2018 年 5 月 25 日,欧盟发布的「通用数据保护条例」(GDPR) 正式实施。这一被称为「世界最严数据法律」的实施,意味着诸多不确定性,引起了数字媒体和广告行业的广泛关注。
GDPR 的适用范围不限制企业实际数据处理行为是否在欧盟内进行,非欧盟成员国的企业 (包括免费服务) 只要满足下列两个条件之一,就受到 GDPR 的管辖:
1. 为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息。
2. 为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息。
中国目前尚未进入欧盟认定的「具有适当数据保护水平的国家」名单,而且目前国内政策不明朗,这无疑增加了中国企业违规的风险。这对希望出海的中国企业来说,将迎来巨大的挑战,将深刻影响在欧盟区的业务运营策略。
此条例,同样也对中国企业的移动应用安全,以及数据收集、处理和交易业务带来警醒。目前中国企业对 GDPR 的态度「分化较明显」。一方面,有很早就开始为 GDPR 做准备的企业,主要是一些大型的互联网或物联网公司。他们既有动力要保住欧洲市场,又有财力负担合规成本。但另一方面,也有大量企业并对 GDPR 抱有侥幸心理。
为引起行业对于 GDPR 的重视,第三方数据服务商复歌科技发起了针对 GDPR 话题的线上讨论,邀请了数字营销行业各自领域的代表公司参与讨论,受邀公司有:FancyDigital 泛为科技、美数科技、TalkingData 和猎豹移动。复歌科技作为发起方提出了 5 个问题,各家公司都分享了独具洞察的看法。
以下是复歌发起的探讨内容:
1. 随着 GDPR 的生效,企业有大量的合规工作要做,你们认为哪些是最重要的?
FancyDigital 泛为科技:我们主要服务的对象是全球大品牌主面向中国市场的营销投放,虽然业务不受此条例影响。但也建议相关企业首先要针对 GDPR 开展尽职调查,评估目前业务情况需要做出哪些调整;其次,GDPR 要求企业对数据的处理活动有详细记录,因此企业需要对内部及外部数据流动情况进行审查和配置,确保传输机制合规;第三,GDPR 很重要的是针对个人权益的保护,因此需要建立确保个人能够有效行使权益的规程。本条例的出台,还针对数据保存数据质量进行了严格规定,因此对许多涉及欧盟业务的企业来说,会涉及到重新开发或规范化程序。
美数科技:首先,要树立数据安全和隐私保护意识;其次是提升自己的大数据能力,包括数据获取、管理、利用和保护的能力;第三是无论如何标定数据,都要先建立删除和解除跟踪分析的机制,给个人以自主权和控制权;第四是加强数据管理过程中的数据控制和数据安全保护的措施,通过实时或基本实时的进行安全检查或加密访问等方式对数据进行保护;第五是坚持所有数据的使用都必须是脱敏和非具像化的。
猎豹移动 ADX:作为全球领先的应用开发商,猎豹拥有全球海量用户,其中欧洲用户比重不可小觑。GDPR 中包含了对用户多项权力的保护,包括用户个人数据访问权,清除权,纠正权,广告拒绝权等。针对每一项权力各个产品部门都做出了大量功能开发来使之符合条例,其中最重要的当属个人数据访问权及广告拒绝权。前者是所有数据采集及后续活动的基础,我们需要获取用户同意才可进行数据搜集以及后续的营销活动;后者则是和广告营销最为密切相关的一项权利,同时也是最直接关乎用户体验的一项。
2.GDPR 扩大了对个人数据的定义,对公司现有的营销业务将带来什么样的影响?
TalkingData: GDPR 要保护的对象的确是个人数据处理,以及数据流通过程中所涉及的自然人的基本权利,这也是 GDPR 的立法目的之一,而另一个立法目的则是促进个人数据在欧盟境内的自由流通。这对营销行业的影响是正面且积极的,可以促进营销业有序发展。GDPR 中规定可以通过 GDPR 规定的认证机制或考虑遵守认证准则的情况判断数据处理者的资质,欧盟有很多实践中形成的认证保护机制,像广告联盟,Google、DSP 有一个标 private security,就可能会再延续成为 GDPR 项下的一个机制。企业可以以此证明其具有合格的数据保护水平,从而在整个欧盟范围内开展数据处理业务,同时,此标识也可以向公众证明其数据保护的优势地位。
FancyDigital 泛为科技:目前在国内,虽然有互联网广告相关法规,明确提出了数据不可以作为资产被交易,但尚未专门针对数据的细则出台。而 GDPR 对于个人数据的定义,在具体营销中,针对于某些追求效果的营销投放来说,将会受到比较严峻的考验。
泛为科技的主要业务是服务于品牌广告主,品牌营销是基于脱敏数据进行广告投放来影响用户的,通过机器学习算法针对用户数据的智能分析,进行投放优化,尚未受明显影响。
3. 在不明确程序化广告公司是否有合法权益的情况下,将对欧盟区的业务有什么影响?
美数科技:这种情况下肯定使得欧盟区的业务风险加大。所以必须谨慎的开展业务,避免出现针对个人行为的追踪和定向,而是尽量采用群体特征的方式来进行精准投放。但是这样肯定会增加效果广告的成本。
猎豹移动 ADX:猎豹移动不仅是应用开发商,同时有着行业领先的数字广告交易平台,欧洲是效果类和品牌类广告主十分热衷的地区,欧洲区在其中占到的收入比重不容忽视。由于广告行业很大程度上依赖基于用户画像的精准营销,GDPR 对我们的影响非常大,我们将从各方面展开工作积极应对,包括协同各部门的数据合规工作、调整产品功能、对供应商展开尽职调查等。
4. 面对 GDPR 的严厉惩罚条款,你们对客户和供应商的选择将有什么考虑?
猎豹移动 ADX:对于两端,我们都需要在 GDPR 方面做出积极密切且严肃的沟通。供应商方面,我们会签订有关 GDPR 的补充合约,保证外部开发者流量的合规。如果暂时无法满足 GDPR 的要求,那我们暂时先关闭这部分流量直至其满足上线要求。当然也包括一部分开发者,特别是欧洲流量占比并不多的开发者主动放弃这部分市场。但我们,作为开发者以及平台,需要保证我们平台欧洲流量是 GDPR 合规的。客户方面,对近期有欧洲投放需求的广告主,我们会事先告知因 GDPR 因素可能导致的流量不足或不稳定情况发生,同时也会给出期间的预估的流量保证客户知情并对广告效果有合理的预期。
FancyDigital 泛为科技:数字营销分为效果和品牌两大类。效果营销追求的是转化率,需要能通过营销投放过程中发生的用户行为,得到用户授权提供的相关数据信息。泛为服务主要专注于品牌营销,我们尊重并保护每一位用户的数据财产权益。因此,我们的业务基于对用户大数据的智能分析,希望通过营销投放,触达用户心智,达到品牌价值的有效曝光、传播最大化。并不影响我们对服务客户的选择。在上下游供应商选择上,比如与复歌、TalkingData 的合作,我们在对数据的分析、监测、甄别,以及前端技术探索方面,一直也来也都是基于共同理念进行合作。
TalkingData: 我们对于客户的选择不受影响,同时,我们会协助客户解答他们对 GDPR 的疑问,同时帮助其在使用我们产品时,要求其对自身是否符合中国、欧盟及其他相关地区法律的合规要求做评估,例如要求客户说明其个人信息采集、保存、使用、共享、转让、公开披露等个人信息处理活动,以符合监管部门保护数据信息安全的原则和要求,另外,建议客户在产品和服务开发的早期阶段就将 GDPR 下的数据保护机制嵌入其中,并且在数据处理过程中对个人数据做匿名化处理,以确保在保护个人数据的前提下进行数据业务的创新。
5. 目前国内针对用户数据保护是怎么做的?如何在对数据脱敏的同时,进行跨屏投放?
FancyDigital 泛为科技: 目前国内没有正式的数据保护及监管具体细则出台,企业的常规做法是对数据进行清洗和脱敏使用。参考 GDPR 的趋势,用户隐私数据范围变小,大量个人行为数据开放就成了趋势。目前在国内,市面上的 DMP 是符合数据保护要求的,比如营销投放过程中,通常是将用户手机号转成设备 ID 的进行识别。将设备 ID 与实时 IP 的匹配,是整合营销的常用方法。这一过程,应该避免线上数据被最终关联到线下个人。
目前以谷歌为例,在其投放中,需要用户授权的广告会有相应提示,将选择权回交给用户。这需要媒体、技术公司及品牌主多方共同推进。随着我们现在在对广告的营销理念已经是向有需要的用户传递有用的讯息,而在未来,相信会形成用户需求与广告目标的一致。而这种授权数据,精准度也将更高。
美数科技:国内针对用户数据的保护,比较好的实践措施是:第一,严格执行数据的收集、管理和使用的过程;第二,对数据加以脱敏并加密,做到不可反解和不可具体跟踪到个人;第三,选择与专业的数据安全保护公司进行合作。
做到针对个人的跨屏投放本身就是困难和效果有限的。通常我们的做法是用群体特征识别的方式提高跨屏投放的概率,而非采取针对某个人绑定多个设备的具象化方式。
结语
复歌科技希望通过发起探讨的方式,引起行业对 GDPR 的重视,促进企业建立遵守数据隐私法规的文化的同时赢得消费者的信任,帮助中国企业出海,共同开拓国际市场,推动国内数据应用市场合规发展。应对 GDPR,复歌科技的建议是:1. 明确自身企业适用 GDPR 条例;2. 协同各部门提高数据保护的合规水平;3. 加强数据治理,提高数据质量;4. 对供应商开展尽职调查。
浙公网安备 33010502000682号