本文作者宋星系互联网营销与运营领域的资深数据专家,Martech和数据化互联网专业智库纷析数据科技(fenxi.cn)的创始人。
数据在营销和推广的中的作用空前重要,与此同时,数据和隐私的被侵犯,也成为公众最关切的问题之一。当你每天都收到无数的骚扰电话垃圾短信的时候,你很难不愤怒,到底是谁窃走了我的隐私?!
这种愤怒的情绪可能会蔓延,并且扩展到对于所有营销行为的质疑上,尤其对于互联网上的精准营销,更难免成为众矢之的。
可是,群体的情绪和事实的真象往往有很大的差异,但当情绪积累,就会腐蚀真相,并用盲目取代真相。
这篇文章或许不能“以正视听”,但希望帮助大家梳理脉络,让我们对哪些是好的、哪些是真正可怕的,有一个基本的认识。
一、红线
(图片来自网络)
什么是红线很重要,而且现在的红线,比过去几年要清晰多了。什么能做什么不能做,基本上已经比较明确。当然,在《中华人民共和国个人信息保护法》正式出台之后(现在这个法律还是草案,离正式实施还早),红线可能会更加清晰。
先看当下,红线主要划在两个事情上,第一“个人信息”;第二,非法处置了“个人信息”。目前很多的误解和争议,也都主要来自于这两点。
比如,2012年发布的《全国人大常委会关于加强网络信息保护的决定》的第一条:“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”。
又如,2015年《刑法修正案(九)》,明确了在履行职责或者提供服务过程中获得的公民信息出售或者提供给他人的应当重罚。
又如,2017年《民法总则》,明确个人信息受到法律保护,确立了个人信息的独立民事权利地位。
另外还有一些法律规定了侵害个人信息的量刑和法律适用等,这里不一一列出。
虽然法规不少,条款繁多,但总结起来还是“个人信息”和“处置个人信息”这两块。涉及这两块的,都很敏感,都不可以随便对待从而造成侵权甚至犯法犯罪。所以,两根红线,我们值得进一步解读。
二、个人信息
(图片来自网络)
对于“个人信息”具体指什么,不同的法律条款的表述不一样。
比如,工信部在2011年年末发布的《规范互联网信息服务市场秩序若干规定》,明确将“可识别性”作为个人信息认定的核心规则,并规定除了法律、行政法规等另行规定外,收集、使用、提供个人信息必须经得用户同意。这是第一次明确对“个人信息”进行定义,并且与今天大家公认的定义非常类似。
又如,两高一部在2013年联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》中明确公民个人信息包括能够识别公民个人身份和涉及公民个人隐私的信息、数据资料。同样强调了“能够识别”四个字。
又如,同样是在2013年,由工信部发布的《电信和互联网用户个人信息保护规定》规定个人信息包括用户识别信息和用户使用服务时间、地点等信息。与前面的法规相比,增加了用户使用服务的时间和地点等信息,说明这些信息同样是暴露个人隐私的敏感信息。这个其实也不难理解。
还有,2016年11月《网络安全法》(自2017年6月1日起施行),规定个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这个定义进一步明确了一种情况,即单一信息虽然不能识别个人身份,但是却可以由多个类型信息结合起来实现个人身份识别的,同样属于“个人信息”。
目前仍然是草案的《中华人名共和国个人信息保护法》则规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
2018年5月1日起生效的《个人信息安全规范》对个人信息也有定义,这一个安全规范尽管不是一般意义上的法律,但是一个已经被批准的标准,因为各个企业,尤其是互联网企业,是必须要遵守这个标准的,但也请注意,由于它不是法律,因此不遵守这个标准并不是说就是犯法,更不意味着犯罪。在这个规范标准中,对个人信息有迄今为止最为详细的定义,即以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
为了说明什么是个人信息,《个人信息安全规范》甚至用了一个附录做了详细列举,如下所示:
这些法律对于个人信息的定义具有一致性,即,可识别到个人的信息,无论是单独出现的,还是一个信息集合,只要能够识别到这个人,都属于个人信息。举一个例子,电话号码、身份证、邮箱、姓名、住址这些,毫无疑问是个人信息。而哈弗大学信息管理学院16级脚上纹了黑色玫瑰花的那个黑人女同学,同样也是个人信息,因为这个信息是一个集合,同样能够定位到这个个体。
还有,比如说指纹、面容、DNA信息等生物识别信息,是不是个人信息,当然也是!不仅是,而且特别敏感,属于必须得高度保护的个人隐私数据。这一类高度保护的个人隐私数据,在《个人信息安全规范》中被称为“个人敏感信息”,也做了详细说明,如下:
讲到这里,稍微强调一下,个人信息有两个很重要的特征,一个是识别,一个是关联。直接能够识别到某个具体个人的,是个人信息;不能直接识别,但是由具体的个人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)能够跟这个个人关联起来的,也是个人信息。这两个特征很重要,决定了我们后面要讲的很多具体的规定。
有人说,我这里有100个人的人群画像,算不算个人信息?这个已经都是100个人了,当然就不算个人信息了,安全性大大提升。但是,一个具体的个人的画像,那就毫无疑问是个人信息。
三、过去灰色地带,现在已经触及红线了吗?
这里的灰色地带,主要就是IMEI号、IDFA、MAC地址什么的,它们是否已经属于个人信息?
总体来看,这一部分较为倾向于属于个人信息,但仍然没有完全“盖棺定论”。或者这么说,国家已经基本上认定它们属于个人信息,只是没有一个法律白纸黑字经人大批准,但个人认为这是迟早的了。
现在,你可以这么认为,如果你要处置IMEI、IDFA或者MAC地址,你必须把它们作为个人信息对待。
那么cookie呢?是否属于个人信息?现在的法律对于cookie的情况不太明确,鉴于cookie本身很容易被删除、更新或者禁用,似乎不如IMEI之类的硬件标识敏感,但它确实又有我们前面所言的“关联性”特征,因此,我倾向于它属于不那么被重视,或者说不是那么大价值的“个人信息”。当然,这只是我的解读,国家尚无明确的规范。
你可能会说,如果没有IMEI、IDFA、MAC地址,还有cookie什么的,如果都是个人信息了,那咱们的互联网广告还怎么做,一夜回到解放前,什么精准定向,没啥可玩儿的了。
别急,即使是个人信息,也没有说就是完全不能用的。我们接着看。
四、个人信息是能够被使用的!
任何国家的任何法律,都没有说不允许使用个人信息,所有的法律和规定,都是围绕如何正确使用这些信息,而不是如何禁止使用这些信息。
这是一个大前提。所以,不要觉得个人信息是洪水猛兽,隐私是洪水猛兽。不是的,在法律规定范围内的合法合理使用,没有任何问题!
而且,现在是AI时代,没有数据搞什么毛线AI。国家不能够一边鼓励AI,一边禁止使用数据,这在逻辑上也根本说不通。
那么,要怎么使用才算正确的使用呢?这就涉及到最前面讲的第二根红线。
五、同意原则——使用个人信息的核心要点
任何经营活动,都难免会跟个人信息打交道,哪怕是线下开一个小卖部允许消费者赊账,那也得记录消费者的姓名和电话以备不时之需。所以,如果商业社会不能使用个人信息,商业文明就会崩溃。这是不能想象的。
但,与过去不同,你若要使用个人信息,现在必须要经过同意。
同意原则是你使用个人信息的起点。当然,也有例外的情况可以不经过个人同意就使用个人信息,一般都是涉及国家安全什么的特殊情况,这篇文章就不讨论了。
同意原则,包含三个类型:默认同意、明示同意和授权同意。按照《个人信息安全规范》的情况看,我们国家认可明示同意和授权同意,但是对默认同意则不太认可。
我们看看它们分别是什么意思。
- 默认同意:是指服务的提供方与你有一个协议,基于这个协议,只要你使用了这个服务,你就同意将你的个人信息提供给他们。默认同意非常容易被滥用,而且实际上并不一定等同于真正的征得了用户的同意,因此在《个人信息安全规范》中没有被认可。但坦率讲,目前这一块仍然在法律层面上属于灰色地带,留待未来的法律明确。
- 明示同意:在欧盟的GDPR上的用词是explicit consent,这一类同意的意思很明确,即应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。一旦获得了这一类同意,在协议范围内,你使用个人信息是合法的。或许你在银行里面申请信用卡的时候有遇到过,银行让你手写一遍“我完全阅读并理解上面的条款云云”,或者在结婚的时候,当着民政部工作人员的面读一遍结婚的誓词,这就属于明示同意。完全知情四个字,是明示同意的核心。明示同意在我国目前主要用于对于个人敏感信息的获取和使用上。
- 授权同意:与明示同意不同,授权同意的要求没有明示同意那么严格,即数据使用方确实很难确保每一个人都看了条款,或者都是完全知情的。但,与明示同意一样,该有的条款,该写清楚收集了哪些信息,用于做什么等等,一点不能少,只不过用户可以自己决定看还是不看,用户确实可以不看条款就勾选同意,那也算授权了。所以,欧盟基本上都是明示同意,但太严了,操作起来麻烦太多。我们国家至少目前还是认可授权同意的。
因此,最安全的方法,是获得明示同意,其次是授权同意。默认同意——尽管现在太多服务商在这么做,却存在很大的风险,可能在不远的将来就会等同于没有获得用户的同意,
六、使用个人数据的界限——同意让你使用,不代表同意让你给别人用
如果说同意原则是起点,那么有另一个极为重要的事情则是界限,即你获得了使用个人信息的同意,不代表着你能够将这些信息转给其他人。
如果你是阿里,你获得了用户的个人信息,并且在用户同意条款中明示了你会收集这些信息,用作互联网营销的精准投放。那么,这是否意味着你可以把这些个人信息数据拿去给某个广告公司使用进行广告投放?
如果你在同意条款中有写明将用于第三方广告公司的广告投放,那么问题不大。可是,这个第三方公司再把数据转交给其他媒体,这个问题就比较大了。因为,在个人信息的使用界限上有明确一条,即“个人信息的使用不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。”这个时候,这个广告公司,必须得再征得用户的同意,如果得不到这个同意,那么这个数据就不能再被转移给其他方。
当然,个人数据的界限中间还有一个非常敏感的领域,那就是数据出境。简单讲,无论如何,个人信息数据是不能出境的。否则,就是非常严重的问题。有多严重?你懂的,我就不多说了。
七、合理合法处置个人信息
谈到使用个人数据的界限,我们必然也要谈到收集、存储、转发、利用、消除等对于个人信息的处置。这些同样要遵循法律法规。
关于如何才算遵循法律法规,用大白话总结起来,有如下的一些要点:
- 你要用,可以,但是必须得明确告知。就是前面的同意原则。
- 你要用,可以,但是在没有经得同意的情况下,你不能给别人用。这就是数据使用的界限问题。
- 尚无准入机制:现在没有个人信息被收集和使用的准入制,即并不存在允许你收集,你才能收集的问题。但是,这个不绝对,未来的《中华人民共和国个人信息保护法》出台之后,情况可能会有变化,在这一草案中有明确一条:“非国家机关信息处理主体未经登记管理机关进行业务资格登记并发给执照,不得收集个人信息。”当然,我相信这一条会有很大很大的争议,而且表述的也不清晰,是什么登记管理机关什么业务什么执照呢?营业执照,还是业务执照,还是收集信息的执照?如果是后者,那是否又会延伸出很多更加复杂的问题呢,不得而知,但感觉非常诡异。
- 售卖个人信息获利违法:直接通过售卖个人信息属于违法犯罪!但这也分情况,一种是最典型的,我有很多个人信息数据,我卖给你,你给我钱;另外一种是我卖我自己的个人信息数据,你给我钱。后者不构成侵权。
- 未经许可泄露也违法:未经用户许可泄露个人信息同样违法法律!泄漏到境外去,更加严重!
说到这里,我们来看看未来法律可能会有,但是现在还没有实施的针对个人信息的合理处置的相关条例:
- 个人信息的所有权肯定会被明确。我倾向于认为所有权肯定是属于个人的。当然,比如涉及到国家安全或者一些特定情况下,个人信息肯定也会属于其他的组织,跟我们关系不大,我就不多讲了。
- 未来的法律会详细规定个人信息被处置的相关原则。包括:
- 知情同意原则:不符合法律或未经信息主体知情同意,不得收集个人信息。收集不需识别信息主体的个人信息,应当消除该信息的识别力,并不得恢复。
- 目的明确原则:个人信息的收集应当有明确而特定的目的,不得偏离有关目的收集个人信息。不得以欺诈、胁迫等其他不正当的手段获取个人信息。
- 限制利用原则:个人信息的处理和利用,必须与收集目的一致,必要情况下的目的变更应当有法律规定或取得信息主体的同意或其他正当理由。
- 完整正确原则:信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。
- 安全原则:信息处理主体应当采取合理的安全措施保护个人信息,防止个人信息的意外丢失、毁损,非法收集、处理、利用。
- 可追溯、可异议、可纠错原则:信息处理主体必须保障个人信息来源渠道和信息使用渠道清晰,确保个人信息可追溯、可异议和可纠错。
- 信息主体拥有对信息的处置权,但仅限于对自己的信息(这个当然是废话)。
- 个人信息相关的处置权利会包括:信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘,依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。比如信息决定权,是指个人信息权人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。信息可携权指信息主体有权就其被收集处理的个人信息获得对应的副本,并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。信息封锁权指在法定或约定事由出现时,个人信息权人得以请求信息处理主体以一定方式暂时停止或限制该个人信息的处理。
如何看待未来可能出现的法律呢(尤其是这个尚处草案的《中华人民共和国个人信息保护法》)?很显然,如果你对另外一部可称得上世界最严的个人信息保护法规有所了解的话,你就会发现二者有很多相似之处。我们下面看看这个法规。
八、目前世界最严格的法律是怎么要求的
(图片来自网络)
我们再来看看目前世界上最严的法律是怎么要求的。这个法律当然不是中国的法律,而是欧盟的GDPR。
GDPR规定了个人的数据权利,其中几点特别值得我们国家学习。(事实上从《中华人民共和国个人信息保护法》上来看,我们已经在直接学习了。)
第一点是被强化的同意/许可。
GDPR强调,必须经过个人的明确许可方能获、处理、使用这些数据。这样的许可不仅必须是清晰、明确、简明的,必须不能引起用户的误解、忽视,或是因为觉得麻烦而略过,还必须清楚地表明使用的目的、范围、产生的后果等等,以帮助用户进行判断是否应该授权。所有骗取用户同意的“花招”都不允许使用。此外,所有的授权都不再是一次性的,而是必须基于每一次“用例”,即每一次你需要用到用户数据的时候,都要征询用户的许可。消费者有权让数据处置方提供如下信息:数据处置的目的、数据类型、数据接收方的信息以及数据来源。
然后是访问权,即企业需要提供足够的便利和权限,让用户能够访问自己的全部数据,而且不应该收取用户任何费用。这些数据不仅仅只是访问,用户自己也可以不打折扣的全部索取(下载)。
限制处置权,即数据主体有权禁止数据处置方将其信息用于特定的用途,比如用于营销推广,或是禁止将这些数据转给任何第三方。
数据便携权,即数据处置者必须提供实际的保障,确保用户能够将这些数据按照自己的意志转移到其他的第三方,并且要么以通用的、机器可读的格式,要么以第三方可读的格式进行转移。
遗忘权,个体有权利要求掌握他/她的数据的人擦除掉关于他的所有的数据,不仅如此,那些被掌握这些数据的人散播出去的,也得一并擦除。
其他关于GDPR的内容,大家可以参考我的一篇专门的文章:【深度文章】迄今为止最清晰明了的解读GDPR——为什么让全世界都颤抖?以及我该怎么办。
从GDPR的这些核心内容看,GDPR同样不是禁止使用数据,而是要按照更严格的要求使用数据。
那么,要多么严格呢?我们以cookie这个具有代表性的数据为例,要如何处置cookie可以符合GDPR的标准。
九、合规就可以使用——以GDPR在cookie上的实施为例
GDPR并没有特别针对cookie的条款,但是根据GDPR的普通条款,cookie不能跟过去一样随意收集,而必须按照新的规范。
例如,我们常常在海外网站上看到的下面的这种提醒,实际上不再合规。这种类似于授权同意,但是表述也很不明确,即使在我们国家,也不属于符合规则。
而下面的这个关于cookie的弹窗,是GDPR合规的。
区别在哪里?
区别在于这个是明示同意。
上面这个弹窗,清晰明了的说明了cookie收集行为和它的目的——用于个性化的内容和广告,以及实现社会化媒体功能和网站的流量分析。不仅如此,还提醒消费者这些cookie信息也可能转移给其他第三方用于什么什么目的。因此满足了GDPR的“许可原则”。然后,这个弹窗给了用户权利选择cookie的应用领域,而不是直接选择接受或者不接受,即满足了GDPR的限制处置权。
当然,这个网站还必须提供入口,让用户随时删除这些cookie,或是能够让用户重新选择cookie的应用领域,以及每12个月,要重新获得一次用户的许可。
由此可见,GDPR不是简单的限制,更不是禁止,而是一个体系化的合规要求。GDPR允许利用cookie进行广告投放、网站分析等,只要你符合用户许可、限制、遗忘等权利的规定。未来,我们的国家肯定也会有类似的要求。
十、如果真的有“中国版”的GDPR
中国版的GDPR肯定会在不久的将来就会出现。前面提到的几个法规和标准,跟GDPR已经相当接近了。但总体还是比GDPR要宽松。
这个法律如果出台,我认为对当前的互联网广告环境有一定冲击。
首先,部分披着大数据的皮倒卖个人数据的公司必然要转行。这些本来就是在灰色地带生存的,不来就不合理,它们在未来的日子绝对不好过,除非真的把刑法当赚钱的方法。
其次,获取用户的同意会成为非常关键的一环,不过,比GDPR要好,我们还是可以用授权同意。在这个角度上,我相信会损失相当部分的个人信息数据,尤其是IMEI这些,也不能随便用了,但授权同意相对还是容易获得,也不至于是灭顶之灾。广告行业应该更好的做好准备,更坦诚,更透明,更规范,从而能够确保合理合法的收集和使用这些数据。
不过,更完善的法律通过规范整个行业的行为,也有利于业务开展和行业发展。正是因为法律不健全等原因,所以国内其实没有真正意义上的服务于数字营销的数据交易平台。未来法律如果更加健全,数据的使用可能反而能变得更加开放。并且,一部清晰明确的法律,对于统一认识、避免误解、粉碎谣言有巨大的价值。
十一、去特征化
另外,看看大家常说的另外一个问题——去特征化,或者是我们常说的“脱敏”,能够极大程度降低违反个人信息保护相关法规的风险。
当然,去特征化肯定是在获得了个人信息数据之后,因此,在获取这一项上,仍然需要符合前面所说的标准和法规。
不过,如果你获取了相关个人信息之后,进行了彻底的去特征化——数据再也无法对应到个人了,也对应不到任何个人信息了,是否就可以不受个人信息法规约束进行使用了呢?答案是肯定的。
去特征化的方法很多,删除敏感信息、加密等,都是常用的方法。
十二、一些具体应用场景的合规性问题
文末,关于大家争议特别多的领域,我们看看按照现行的法律是否违规。
- 利用APP监测添加的SDK获取的device ID进行精准营销,比如talkingdata、友盟帮助app追踪匿名用户行为获取的device ID,并将这些device ID用于第三方的展示广告推广。——除非明确告知并获得同意,否则已经违规,如果未经允许将device ID和用户的电话对应起来拨打骚扰电话或发短信,更是违规。
- Wifi探针——获取MAC地址并利用MAC地址定向投放广告与上同理。
- 基于cookie监测网站匿名用户行为、基于unionID或者openID监测微信公众号或者小程序匿名用户行为、基于device ID监测app上匿名用户行为等,在告知用户并获得同意后均不违规,如果没有,目前比较灰色,但按照前面的标准,有很大的违规的嫌疑。
- 在阿里的品牌广告数据银行或者腾讯社交广告DMP等进行基于device ID或者MAC等进行精准广告推广或者再营销,经过用户同意,不违规。
- 按照一定的号段随机拨打用户的手机号码进行广告推销,不算个人信息泄露,但涉嫌扰民,情节严重的,可能会算违反治安管理条例。但有些推广电话,知道你姓字名谁,涉嫌倒卖公民个人信息和电信诈骗,违法。
- 经过个人同意,并签署协议的用户调研、panel等所获取的个人信息,只要没有超过协议的范围,不违规。
最后,个人信息和数据隐私保护是非常复杂的话题,错谬难免,敬请读者朋友们指正。