个人信息保护压力日趋增大，精准营销与消费者隐私是否可以两全？

文 | David Zhang

“如果你控制了石油，你就控制了所有国家”—美国前国务卿 亨利 基辛格

在21世纪，数据被誉为商业世界的“新石油”，掌握了海量用户数据就意味着能在激烈的市场竞争中赢得一席之地。如今，随着大数据技术的不断发展，越来越多基于数据的工具与平台被品牌方用于做更有效的精准营销。

然而，大数据虽然是时下精准营销的基础，但也面临着法律与合规的问题，随着消费者对隐私保护的呼声越来越高，政府也在不断加强监管的力度，在消费者与法律的双重压力下，如何在精准营销与消费者隐私保护中求得平衡成为了品牌方与数据营销平台需要思考和研究的重要问题。

数据保护压力日趋增大

谈数据隐私保护必须要说的就是被称为“史上最严格数据保护法”的GDPR（通用数据保护条例）。2018年五月，欧盟正式开始实施GDPR，旨在协调整个欧洲的数据隐私法律，保护欧盟公民的数据隐私，以及重塑欧洲地区企业在收集、存储以及处理隐私数据上的管理方法。

在GDPR正式实行一周年之后，这项法律成为了一把双刃剑。首先，对于个人用户和监管者来说，GDPR毫无疑问是有益的。GDPR的总原则是“统一欧盟范围内的监管，让公民掌握自己的个人数据，简化国际业务的监管环境”。近期，来自美国的知名营销技术平台—LiveRamp（链睿）全球高级副总裁兼公共政策官Sheila Colcasure在接受Morketing专访中说道：“在数字时代，用户的一举一动都会产生数据，品牌方和数据平台利用算法对这些数据加以分析之后，能够带来更好的用户体验，但是随着用户数据规模的不断加大，企业在使用数据时过于随意导致了一系列的个人信息安全问题，这让监管者开始对企业不信任、消费者开始反对企业滥用他们的个人数据，所以在这样的大环境下，GDPR的出现是必须的，而GDPR也确实在一定程度上缓解了这样的紧张局面。”

然而，从企业成本的角度出发，GDPR的出现意味着合规成本（让企业规避违反GDPR带来的风险）的大幅增长。普华永道在调研了其在欧洲有业务合作的300家来自英美和日本的公司之后表示，在应对GDPR的花费上，60%的公司预计将增加超过100万美元的合规成本，而有12%的公司甚至花费了超过1000万美元。面对巨额的合规成本，世界500强公司或许还能够咬牙承受，然而对于中小企业来说，为了避免违反GDPR增加如此大的运营开支是无法接受的。

“GDPR实行至今的一个非常严重的后果就是中小企业的生存空间被大大压缩了。”LiveRamp（链睿）Sheila Colclasure在采访中同时指出，“大企业能够拿出足够的资本来应对GDPR带来的压力，那中小企业怎么办？唯一的路径只有放弃，这是GDPR不能忽视的一个问题。”

那么，在移动数字营销引领广告行业风向的中国，隐私保护法律的现状和未来又是怎样的呢？近日，在LiveRamp（链睿）举办的数字化营销与消费者隐私保护研讨会上，来自于学术界的权威学者表示，从2009年《刑法修正案7》到2016年发布的《中华人民共和国网络安全法》，中国已经建立了相对完善、严格的个人信息法规。现在有关中国个人信息保护最主要的法律依据是《网安法》。《网安法》中对于个人信息的保护一共给出了6个原则，所以说到中国企业在使用大数据时候要合规，合的就是《网安法》的规。

《网安法》对于消费者的个人信息保护给出了非常明确的司法解释，其中最重要的是第四十一与四十二条*。小编进一步向LiveRamp（链睿）大中华区总经理Kaylin Huang女士了解到，不论是GDPR还是《网安法》，在数据应用和消费者隐私上主要关注的都是3个方面：第一就是尊重用户自己的选择；第二是收集和使用的究竟是用户的什么数据；第三是数据去识别化。

“在用户授权方面主要是两种：一种是默认用户同意；一种是征求用户许可。”Kaylin说道，“默认用户同意是目前比较普遍的方式，GDPR和《网安法》都规定用户有权利选择迁出，即停止授权数据方收集个人信息，例如LiveRamp（链睿）官网上就会有一个Opt Out的选项，用户选择Opt Out之后，我们就不会再获得任何这名用户的数据。” 而对于征求用户许可的方式，现在各国的法律更加明确，不仅需要用户同意，更需要数据方表明要对用户信息进行怎样地使用，甚至如果有第三方平台参与其中的话，还要列出哪些第三方平台会使用用户数据。

关于第二点收集和使用的用户数据种类，Kaylin表示，美国或欧洲是明令禁止数据方使用某些类别的数据，例如健康、疾病类医疗数据，宗教信仰、性取向类数据都是不能使用的，使用财务相关数据要求数据方拥有特别许可或资质认证。在中国，数据方通常会使用的（在不违反《网安法》的前提下）是普通人口信息，例如年龄、性别、职业、学历以及根据网上行为推算出的一些大数据。

关于去识别化，Kaylin认为，鉴别消费者隐私是否得到保护的一大标准就是品牌方/数据方能否通过相关信息识别到用户个人。“像LiveRamp（链睿）这样的平台在帮助客户做精准营销的时候都是以群体的概念使用的。”Kaylin说道，“通过各种分析，这个群体可能是某一个品牌的消费对象，群体的人数可能是几百人甚至几万人，而不论是平台还是品牌方能够看到的只是这一个群体的数据分析，而不会精确识别到某个个人，从这个角度看数据分析其实已经匿名化了。”

安全合规地使用数据是品牌方与数据

平台的必行策略

在消费者隐私保护的环境逐渐变得健康和有序的时候，品牌方和数据平台对用户数据的使用就要更加安全、合规。

数据平台对日趋健全的监管政策感到压力倍增，让自身业务更加合规就成了必走的一步。国内知名DSP/DMP平台在LiveRamp（链睿）研讨会上表示，为了适应用户隐私法规，该平台和律师一同对其业务做了全案的法务合规性检查，查验所有数据方合作伙伴在收集用户数据时是否合规；同时，该平台也基于保护用户隐私的基础对自身技术进行了升级，比如ID智能+方案，在CRM数据转成设备ID的过程中保证所有权和使用权分离，这样不论是用这些数据做广告投放，还是验证投放效果都符合法律法规。

Kaylin在采访中表示，“为了规避用户信息带来的风险，作为营销技术平台的LiveRamp（链睿）对于合作伙伴的审核也非常严格，审核标准甚至高于GDPR和CCPA（加利福尼亚州消费者隐私保护法案）。如果合作伙伴选择将数据Optin我们的平台，必须要提供相关证据证明他们得到了用户的全部授权，例如合作伙伴是否为用户提供清楚的隐私政策，语句是否合规，用户是否同意第三方平台使用等等，往往这个审核过程会有3-6个月之久。”

而对于品牌方来说，数字化营销的第一阶段可能就是一道难题，即安全地收集有价值的营销数据。据知名酒店集团的数字化营销负责人分享，通常作为跨国品牌，在收集第一方或第二方（First & Second Party Data）数据时面临的质询过程是冗长的，他们会被总部问到为什么要收集这些数据，是否得到用户许可，是否会进行二次传播等问题，而涉及到境内外数据输送也要通过中国法律的多重审核。

综合来看，品牌方要做数据相关的营销业务在第一步就会遇到非常大的阻力，对于这样的困境，研讨会上嘉宾给出的建议是企业应该借助专业的数据处理机构，确保使用数据的所有环节都符合中国的法律法规。

精准营销和保护用户隐私是否难以两全？

当记者问道：“精准营销和用户隐私是否真的难以两全？”LiveRamp（链睿）大中华区总经理Kaylin Huang认为，这个问题本身存在悖论，精准营销和消费者隐私保护不应该放在对立面上，实际上这两者是一致的，即消费者隐私越能得到保护，精准营销就能做的越好。

从互联网企业的商业模式分析，互联网企业的主要变现渠道是广告收入，消费者无论是在网站还是App上看到广告就是为互联网企业创造收益的过程，而通过广告的收益，企业能为消费者提供更加低价、便捷的服务，在这样的环形结构中，精准营销的概念是让这些无论如何用户都会看到的广告更加符合用户的需求、兴趣或者品味。在这个过程中想要实现精准营销，就要使用到受众的行为数据一类的信息，即大众口中的“隐私”，企业在实际操作过程中并没有侵犯隐私，然而在目前国内消费者隐私保护环境不是很完善的情况下，侵犯隐私的现象就会出现。所以，如果整个消费者隐私保护的环境变得健康、健全有序，消费者在接触广告的过程中体验更好，同时又不会受到隐私暴露隐忧的困扰，从这个角度看当消费者隐私得到更好的保护时候，精准营销与隐私保护并不冲突。

最后，让我们借助在LiveRamp（链睿）数字化营销与消费者隐私保护研讨会上，权威学者对企业提出的四条明确建议来收尾--数字化时代， 企业在使用数据时：

首先，鼓励善意地使用数据，并确保用户的人身权不受到侵害；

其次，注重未成年人数据保护，配备保护未成年人的专用“橡皮擦”；

再次，避免零和博弈，平衡个人权利与产业发展；

最后，企业可以先通过数据获取利益，再以合适的途径将利益归还给个人。

备注：*《网安法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。