近年来,从电话营销、短信广告,到用户感到被APP“窃听”,广告营销触达的样式繁多,相关数据处理日趋复杂,对数据合规形成极大挑战。本文将从数据保护的角度,分析当下热门营销方式中消费者数据合规的三个主要问题。
广告营销领域中,消费者数据合规的关键是个人信息的合规处理,其中识别消费者数据中的个人信息便是合规的第一步。
《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《个人信息保护法》之外,《网络安全法》第76条、《民法典》第1034条也对个人信息进行了定义,[1]识别自然人可分为单独识别和与其他信息结合识别两种方法,“单独识别”对应着“已识别”,“与其他信息结合识别”则对应着“可识别”。
因此,可以从“识别自然人”的角度正面推理某些信息属于个人信息,亦可从“匿名化处理”反面推理某些信息不属于个人信息。
虽然《个人信息保护法》《网络安全法》《民法典》等法律规定了个人信息的定义,但是未对“识别”这一概念进行阐释,致使确认个人信息缺乏可操作性,特别是关于“可识别”类型的个人信息。
对此,国家标准《个人信息安全规范》给出了具体的识别方法:
司法实践中,有法院采纳了《个人信息安全规范》的识别方法,北京市互联网法院还将采纳该观点的(2022)京0491民初22720号案件选为2023年度十大典型案件。
具体到实际操作中,“已知特定自然人”是一个关键要素,可以影响甚至决定某项信息是否属于个人信息。例如,在(2021)鄂11民终3136号案件中,信息处理者收集了手机号、IP地址等信息,了解用户身份,在此基础上收集用户的浏览记录,该浏览记录反映了用户的网络活动轨迹,法院即认定浏览记录属于个人信息。与之相应,在(2014)宁民终字第5028号案件中,不存在“用户”的前提下,信息处理者仅对浏览器的浏览记录进行处理,法院认为浏览记录已经与用户身份分离,无法确定具体的信息归属主体,浏览记录便不再属于个人信息。
因此,对于浏览记录等不能直接识别自然人身份,但可以关联到自然人的信息,需要根据该等信息的具体处理场景判断,如果信息处理者已经通过用户注册、手机号验证等渠道了解了用户身份,该等信息能够与用户相关联,那么该等信息便属于个人信息,反之则不属于个人信息。
《个人信息保护法》第4条规定匿名化处理后的信息不属于个人信息;第73条又对匿名化进行了定义,即指个人信息经过处理无法识别特定自然人且不能复原的过程。
对于信息处理者而言,如果能将个人信息进行匿名化处理,后续处理该等信息则无需取得用户同意,数据利用的主要法律障碍不再存在。关于“无法识别”,通过《个人信息安全规范》设置的路径可以进行分析,但“不能复原”是匿名化处理的难点。
对此,《个人信息保护法》第73条还规定了一个相关概念“去标识化”,指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。从定义上看,“借助额外信息”能够识别特定自然人属于去标识化,那么借助额外信息仍然无法识别,是否就属于“不能复原”进而达成匿名化呢?
事实上,业内对去标识化与匿名化并无严格界分,二者都是通过技术手段对信息进行脱敏处理,以实现对内容的保护。[2]
基于此,笔者认为需要对两类个人信息进行分别判断。对于能够直接识别出自然人身份的个人信息,应当主要从技术手段分析。因为该等信息能够直接识别到自然人,只有不再保留相关原始数据或者让原始数据受损的情况下,才能达到“不能复原”的效果;对于浏览记录等无法识别出自然人身份,只能通过已知自然人身份进行关联的个人信息,则主要通过信息处理的场景进行分析,如果在该等场景下,已经对已知自然人的信息进行脱敏,且接触该等信息的主体无法通过第三方信息识别到自然人,那么该等脱敏手段则达到了匿名化效果。
实践中有法院持有类似观点,(2021)粤0192民初928号案件中,法院认为,车况信息无法识别到特定自然人,虽然存在通过第三方信息与车况信息结合识别到特定自然人的可能性,但一般理性人在实现上述目的时会综合考虑行为成本。信息处理者采用脱敏化技术传输数据,降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。在车辆交易场景下,案涉车况信息与其他信息结合进行关联识别的可能性较低,不能以此认定为个人信息。
因此,与正向认定个人信息的逻辑类似,通过匿名化处理反向认定个人信息时,依然需要考虑匿名化处理个人信息的场景,只有该场景下的信息处理者无法或难以通过第三方信息识别自然人时,才能认定有关信息不属于个人信息。
取得用户同意一直是数字营销的难点,毕竟没有人愿意被营销短信、电话推销与广告打扰。绕开用户同意是有关厂商的抗辩方向,但难度极高;完善同意机制也是有关厂商的合规重点,但结合实践,效果也不甚乐观。
根据《个人信息保护法》第13条,除了取得个人同意之外,基于订立或履行合同所必需、履行法定职责或义务所必需等6项情形下,信息处理者无需取得个人同意即可处理个人信息。
通过简单分析,商业营销一般不涉及履行法定职责或义务,也不涉及公共卫生突发事件、自然人生命健康与财产安全、新闻报道与舆论监督等事项,可能性较大的场景是“履行合同所必需”或“处理公开个人信息”。
关于履行合同所必需,笔者认为,用户与信息处理者之间为网络服务合同法律关系,让公众烦不胜烦的营销多数情况下并非网络服务,因此无法适用履行合同所必需的合法性基础。相关司法实践也持类似观点,(2022)京04民终494号案件中,北京四中院及北京互联网法院认为,履行合同所必需的范围,应限定在网络运营者提供的基本服务功能,或用户在有选择的基础上自主选择增加的附加功能;对用户画像信息进行收集的目的并非用于支撑其基础服务功能,亦无证据表明用户曾自主选择使用该项功能,故不能适用履行合同所必需。
关于处理公开个人信息,公开的个人信息虽然公开,但往往存在于其他网络经营者的网站上,通过爬虫手段处理其上的个人信息用于营销,可能构成侵权行为。如果是网络经营者本身进行营销,则又不限于处理该等公开的个人信息,处理用户的操作、浏览等数据,仍需取得授权或适用其他的合法性基础。
因此,除了取得个人同意之外,其他合法性基础在营销领域的适用存在明显障碍。只要营销涉及用户个人信息,取得用户同意几乎成为合规的必经之路。
在营销领域,主要的场景是广告主为拓展业务,通过第三方渠道进行营销。第三方渠道进行信息触达时,则需要取得用户同意。以信息流广告为主的科技平台可以通过隐私协议的方式取得用户同意,但传统的短信、外呼渠道缺少自营产品,难以取得用户同意。
另一方面,为求营销的准度,无论是信息流广告还是传统的短信、外呼渠道,第三方渠道都需要融合包括广告主在内的多方数据源,易触发《个人信息保护法》第23条规定的向第三方提供个人信息的条件,此时包括广告主在内的数据源均应取得用户的单独同意,才能将用户信息提供给第三方渠道用于提高营销精度。
《个人信息保护法》并未规定如何取得用户的单独同意,国家标准《个人信息处理中告知和同意的实施指南》对单独同意给出了定义:
个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。
注:单独同意的告知内容与取得同意的方式需与其他处理活动予以区分。
如果严格执行上述单独同意,则数据源主体每次向不同的第三方渠道共享数据时,均需要单独向用户取得同意,影响用户体验和产品的设计。
实践中,用户时常感到自己被APP“窃听”,可能是由于各大APP之间的数据共享,通过手机设备码归拢各APP的用户标签形成用户画像,由其中一个或多个APP进行信息流推广。这种场景下,各大APP已经定位了某个用户,根据“可识别”的认定流程,相关用户标签此时属于个人信息,但笔者从未看到过相关APP征得单独同意。
类似情形下,也有方案可以使数据源公司免于征得用户同意,即各大APP之间不直接共享用户标签,而是通过隐私计算的方式处理用户数据,数据源主体或技术提供方仅向数据需求方提供是否推送的结果。此情形下,至少表面上不存在用户标签信息的直接流动,为阻却违法提供了可能,但随之而来的后果是减弱营销触达的效果。
简而言之,如果严格按照法律规定执行,营销厂商应当征得用户同意后再进行触达,但对于传统营销方式而言并不容易;在提高营销精度的场景下,数据共享过程中的用户单独同意也是实践中存在的重大挑战。
结合上文,营销过程中营销厂商几乎必然处理个人信息,但却难以取得用户同意。但是,监管的达摩克利斯之剑如果落下,可不会征得营销厂商同意;除了取得同意之外,数据造假、实质替代等不正当竞争问题,也是营销领域数据合规的监管重点。对于不同的违法情形,监管处罚之力亦随之不同,不能一概而论。
当下,信息流广告风光无限,但是短信与电话仍是触达用户的主流营销方式之一。从每季度工信部公布的《关于电信服务质量的通告》与12321受理中心公布的《垃圾信息投诉情况盘点》来看,营销短信与电话的投诉数量仍然稳定并微有上涨,普遍表现为未取得用户同意便进行营销,其中亦不乏业务中接触的企业,法律定性上并无争议。
营销短信、电话案件的行政处罚与裁判尺度,虽然各案迥异,但是仍然能呈现出一定的规律。
从行政处罚来看,行政机关往往会依据《消费者权益保护法》第29条、第56条以及《侵害消费者权益行为处罚办法》第11条、第14条,以经营者违法处理个人信息为由,处以违法所得1-10倍或50万元以下罚款。自由裁量方面,罚款金额与经营者处理的个人信息数量、营销触达的人数、经营者是否以此为业等有密切联系,大体上呈现为:

基于上述的处罚尺度,相关后果对于从业的科技公司而言,除了经济上的压力外,后续的经营过程中涉及的招投标、再融资,都可能受到严重影响,导致业务或融资无法开展,处罚的威慑已经达成;情节严重的,也不乏刑事处罚。实际业务中,客户面临此类投诉、问询亦是积极处理,也算旁证。
具体到自然人与信息处理者的民事案件,情况有所不同,尽管经营者很可能对大批用户进行了违法营销,但法官只对原告权益被侵害的事项进行审理,支持的赔偿金额较小。对于营销短信与营销电话的处理略有不同,对于营销短信,法院通常认为产生的痛苦较小,无需进行精神损害赔偿或者赔偿金额极少;[3]对于营销电话,从最高人民法院公布的典型案例来看,6次营销电话的赔偿为3000元,比营销短信的赔偿高一档次,但整体而言,损害赔偿对信息处理者的威慑相当有限。从赔礼道歉的角度看,有的法院认为寥寥几条短信尚不足以使自然人产生精神上的痛苦,经营者无需道歉,即使需要道歉,法院往往也会认为当庭道歉或书面道歉已经达到相应程度,无需通过公开形式道歉。因此,此类民事案件对信息处理者而言,判决结果本身并无多大威慑,反倒是裁判文书公开这一事实会对企业运营造成一定影响。
不过,违法触达从个人层面虽然并无多大损失,商事案件又有不同。如果营销方式侵犯个人信息,法院会以相关合同违反法律规定、损害社会公共利益为由认定合同无效,各方按过错承担责任,根据广告主是否明知来酌定返还的金额比例。[4]此类案件,在《民法典》生效前,法院甚至会对违法所得予以收缴,最高人民法院对此也持积极态度。[5]因此,通过违法方式触达用户,商事层面仍具有相当风险。
除了传统的短信之外,市场上兴起另一种类似短信的触达方式,具有5G消息、智能消息、富媒体消息等多种称谓,但是根据《通信短信息和语音呼叫服务管理规定(征求意见稿)》第43条,此类信息仍会参照短信进行管理。该种触达方式兼具短信与信息流广告的特点,其在短信界面显示,但是却由设备厂商负责呈现,更容易取得用户同意。不过,为提高营销效率,设备厂商会设法将呈现界面与短信相关联,在这过程中就可能与短信内容形成混淆,实践中会被法院认定为不正当竞争并承担相关法律责任。[6]
信息流广告尚没有权威定义,大体是指嵌入到社交媒体、资讯媒体和视听媒体的广告,其表现形式与嵌入的平台内容相似,即嵌入信息与信息之间的广告。营销厂商会根据用户喜好以及浏览的内容形成用户画像,进而判断推送的广告类型,既处理了用户的个人信息,又符合《个人信息保护法》第24条与第73条规定的自动化决策。因此,营销厂商需要在取得用户同意的基础上,满足法律规范对自动化决策的要求,例如不得歧视对待、提供便捷的拒绝方式、提供不针对个人特征的选项等,才能完成合规目标。司法实践中,某电商平台曾在杭州互联网法院给出了合规示范:
① 在首次运行时、用户注册时,平台均提示用户是否同意隐私政策,保障了用户的知情同意权;
② 提供了便捷的拒绝自动化决策选项,通过多种方式且均不超过四步,即可根据类目或整体关闭个性化广告;
③ 提供不针对个人特质的其他选项,例如“销量”“价格”“通用排序”等。
如果营销厂商违反有关规定,民事案件上需区分两种情形,一种是单纯违反个人信息处理规范的,例如未提供拒绝方式、限制拒绝的期限,法院会判处营销厂商停止侵害,提供不包含个人特征的推荐方式,对用户赔礼道歉,并赔偿用户维权的合理损失;[7]另一种则是影响具体业务的开展,例如歧视用户的大数据杀熟,此时法院会直接适用《消费者权益保护法》,以营销厂商未告知交易真实信息,怠于对平台内经营者进行有效监管,使用户陷入交易价格优惠的认知错误,认定构成欺诈,从而判处假一赔三。[8]行政方面,虽然《个人信息保护法》第66条、《深圳经济特区数据条例》第95条均规定了较为严重的罚则,但以浙江与深圳的实践来看,如果只是个人信息处理方面的不规范,大多以警告结案。[9]
除了从用户处直接采集数据外,营销厂商之间还会以设备信息(IMEI、广告标识符等)为纽带,共享用户标签,从而形成更完整的用户画像,也是用户感到被APP窃听的根源。表面上看,营销厂商之间并未互相提供设备信息,只提供了用户的标签,似乎不涉及提供个人信息的问题。但是,从认定个人信息的司法实践来看,如果营销厂商能够将标签对应到具体用户,该场景下的用户标签已经与个人产生了“关联”,属于个人信息,按照《个人信息保护法》第23条的规定,营销厂商应当取得用户单独同意,从用户视角看却并不多见。
整体而言,信息流广告比传统通信方式更“安全”,一方面拥有流量入口APP,很容易取得用户同意;另一方面,营销厂商只是数据处理方式会存在违规情形,不涉及电话号码等个人信息的转移,法律后果比传统通信显著轻微;再者,信息流广告的运作对于用户来说是一个黑箱,用户很难感受到相关的违规行为,发起的举报与纠纷也相对较少。
衡量营销的维度多种多样,从按点击计费(CPC),到按行为(注册)计费(CPA),再到按成交计费(CPS),体现出广告主与营销厂商之间关于费用与营销效果的斗智斗勇。营销厂商为了达到合同约定的营销效果,会通过各种手段“改善”数据,有的通过寻找类似渠道共同提供营销服务,冲击高额的营销量;有的则会自行或寻找灰产、黑产进行数据作弊;有时,心术不正的广告主为了吸引用户,但又不愿意拿出真金白银执行销售策略,便会通过廉价的假“热度”营造气氛,同样需要“改善”数据。
营销数据造假的影响比违规处理个人信息直接得多,对于用户而言,平台上的虚假信息严重影响使用体验,以至于出现3.5分现象予以反制;对于广告主而言,营销数据变好但经营情况却没有改善,反而多出很多羊毛党用户、电商退款等无效业绩;对于平台而言,虚假数据同时影响用户和守法商户的体验,从而使平台收入降低;从社会宏观角度看,提供虚假数据服务的灰产、黑产雇佣了大量员工从事刷单、发空包、刷好评等非法行业,形成了不良的社会风气,并且因此衍生出大量诈骗案件,影响社会稳定。
从民事责任看,如果营销厂商对营销数据进行造假,则对广告主来说是违约行为,广告主有权解除合同,营销厂商应当退还营销费用并承担违约责任;[10]违法的营销厂商与一拍即合的广告主之间,法院会以该等行为恶意串通损害第三人利益、违背公序良俗等理由认定合同无效,在《民法典》生效前还会依据《民法通则》没收涉案款项,最高人民法院后续也通过《最高人民法院关于审理网络消费纠纷案件适用法律若干问题的规定(一)》第9条对予以确认;[11]营销数据造假的经营者与平台之间,法院认为相关数据是平台获得用户流量和用户黏性的重要基础,平台对真实数据享有正当合法权益,刷单、刷好评等行为属于虚假宣传行为,侵犯了平台的合法权益,经营者应当依法赔偿平台损失。[12]
行政责任方面,营销数据造假的性质属于虚假宣传并无争议,《网络交易监督管理办法》第14条将刷单、刷好评等行为定性为虚假宣传,并按照《反不正当竞争法》第20条进行处罚,起步为20万元罚款;构成虚假广告的,按照《广告法》第4条、第28条、第55条等有关规定进行处罚,按照广告费用的倍数进行处罚,无法计算或广告费用偏低的,处罚金额与《反不正当竞争法》第20条规定一致。实践中,根据笔者与监管部门的接触,如果经营者确系初犯且危害后果不大的,也会依据《行政处罚法》从轻或不予处罚。[13]
从刑事角度看,因为刷单炒信行为侵犯了多种法益,所以不同的情形也会触犯不同的罪名。首先,如果虚假数据呈现的方式构成广告,例如店铺评价,则可能构成虚假广告罪;[14]其次,如果是虚假数据针对性地影响了其他经营者经营,例如针对某一特定经营者进行刷单,导致该经营者被平台异常识别并降低权重,则可能构成破坏生产经营罪;[15]最后,如果以刷单炒信为业的,则会以违反《互联网信息管理办法》等国家规定为由,被认定为非法经营罪。[16]
总而言之,触达过程直接与广告主的销售额、营销厂商的业绩挂钩,由此引发的利益争夺尤为激烈,对消费者与其他商家影响更为明显,相关的法律后果也严重得多,但潜在的巨大利益也让违法行为愈演愈烈。[17]
信息科技解决各个主体之间的信息差问题,大数据营销某种意义上同样是为了解决商家与用户之间的“信息差”,让用户看到更想看到的商品,让商家直接将产品展示给更有购买意愿的用户。
但是,在营销过程中,用户是被动接受而非主动选择,特别是由于数据共享的存在,导致营销厂商能够获得用户特别的个人信息,用户隐私不时暴露给营销厂商,用户权益被侵犯或感到被侵犯也就不足为奇,进而衍生出投诉、纠纷甚至引起监管关注。
消费者数据合规,是营销厂商通过合法手段完成营销的过程,也是后续面对用户投诉、监管质询的盾牌。个人信息的认定、用户同意的取得与营销用户的触达是数字营销领域中数据合规的三个重要环节,风险防范当以此为重中之重。
大成能为您做什么?
联系我们 +