广告监测一直是广告主投放广告时,最需要依赖的工具,因为品牌广告主的费用结算,都是以第三方监测公司提供的监测报告作为结算依据的,同时,第三方监测公司还可以提供多业务指标多维度的分析、归因以及防作弊等服务。
以品牌广告主为例,其在媒体平台上投放广告并且选择了第三方监测公司进行广告监测,在这个业务场景下,媒体平台会按照双方协商好的字段,将投放的日志数据(包括广告展示记录、视频播放记录、设备信息等)回传给第三方监测公司。
随着《个人信息保护法》的颁布,品牌广告主非常关心监测数据从媒体平台回传给第三方监测公司的合规性问题,本文将着重分析媒体平台与第三方监测公司之间数据共享的合规性。
01 两种方案的对比
在《个人信息保护法》发布实施前,GB/T 35273-2020 《信息安全技术 个人信息安全规范》(下称“35273”)是业界主要的参考文件, 35273中b)9.2条提出了要求“向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外。”按照上述规定,媒体在开展广告监测服务时,应披露共享或转让个人信息的目的、数据接收方的类型及相应的影响,经过单向散列函数加密等方式处理,数据接收者单方面无法再次识别的个人信息除外。
《个人信息保护法》(下称“个保法”)则是对向其他个人信息处理者提出更为严苛的要求,第二十三条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”相比35273,个保法进一步要求详细披露第三方的身份及联系方式,处理方式和个人信息类型,并取得单独同意。同时个保法第四条规定,个人信息不包括匿名化处理后的信息。也就是说,只有匿名化处理后的信息在向其他个人信息处理者提供时,才能免于上述合规义务。
以上两种方案,在个保法实施之际,成为了与外界讨论的焦点,
02 基于隐私政策的现状调研
为帮助进行进一步分析和探讨,我们统计了100家与我们对接的媒体平台的隐私政策中关于共享条款的写法,大致分为三类:
1、详细披露接收方名称
2、披露接收方的类型
3、概括披露授权合作伙伴
三类写法所占比重如下:
具体示例如下:
1、详细披露接收方名称的隐私政策示例:
2、披露接收方类型的隐私政策示例:
3、概括披露授权合作伙伴的隐私政策示例:
可以看出,15.48%的媒体平台详细披露了接收方名称,但也存在披露不完整的情形,比如只简单罗列了几个接收方名称,其余的用“等”字概况了;70.24%的媒体平台详细披露了接收方名称;还有14.28%的媒体平台概况披露了共享给合作伙伴。同时,大多数媒体平台强调了共享的是匿名化或去标识化处理后的信息。综上分析,第2种做法与35273提出的实践思路相似度高,只是程度不同,第3种做法也采纳了35273中的去标识化后免于同意作为其共享的机制,然而由于写法过于粗略无法判断是否真的做到了避免接收方能够识别。第1种做法可以说是与个保法中的告知要求更为接近,但还是缺少联系方式等内容。总体上看,上述隐私政策的案例恐怕还是距离个保法所要求的“详细披露第三方的身份及联系方式,处理方式和个人信息类型,并取得单独同意”有不小差距。
03 面临的困境和解决思路探讨
面对上述差距,媒体平台需要更新政策、完善授权机制,然而所面临的困境也非常明显,主要有以下问题有待解决:
1、如果要披露接收方联系方式,如何披露,是否需要取得披露方许可?
2、如果共享的是个人信息,那么如何取得单独同意?
3、如果共享的是匿名化信息,那么如何界定匿名化?
带着第1个问题,我们又调研了App Store前50名免费APP的隐私政策,想看一下各家都是怎么在共享个人信息时取得单独同意的,但发现,,截至目前,APP仅在收集敏感个人信息时,会在收集页面要求用户再次主动点击同意授权协议、服务协议、隐私政策等相关协议作为单独同意,这个比例占76%,目前还未发现在隐私政策中已经明确了共享个人信息时会采取单独同意的机制。
带着第2个问题,我们在《信息安全技术 个人信息告知同意指南》(送审稿)(下称“告知同意指南”)找到了比较有可执行性的解决方案,告知同意指南第9.3条给出了先评估—再形成执行单独同意的清单—并以明示同意的增强告知方式充分告知的单独同意基本步骤,同时,针对特别业务需单独同意的场景,可采用单独的交互式界面或纸质界面告知,并提供可分项选择同意的机制,如勾选、点亮等方式,在向多个其他个人信息处理者提供个人信息时,如果提供个人信息的目的、方式、种类等一致,可以在告知内容中逐一列举接收方的身份和联系方式,由个人信息主体一并进行同意,这是目前为止,关于单独同意最明确的指导意见。
带着第3个问题,我们回顾一下欧盟第29号工作组《关于匿名化技术的意见》(下称“意见”)中关于匿名化的界定,匿名信息是一种消除了个人数据的“已识别”和“可识别”属性而得到的处理结果,其目的是不可逆转地防止识别数据主体的身份,总结下来,“无法识别”和“无法还原”是匿名化的两个重要特征。意见同时列举了随机化、泛化、假名化等匿名化技术,但没有规定具体到底哪种匿名化技术是有效的,主要是根据以下三个标准来判断每种技术的有效性:
▽识别:是否仍有识别(single out)特定主体的可能性;
▽关联:是否仍有关联(link)到与个人有关的记录的可能性;
▽推断:是否能推断(inffer)岀有关个人的信息。
由于国内已经出台的法律法规、标准规范等对于匿名化的判定标准还缺乏明确的指导意见,那么媒体平台所采用的“匿名化技术”到底是否具有有效性还有待观察和考证。
除此以外,在广告监测的场景下,品牌广告主通常是和第三方监测公司签署合同,并要求第三方监测公司作为数据接收方获得最终用户的授权同意(间接授权同意),而第三方监测公司面临的困境是,其所获得的间接授权同意则取决于媒体平台是否在隐私政策中做了符合个保法第二十四条的详细披露要求。这就让合规工作必须要有多方需达成共识的前提,而这样的前提有进一步增加了合规的复杂度。
这些困境到底如何解决,恐怕需要媒体平台和第三方监测公司共同协商,拿出了一个既能满足品牌广告主的合规要求又能有效保护个人信息的方案。
(本文作者:北京腾云天下科技有限公司 葛梦莹)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。