《新零售企业数据合规之广告精准营销合规.docx》由会员分享,可在线阅读,更多相关《新零售企业数据合规之广告精准营销合规.docx(3页珍藏版)》请在优知文库上搜索。
1、新零售企业数据合规之广告精准营销合规作者:吴月琴(华诚律师事务所)发布日期:2024.02.27一、引言在广告精准营销的场景下,通常会使用到用户数据收集、自动化决策等。随着广告监管力度不断加强,如何在做好营销的同时,又避免可能存在的法律风险,是新零售企业当下值得关注的问题之一。二、广告精准营销环节及场景什么是广告归因广告归因通常用于确定一个广告在多个媒体曝光/点击并发生转化后效果的归属的一套逻辑或者规则。企业必须清楚了解自身常用渠道平台之间的数据差异问题,确保能够从多个角度看待数据,综合分析归因制定营销计划,才能推动转化率。例如,了解用户通过何种渠道下载APP或完成交易,用户如何与APP进行交
2、互等。归因就是把转化分配给消费者转换途径中的各个触点,通过了解消费者采取您希望的动作时该归功于哪个广告,您可以妥善衡量广告成效,并针对未来的销售规则制定出最佳决策。哪些个人信息可用于广告归因实现广告归因,企业一般需要收集能够反映消费者行为特征的消费者行为信息(如浏览记录、页面点击记录)和能够识别到具体消费者的设备信息或手机号。其中,对于后者,我们通常也可阐述为广告ID,广告ID并不是一个固定的概念,只要能代表用户唯一性的证据,都可以作为广告ID使用。在网页广告中,广告ID一般就是网站COokie,网站开发者通过向用户的浏览器Cookie中写入一个允许过期的字符串来作为记录用户唯一性的凭证。在移
3、动设备上,通常会使用到设备识别码,例如DIEI、MEID,固定MAC地址、UDID.AndroidID、IDFA、IDFWOAID等。其中,IMEIMEID、固定MAC地址等一般属于不可变设备标识(见TTAF077.5-2022APP收集使用个人信息最小必要评估规范第5部分:设备信息第6条“设备信息类型”),而IDFA、IDFV这些则属于可变设备标识。此外,结合目前的监管趋势和应用商店的做法,企业越来越多仅通过可变设备标识符来用于广告投放、效果监测、转化度量、广告反作弊等场景,只有在特定场景下才会用到IMEI等不可变设备识别号。此外,企业还需要明确的一点是,广告归因并不属于大部分APP提供的基
4、本功能范畴。对于访客而言,是有权拒绝企业收集其设备信息、行为信息进行广告归因,并且不影响其正常使用APP的基本功能。因此,通常情况下我们会建议企业在隐私政策中对于收集设备信息、行为信息等进行披露,并且声明广告归因行为仅在统计、集合数据层面进行分析,用于评估广告投放效果和优化广告投放策略,而不会针对某个访客个体进行用户画像分析或重定向(retargeting)。哪些个人信息可用于个性化内容呈现和个性化信息推送新零售企业通常为了满足消费者基本交易功能,会收集消费者的支付、收件等信息。同时出于更好地引流、打磨用户画像等目的,往往会制定一套消费者会员体系,并基于此收集消费者的基本个人信息、消费偏好、行
5、为信息等。在这一过程中,新零售企业应当注意,收集会员个人信息时,一方面需获取消费者的明确同意(某些个人信息还需取得单独同意),另一方面,所收集的会员个人信息仍然应符合个人信息保护法最小必要原则。对于访客,APP提供的基本功能为网上购物。按照网信办、工信部在2021年发布的常见类型移动互联网应用程序必要个人信息范围规定和市场监管总局信息安全技术移动互联网应用程序(APP)收集个人信息基本要求,必要个人信息包括:用户手机号码、收货人信息(姓名、地址、联系电话)和支付信息。对于会员,除了网上购物基本功能,通常还会收集其其他基本个人信息(比如生日、所在城市、邮箱等)以便向会员提供生日福利、相关活动推送
6、等。为了提升会员用户体验,APP会收集其行为信息(例如浏览记录、点击记录、加购记录等)为预测其消费偏好,进而为其呈现或推送感兴趣的产品、服务,提高会员用户的决策效率。三、自动化决策什么是自动化决策根据个人信息保护法第24条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决
7、策的方式作出决定。个人信息保护法第73条对“自动化决策”下了定义,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。实践中,自动化决策的应用场景十分广泛,例如征信机构根据用户的消费及还款情况自动决定个人征信及贷款额度、根据高速行车超速情况自动出具罚单等。对于互联网平台、零售企业而言,自动化决策通常和“用户画像(PrOfiIing)紧密结合,使用方式包括个性化推送/呈现(即“千人千面”)。总体来看,个人信息保护法对于自动化决策的规制出发点在于保护消费者(同时也是个人信息主体)的合法权益,与电子商务法第18条紧密相关(后者用于规范“用户画像”行为
8、)。从上述定义来看,个人信息保护法规制的“自动化决策”在法律逻辑上通常可以切分为两个环节,即“分析、评估”和“决策”,尽管实践中这两个环节有可能重叠为一个动作。有不少企业、学者认为个人信息保护法下的“自动化决策”必须是完全无人工干预。但事实上,目前为止个人信息保护法及其他相关规定、解读并未提供清晰说明。实践中,我们一般认为结合个人信息保护法第24条文义,可以看出自动化决策的核心是“决策”这一结果是自动化实施且已对用户形成了一定的影响。如果有人工干预,只要该干预不影响“自动化决策”的结果形成,则仍然应当构成“自动化决束o何时需要提供选择退出(OPtPUt)机制根据个人信息保护法第24条规定,企业
9、如果基于自动化决策进行营销信息推送或者个性化内容呈现的,应当提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式(即OpLout功能)。如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求企业予以说明,并有权拒绝企业仅通过自动化决策的方式作出决定。实践中,不少使用自动化决策进行商业营销的互联网平台企业和零售企业会在移动应用程序加入OPLoUt功能,一旦用户选择OPLoUt,企业就会停止基于自动化决策向其进行商业营销。但也有不少企业在实践中采用了OPLin的方式(例如,在APP登录界面或某些功能页面增加弹窗去主动获取关于个性化推荐的同意)。从法理上看,OPLin机制能够为企业使
10、用自动化决策方式进行精准营销提供合法性基础,但从另外一个层面来看,Opt-in和OPt-OUt木质上属于两个不同的权利(前者属于知情同意权、后者则属于撤回同意权)。因此,企业开发者在APP前端主动获取用户关于自动化决策的同意,不代表可以免去在设置中提供OpLout的功能选项。事实上,对于国内企业而言,由于目前大部分应用商店在审核APP上架或更新时,对于提供个性化推荐功能的APP,会重点关注APP设置中是否有相应的OPLOUt选项功能,哪怕企业在Ul界面已提前设置弹窗获取用户同意,仍然角度考虑,更建议企业使用OPtpUt模式。可能被应用商店要求添加OpLout选项功能,否则就面临被下架的风险。因
11、此从风险规避吴月琴(华诚律师事务所)邮箱:cathy.WUVatSOn-华诚合伙人律师吴律师执业领域为信息安全与知识产权、金融以及公司商事,担任多家跨国集团公司、国有企业、大型机构、创新企业的常年法律顾问,提供全方位的法律合规意见,包括商业模式、经营资质、运营风险评估、合规建议等。吴律师近期与国外事务所合作,为多家企业提供涉及跨境数据合规(包括GDPR)、网络安全、个人信息保护、知识产权保护的综合法律服务,涵盖互联网、金融、汽车、医疗、快消、软件、咨询培训行业。吴律师是ITECHLaw的会员以及INTAChinaBUlIetin分委会的主席。华诚律师事务所自1995年成立以来,华诚已经发展成为一家拥有超过200名专业人士、能够提供全方位服务的律师事务所。华诚的高品质服务理念以及全方位服务范围,使得众多世界知名公司在寻求各类法律意见时,将华诚作为首选。一向秉持提供优质服务的华诚,拥有专业化的团队,能为客户提供多样化的服务,享有全国最优秀律师事务所的美赞。