《个人信息保护法》颁布以来,我国监管机构对企业营销中的合规要求日渐提高,营销过程中离不开对用户信息的搜集,营销是否与个人信息保护天然的对立?如何明确数据合规要求下,营销中个人信息使用的边界?企业又应如何制定营销与个人信息保护兼容的数据合规战略?
part 01 大数据营销推广时代数据的来源与边界
(一)法律层面的营销数据范围
现今中国的法律并没有对「营销数据」下一个明确的定义。个保法规定的数据只有两种类型——个人信息与敏感个人信息,敏感个人信息又包括了生物识别信息这种最高级别的敏感个人信息。
通常来讲,在整个营销领域,「营销数据」虽然没有一个权威机构的明确定义,但可以大致根据营销所涉及到数据种类分为「个人数据」和「非个人数据」。
比如说所有营销过程中常见的收集到的会员的手机号码,会员的生日,会员的购买记录,电商的购买记录,用户的收藏列表,这些当然属于法律规定的个人数据。
还有一些数据也非常具有商业价值,也属于营销当中非常重要的数据。比如网页浏览量,用户的页面停留时间,用户中的性别比例,购买转化率等。当然这些数据属于非个人数据。
根据营销所需要的数据,从可识别性去区分类型。如果它可识别到特定的自然人,那么当然认为它属于个人数据范畴,属于个人信息保护法需要规范的数据。
但除此之外的数据是不是受法律保护呢?也要结合数据安全法,看是不是重要数据。通常来讲,在营销过程中的数据属于重要数据的概率相对较少。在营销过程当中,除了个人数据是需要受到法律保护之外,大量的具有商业价值的非个人数据,可能并不受到个人信息保护法的约束。
(二)企业营销数据的收集来源
在了解这个问题之前,需要先介绍一个金字塔结构。这个金字塔结构对数据分了几个类别:
1、金字塔最底层的是数据,包括不涉及个人信息的,比如浏览量、购买转化率等。
2、金字塔的第3 层是个人数据。包括常见的个人身份证号码,个人的教育经历、工作经历、个人邮箱等等。
3、金字塔的第2 层是敏感个人数据。包括消费记录、精准定位信息、宗教信仰,网页浏览记录,都属于敏感个人数据。
4、金字塔的第1 层是生物识别数据。包括面部识别特征、指纹等等。
金字塔的意义:
它囊括了现在所有的数据类型,有利于法律的实施,对数据的保护。在金字塔最底层的数据,法律并不会对它做出强制性保护,因为个人信息保护法和数据案例法的最终目的是鼓励数据的流动。它的立法本意是在刨除了法律需要保护的相关信息之后,鼓励数据的流动。
在营销过程中大致会有以下几个手段对数据进行收集:
- 自行收集
- 向数据供应商采购数据
- 通过技术手段收集。比较常见的技术手段如埋点,爬虫,撞库。
- 在政府已经公开的公共数据平台中获取公共数据。
对技术手段的说明:
1. 埋点
埋点其实是通过一些技术手段,在用户可能经过的端口上,预埋一些收集信息的接口,当用户在点击的过程中或者跳转过程中需要路过接口的时候,那么这个技术会在这里收集到一些信息。
埋点发起方既可以是产品的著作权人或者拥有者,也可以是第三方 SDK( 第三方软件)。在所有使用的 App 中都会被嵌入或多或少的三方 SDK , 比如小程序在支付时,都要跳转一些支付软件,那么这里面就一定会对接支付软件的 SDK 。
在做数据合规的过程中,千万不要只管自己的 App 是否完全合规的,同样也要关注当三方 SDK 收集数据是否有告知你,你是否知道它收集了用户的哪些数据,以及是否做了合规化的处理。否则一旦 SDK 的合规性出了问题,那么 App 的所有者也会承担相应的连带责任。
2. 爬虫
爬虫可以通过一些技术手段从其他的网站或者繁杂的信息过程当中去爬取一些数据信息。
市场上有非常多公司的数据来源都是用爬虫。爬虫爬来之后会做一些汇编整理收集,然后再产生商业价值,然后再对外盈利。
爬虫是有一定规则的,爬虫在符合一定规则的条件下是可以合法使用的,并非使用爬虫就一定非法。
3. 撞库
撞库这种营销数据的获取手段比较少见。简单来说是当你拥有了某一个同类网站的用户数据时,因为用户有可能会同时注册和登录好几家竞争对手的平台网站。为了方便记忆,用户往往会使用同一套完全相同的用户名和密。
基于这种用户习惯,有一些不法商家就会用已经获取到的用户名和密码去其他的网站上去试用户的用户名和密码,这样就可以获取用户在其他同类型网站上的一些相关数据信息。
part 02 数据营销使用的限制和规则
(一)通过不同技术手段收集到的数据在合规审查方面是否存在异同
1. 告知同意原则与最小必要原则
个保法对收集数据的合法性基础规定中,其中一个重要的原则就是告知同意原则,在得到用户同意的情况下才可以收集他的数据。这一原则贯穿整个个人信息保护法,贯穿整个合规领域。在个人信息保护法生效之前,合规领域的传统认知就是把所有东西写进隐私政策,然后让用户勾选同意,那么合规就万事大吉。但告知同意原则目前还不是排除一切风险的万能原则。
最小必要原则是数据合规当中非常重要的一个原则,因为它不仅是必要,而且是最小。那么到底什么是最小必要原则?
法律和各种规范性文件由于没有办法穷尽所有实践中可能碰到的情况,它规定的都是一些比较原则性的规定,但是在实践中会产生非常大的争议。你的营销过程和你的营销目的必须息息相关,如果不相关的话,那么所收集的即使是非常基础的数据也未必是符合最小必要原则的。
2. 数据供应商角度
实际上很多企业的整个业务是建立在大量的三方数据的基础上,所以有一个非常关注的点是三方供应商的数据来源是否合规。如果数据供应商的数据是通过非法手段获取的,你又向它进行了采购,那么当这些数据发生法律风险或者合规性问题的时,自然也会牵连到你。
3. 技术手段角度
(1)埋点
埋点其实是技术收集的一个方法,它的合规点同样是要关注最小必要原则。在数据合规领域,合规人员包括律师,跟技术人员或者业务团队的人员是天然对立的。因为业务人员有无穷收集数据的冲动,而合规人员是能少收集就少收集。业务人员收集的数据越多越有利于业务的开展,但是在合规和业务之间找到平衡,是每一个数据合规领域从业者的职责。
所以在技术人员埋点的过程当中,要遵守最小必要原则,一定要跟目的息息相关。法律已经明确是不允许在隐私过程中做一揽子的授权,如果你有其他收集的需要,在功能开启的时候才可以要进行数据收集。
(2)爬虫
爬虫协议是网站针对所有爬它数据的爬取者一些协议,比如说哪些数据能够爬取,哪些数据不能够爬取。如果违反了爬虫协议,尽管爬虫协议不是强制性协议,但我们会发现在一些司法判例中,法院是会参考爬虫协议的一些内容。所以,第一,要遵守网站公开的爬虫协议。第二,不能因为爬取行为导致网站的不能正常运。第三,在爬取的过程中,爬虫软件不能侵入到对方软件的内部。
(二)汇聚融合后的数据能否超越原有的收集目的,超越使用的限制要求
最简单的融合方式,比如说将从 A 平台获取的数据和 B 平台获取的数据和 C 平台获取的数据,在没有获得用户授权的情形下融合在一起,然后推出一个新的数据,在这种情况下当然是不合规的。
复杂的融合方式,比如 X 产品同时在多家电商平台上售卖。A 平台给的是完整的用户数据,而B平台给的是去标识化的数据。那么在这种情况下,商家很容易通过数据对比而判断是不是同一个用户。在这种情况之下,能不能把这两家平台上用户的数据信息进行一个融合,一样要看用户授权。
一种情况是,只授权了一个平台,而未授权的平台超越了我对未授权平台数据的使用目的。另一种情况是,分别授权了两个平台,两个都获得授权的平台能否进行数据融合分析。
其实一系列的融合过程,用户是无法感知的,但是企业如果要去做这样的数据合规的操作,则必然需要考虑结果的合规性,也要考虑过程的合规性。
(三)分享去标识化后的数据时,是否还需取得用户的同意
首先要区分去标识化和匿名化。
法律明确规定,所有匿名化的信息都不视作为个人信息,所有匿名化的信息可以随便使用,法律不保护。去标识化是可逆的,匿名化是不可逆。如果把去标识化的信息给到第三方,假如这个信息和其他信息加在一起能够拼凑出完整信息的,又或者这个信息在技术上是可逆的,那么当然需要经过用户的单独同意。
个保法的规定,如果个人信息处理者将信息转给其他个人信息处理者时,必须要经过用户的单独同意。
匿名化的信息,如果不跟其他信息放在一起,技术上不可逆,在这种情形下的数据是不受法律保护的。但反之,就需要得到个人的同意。如果公司之间是委托关系,数据转移也不需要得到个人同意。
(四)电话、短信、邮件营销过程中,商家使用收取的用户信应注意哪些合规性问题
营销之所以称之为营销,它的主要目的是为了触达用户和推送自己的一些相关的信息。而过度营销方面给大家带来的困扰,恰恰是数据合规应当加速发展的原因。
1. 基础性原则
营销场景很多,但万变不离其宗,我们在考虑它的合规性问题时,还是要回归到法律规定的基础性的原则——告知同意原则,如果同意了,那就说明具有合法性基础。
2. 使用目的
很多商家收集我们的电话号码其实并不是为了向我们推送广告,而是为了向我们邮寄货品或者是向我们提供售后服务,或者是便于做客户回访。但是如果在隐私政策里并没有明确告知我们收集目的,将我们的电话号码用于营销推广,明显超出了收集目的,是不合规的。
part 03 新法背景下,企业营销过程中的数据合规策略
对直播营销的数据合规建议:
直播营销是近几年迅速崛起的非常重要的营销方式。但直播营销最终还是要回归到法律本质中。
首先,遵守广告法。不能做虚假宣传,不能做夸大宣传,不能做误导性宣传。同时直播带货所出售的产品本身还要符合消费者权益保护法。
其次,直播过程的数据收集同样还要考虑合法性基础。以告知同意原则作为整个合法性基础,也要注意最小必要的原则,不能无穷的收集数据。
