送过程产生差别待遇和侵害未成年人和老年人合法权益的情形。

(三)Cookie合规问题

Cookie在程序化广告中尤其是Web端程序化广告发挥着重要作用,虽目前国内法律法规并未将Cookie进行单独监管,但若Cookie ID为已识别或可识别自然人有关信息的情况下,仍应遵守《个人信息保护法》等关于个人信息处理的规定。目前在隐私政策中明示Cookie的个人信息处理规则也已成为共识。但在司法实践中,Cookie ID能否构成个人信息也存在部分争议。如在著名的“朱烨诉百度案”案中,一审法院与二审法院对于cookie +“网络活动轨迹及上网偏好”能否识别到特定自然人产生了不同的观点。一审法院认为其属于个人信息,与之相反,二审法院认为这些信息无法识别特定个人身份,因此不属于个人信息。

在欧盟除了从个人信息保护角度进行规制Cookie外,《电子隐私指令》(The ePrivacy Directive)第2(5)条也要求处理Cookie前应当获取用户的授权同意。多国的数据保护监管机构已经基于GDPR等个人信息保护法律对不同企业违规使用Cookie进行了多次处罚,其中法国数据保护监管机构CNIL于2020年12月对于Google和Amazon违法使用Cookie的行为分别开出了高达1亿欧元和3500万欧元的巨额罚单。

四、结语

总体而言,在线广告各参与方应遵循合法、正当与必要原则等法律法规要求处理用户的个人信息和使用算法和Cookie的新技术。在保证合法合规的前提下,分析与挖掘数据带来的红利,方可保障行业的稳健发展。

参考文献:

1. 梁丽丽:《程序化广告:个性化精准投放实用手册》,人民邮电出版社2017年版;

2. 国家市场监督管理总局广告监督管理司:《2021年广告市场规模预计破万亿 第28届中国国际广告节在厦门开幕》https://www.samr.gov.cn/ggjgs/sjdt/gzdt/202112/t20211214_338057.html

3. 夜_雪:《广告实时竞价(RTB)系统》,https://www.jianshu.com/p/aa9a3371d598,最后访问:2022年3月7日

4. marrina:《cookie和cookie mapping详解》,https://zhuanlan.zhihu.com/p/27809598,最后访问:2022年3月7日

5. RTB China:《中国程序化广告技术生态图》https://www.rtbchina.com/china-programmatic-ad-tech-landscape,最后访问日期:2022年3月7日;

6. 张亚东:《在线广告:互联网广告系统的架构及算法》,清华大学出版社2019年版

7. 江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号,江苏省南京市中级人民法院(2014)宁民终字第5028号

 

作者:李黎、许瑞凤

(文中观点不代表北源律师事务所的观点或法律意见)

返回列表
在线广告行业的数据合规要点解析
2022-07-01

一、前言

数字营销技术与商业模式随着信息技术的发展不断地迭代更新,这也极大推动了数字化媒体的发展,在线广告则为典型代表之一。根据国家市场监督管理总局广告监督管理司发布的《2021年广告市场规模预计破万亿 第28届中国国际广告节在厦门开幕》,中国2020年度网络广告市场规模已达7666亿元,同比增长了18.6%,在2021年将突破1万亿大关。

在线广告的营销精准性很大程度依赖于大数据分析和监测的质量和用户画像的精准程度,而这一切是建立在对巨量的个人信息等其他类型的数据的分析、共享处理基础之上。随着个人信息保护的立法逐步完善与执法力度的逐渐趋严,精准营销也正在步入监管深水区。如何在利用大数据与人工智能等技术对数据进行深度挖掘的同时,保障个人信息权益以及确保业务的合规性,是在线广告行业必须解决的一个难题。

本文将首先简要介绍程序化广告的参与主体、流程与技术架构以及程序化广告的典型例子,并基于此进行简要的合规要点法律分析,以期为行业内相关参与方提供些许合规启示。

二、在线广告业务流程及其参与方介绍

根据《程序化广告:个性化精准投放实用手册》,程序化广告(Programmatic Advertising)是通过算法手段管理广告资源与广告交易并结合时间、场景等要素将目标商品或服务广告以跨媒体、终端等方式向目标用户推送并展示,从而实现精准营销的目的。

因此,广告主可以程序化地采购媒体资源,并利用算法和技术自动实现精准的目标受众定向,只把广告投放给符合其目标条件的人,同时媒体可以程序化地售卖跨媒体、跨终端(电脑、手机、平板、互联网电视等)流量资源,并利用技术实现广告流量的分级,进行差异化定价。这将极大提升了媒体流量资源的利用率、广告投放率和营销效果。

(一)在线广告参与方介绍

在线广告业务的参与方较多,根据《程序化广告:个性化精准投放实用手册》在程序化广告运作过程相关的参与方与其角色分工如下:

目前国内在线广告经过多年的发展,已形成了稳定的在线广告技术生态,不同的业务参与方在整个生态中有自己的一个位置,但是大型互联网平台往往同时承担不同的角色,如百度、腾讯等企业同时提供DSP和SSP等其他服务。国内当前在线广告生态中较为重要的公司的角色可以参见RTB China发布的“中国程序化广告技术生态图”。

下图简要展示了各参与方在在线广告业务中的分工协作:

(二)实时竞价

实时竞价(Real-Timing Bidding,RTB)是程序化广告的精髓,RTB提供了一套实时广告投放模式,能够有效解决广告流量浪费、目标受众不正确等问题。广告主可以在RTB交易市场自由挑选媒体资源,竞价购买目标人群,同时媒体可以接入RTB交易市场,获取更多广告主,迅速实现流量变现,由此提升广告投放效率和流量资源利用率。

从用户打开网页或APP到其实际看到向其投放的精准广告,仅仅耗费了毫秒级时间,但一次完整的RTB实际上是一个极为复杂和高效的流程,涉及多个参与方之间的巨量的数据交互。具体流程如下图所示。

(三)Cookie ID映射

个性化精准推送广告的前提是对不同用户进行唯一标识并形成该用户的画像标签。在移动端通常用IMEI号、Mac地址、Android ID或者苹果IDFA等唯一标识符或基于而此自定义的UserID对用户进行标识,这些标识符通常不会发生改变。但近年来iOS与Android系统都开始采取措施防止应用程序读取上述标识符内容,以保护用户隐私。在传统PC或网页中,通常只能依靠各方自行种植Cookie ID的方式进行标识,但不同域名设置的Cookie ID都不一样,因此不同参与方需将各自的Cookie ID进行相互映射,才能将不同参与方手中的同一用户关联起来。Cookie ID映射的发起、映射关系保存与Cookie ID种植的主体并不固定,因此需要根据具体情况而定。

在程序化广告业务中,典型的Cookie映射场景是SSP与DSP之间的映射。如在上文RTB流程中,DSP的竞价引擎模块如果无法在用户数据中心查询到SSP提供的用户信息,就需要向SSP发起Cookie映射请求,由SSP将映射URL发送至浏览器,当用户浏览器触发该映射URL跳转至SSP映射服务后,再由SSP重定向至DSP映射服务。随后DSP生成自有Cookie DSP_ID并重新发送至浏览器进行种植,并对DSP_ID与SSP_ID之间的映射关系进行保存。具体流程见下图。

三、数据合规要点与建议

随着不断完善法律法规和更加细化的合规要求,程序化广告行业的发展受到监管部门和平台巨头们等多方挑战。2021年4月26日起,苹果公司要求所有iOS App都必须使用AppTrackingTransparency框架来征得用户的许可,才能对其进行跟踪或访问其设备的广告标识符;2022年谷歌也推出安卓隐私沙盒(Android Privacy Sandbox)功能,能够一键关闭Android平台的APP读取唯一标识符的权限;IE与Chrome等主流浏览器也逐渐普及了隐私浏览模式,对Cookie ID的种植造成了技术上的阻碍。

由此可见,随着隐私保护要求不断细化和隐私保护合规意识的愈发强烈,广告行业迎来了新一轮的“洗牌”,程序化广告合规已成为竞争的手段,第三方程序化广告行业将会更加艰难。但程序化广告的数据合规已是大势所趋。

在线广告的投放离不开不同参与方之间的个人信息使用与共享,其中的法律关系非常复杂,较为值得关注的数据合规问题主要有以下几点:

(一)个人信息处理的合法与安全问题

程序化广告整个流程涉及到复杂的包括用户的设备号、历史浏览信息、交易信息等个人信息的采集、加工与使用和提供(共享),需遵守《个人信息保护法》《网络安全法》《网络安全等级保护条例》《常见类型移动互联网应用程序(APP)必要个人信息范围》等法律法规对于个人信息的合法及安全的要求,其中要点如下:

1. 收集个人信息环节

应事先识别个人信息处理的合法性基础,并根据合法性基础的要求,履行信息处理目的、方式及范围等个人信息处理规则的告知和获得个人信息主体的有效授权同意的义务,具体包括:

(1)个人信息用于广告目的,包括个性化推送,而收集、使用和加工(如用户画像)、共享给广告参与方的,均需进行个人信息处理规则的告知,同时征求用户的同意。如涉及数据共享的,例如共享用户ID和用户画像生成的标签的等个人信息的,还需获得用户的单独同意。

(2)从其他参与方间接收集个人信息前,应核实数据的合法性来源和数据提供方提供数据的行为是否具备合法性基础。例如从流量供应方或者DSP等第三方处购买人群标签包,需要确认是否获得了用户的授权同意等合法性基础。

(3)不得用户拒绝提供程序化广告所需的个人信息而拒绝提供基本服务,或降低基本服务的质量。

2. 共享个人信息环节

共享个人信息的行为应遵守《个人信息保护法》第二十三条、五十五条等有关规定,具备包括:

(1)事先开展个人信息保护影响评估并做好记录。

(2)对共享情况进行告知并征求单独同意。例如在各广告参与方之间共享用户ID与标签等个人信息,应获得用户的单独授权同意,但该义务宜收集环节就应落实。

(3)此外应注意与数据共享方签订完善的数据安全与个人信息保护共享协议,明确对各方的权利义务。

3. 数据安全保护问题

程序化广告的整个流程涉及多个主体之间的大量个人信息或其他类型的数据的流转与使用。参与方应当根据《网络安全法》《数据安全法》《密码法》以及《网络安全等级保护条例》等规定采取必要的安全技术与管理措施,在可信的环境下进行数据的传输与存储,防止数据受到未经授权的访问、泄露或损毁。关于数据的安全加密和去标识化内容,可参考《北源研究 | 密码技术在个人信息合规中的应用与落地》。

(二)算法合规问题

在线广告的精准推送主要基于用户画像与推荐算法。《个人信息保护法》《互联网信息服务算法推荐管理规定》与《信息安全技术 个人信息安全规范》(GB/T 35273—2020)均对用户画像与算法推荐技术提出了合规要求。中央网信办牵头开展“清朗·2022年算法综合治理”专项行动,旨在落实算法推荐服务公正公平、规范透明要求,促进算法推荐服务向上向善,营造更加清朗的网络空间。

因此对于在线广告中的算法合规,尤其是流量供应方,应重点关注以下的合规要点:

1. 确保算法的规范透明,确保算法知情权和选择权。

(1)考虑通过政策、弹窗等适当的方式,公示算法的基本原理、目的意图和主要运行机制等,对于用户画像/标签处理等行为还应当征得用户的授权同意。

(2)提供在线广告时,应当同时提供不针对其个人特征的选项和向个人提供便捷的拒绝个性化推送的方式。例如APP的二级页面设置一键关闭个性化推送或者回复T或N拒绝广告推送邮件或短信。

2.确保算法的公平和公正,避免侵害合法权益。

应当加强用户模型和用户标签的管理,避免将违法和不良信息关键词记入用户兴趣点或者作为用户标签。此外使用该算法筛选广告目标人群过程,还需强化内审、评估和验证算法模型和应用结果,避免生成和使用违反法律法规或者违背伦理道德的算法模型,同时避免进行算法广告推送过程产生差别待遇和侵害未成年人和老年人合法权益的情形。

(三)Cookie合规问题

Cookie在程序化广告中尤其是Web端程序化广告发挥着重要作用,虽目前国内法律法规并未将Cookie进行单独监管,但若Cookie ID为已识别或可识别自然人有关信息的情况下,仍应遵守《个人信息保护法》等关于个人信息处理的规定。目前在隐私政策中明示Cookie的个人信息处理规则也已成为共识。但在司法实践中,Cookie ID能否构成个人信息也存在部分争议。如在著名的“朱烨诉百度案”案中,一审法院与二审法院对于cookie +“网络活动轨迹及上网偏好”能否识别到特定自然人产生了不同的观点。一审法院认为其属于个人信息,与之相反,二审法院认为这些信息无法识别特定个人身份,因此不属于个人信息。

在欧盟除了从个人信息保护角度进行规制Cookie外,《电子隐私指令》(The ePrivacy Directive)第2(5)条也要求处理Cookie前应当获取用户的授权同意。多国的数据保护监管机构已经基于GDPR等个人信息保护法律对不同企业违规使用Cookie进行了多次处罚,其中法国数据保护监管机构CNIL于2020年12月对于Google和Amazon违法使用Cookie的行为分别开出了高达1亿欧元和3500万欧元的巨额罚单。

四、结语

总体而言,在线广告各参与方应遵循合法、正当与必要原则等法律法规要求处理用户的个人信息和使用算法和Cookie的新技术。在保证合法合规的前提下,分析与挖掘数据带来的红利,方可保障行业的稳健发展。

参考文献:

1. 梁丽丽:《程序化广告:个性化精准投放实用手册》,人民邮电出版社2017年版;

2. 国家市场监督管理总局广告监督管理司:《2021年广告市场规模预计破万亿 第28届中国国际广告节在厦门开幕》https://www.samr.gov.cn/ggjgs/sjdt/gzdt/202112/t20211214_338057.html

3. 夜_雪:《广告实时竞价(RTB)系统》,https://www.jianshu.com/p/aa9a3371d598,最后访问:2022年3月7日

4. marrina:《cookie和cookie mapping详解》,https://zhuanlan.zhihu.com/p/27809598,最后访问:2022年3月7日

5. RTB China:《中国程序化广告技术生态图》https://www.rtbchina.com/china-programmatic-ad-tech-landscape,最后访问日期:2022年3月7日;

6. 张亚东:《在线广告:互联网广告系统的架构及算法》,清华大学出版社2019年版

7. 江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号,江苏省南京市中级人民法院(2014)宁民终字第5028号

 

作者:李黎、许瑞凤

(文中观点不代表北源律师事务所的观点或法律意见)