2021年11月1日，《個人信息保護法》（以下簡稱《個保法》）正式實施，這是一部保護公民個人信息的專門法律。該法與民法典、網絡安全法、數據安全法、電子商務法、消費者權益保護法等法律，共同編織成一張消費者個人信息的“保護網”。隨著立法與監管政策的趨嚴，建立於用戶個人數據之上的數字廣告行業迎來重大挑戰。用戶授權難度提升，單獨同意一定程度上造成瞭數據流轉帶來的鏈路屏障，精準營銷的廣告模式受挫。

國傢對於數據安全、個人信息的保護已經越來越重視，越來越規范。因此以互聯網廣告為主的公司和企業在這一方面一定要未雨綢繆，雖然現在雨已經來瞭。

廣告人眼裡的《個保法》

品牌開展跨境營銷，需註意可能受《個保法》管轄。

《個保法》規定：“在中華人民共和國境內處理自然人個人信息的活動，適用本法”；“在中華人民共和國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的，也適用本法(一）以向境內自然人提供產品或者服務為目的；…”

可見，包括跨境電商、遊戲出海、國際品牌進入中國市場等廣告主，都需正確評估在廣告營銷過程涉及個人信息處理是否符合《個保法》監管要求。

另外，個人信息的定義，可能比過去理解的定義更廣泛。

此前，對於生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息，在此前普遍被認同是個人信息。但據《個保法》定義，這些進一步歸屬為“敏感個人信息”。

個人信息的定義，在《個保法》中為廣義：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。”

那麼當前程序化廣告行業使用到的各類個人設備識別號，包括Cookie ID、IMEI、IDFA、IDFV及各網站/App體系下的用戶註冊ID、編號等，都屬於個人信息。使用以上信息用於廣告營銷，都需明確取得個人授權。

以此前“百度Cookie案”為例：幾年前，南京市中級人民法院對“北京百度網訊科技公司與朱燁隱私權糾紛案”作出終審判決，以網絡服務提供者對個性化推薦服務依法明示告知為量，認定“百度網訊公司的個性化推薦行為不構成侵犯朱燁的隱私權”，判決駁回原告朱燁的全部訴訟請求。

可如按現在對於個人信息的定義, Cookie ID亦屬個人信息，同一案子可能是另一判決結果。

值得註意的是，將以上各類個人設備識別號作加密處理（如MD5加密）後的信息，是否脫離“個人信息”的定義不得而知。

《個保法》聲明匿名化處理後的信息不屬個人信息，但匿名化的定義是指個人信息經過處理無法識別特定自然人且不能復原。理論上，加密後的信息，即使不可復原，也是可能用於識別特定自然人的。

可以明確的是，假如隻提取部分加密識別號（如中間10位）作為程序化廣告歸因、定向依據，因無法識別特定個人，是符合匿名化標準的，但也制約瞭營銷效果分析和廣告分發的精確度，隻能達到一定相關度的營銷目標。

品牌營銷如何適應《個保法》？

個人信息的保護，被提高到新的高度。那面對今夕的迥異，作為精準營銷人，我們又該如何在這暴風雨中依法而行呢？

對於商業廣告而言，首先要有更清晰的數據資產邊界的概念，什麼是第一方數據，第二方數據，第三方數據，各自的權責在哪裡。

第一方數據，是客戶自己的經營數據，包括自己的網站、App、小程序內的用戶行為數據、在非端內的購買、電話、留資等經營數據等等，放到一個足夠安全、穩定的處理系統，很好的服務於營銷和其他業務。

第二方數據，是廣告媒體的數據，由媒體積累分析個人用戶的上網行為、興趣圖譜等信息，增強廣告主洞察廣告受眾、投放個性化廣告。

第三方數據，一般為是前二者以外的數據管理平臺(DMP)或同時提供對外數據合作的大媒體，在程序化廣告的過程中作為對第一、二方數據的補充，進一步豐富對廣告庫存的標簽識別能力。

對於廣告主而言，需重視做好合規建設。

合理的在業務范圍內收集個人信息已然成為瞭擺在面前的第一道坎，根據《個保法》規定個人信息的收集必須獲得用戶的單獨同意，法律堅決打擊過分的信息收集。為瞭滿足客戶的隱私安全需求，廣告主在收集數據時必須做好能夠讓用戶明確同意或者拒絕的交互區域，制定及公佈個人信息的安全設計及制定撤回機制。

根據《個保法》的相關規定，為應對數據安全確立瞭典型的安全評估機制、個人信息保護影響評估機制及個人信息的撤回機制， 這些對廣告主在收集、加工和傳輸的角度限制瞭框架。這些將相對提高大部分的中小型企業的技術開發成本。再加之構建更加詳細的收集目的，收集范圍以及撤回機制，讓本如火中取栗的信息收集變得困難。

《個保法》既是限制，也是門檻。能正視並合理完善個人信息保護制度的品牌商或廣告商，必將領先於市場，合法合規專註於個人信息的收集與分析，繼續在更有門檻優勢的地位下放大個性化廣告和重定向營銷的商業價值。

對於廣告商而言，如何配合、引導廣告主做好各方數據對接很重要。

廣告商在與廣告主做對接的時候，應建立合理的數據審核制度，規范數據規范，做好匿名化數據加工，建立數據安全系統，保護信息不泄露。

個人信息處理時，涉及第一、二、三方數據打通對接，大的前提是直接收集信息時，需明確告知其他可能參與數據處理的第三方情況，取得個人知情授權；在實際使用數據過程中，確保不過度使用的提供，做好對各參與方的相互監督。

個人信息保護驅動廣告技術創新

《個保法》的推出，對於以技術為王的營銷技術領域又有什麼推動作用呢？

在個人數據保護方面，海外較早開展瞭立法探索，已有GDPA，CCPA等立法約束。因此， 海外營銷技術圈也先已針對個人信息保法提高相關技術創新方案，應對即將到來的“個性化”營銷危機。

谷歌方面，推出“隱私沙盒”（Privacy Sandbox），引入更新的、更具私密性的廣告解決方案。這些解決方案會限制與第三方共享用戶信息，並且能夠在沒有跨應用標識、廣告ID的情況下運行。

谷歌在自己的網站列舉瞭隱私沙盒的三大願景：通過新的技術保證用戶隱私、規范隱私保護標準、同時保證廣告主和開發者優質內容能在隱私為先的框架內實現流通。

Cookie是一種儲存在本地的文本文件，網站服務器可以借此判斷用戶是否是第一次訪問。但由於這其中記錄著用戶個人信息，也被營銷公司、第三方統計公司用來形成用戶畫像，進而做定向廣告的推送。而谷歌的廣告業務與Cookie追蹤也息息相關。

“隱私沙盒”出現的目的就是讓廣告商不使用第三方Cookie，在避免用戶不知情被跨網站跟蹤的情況下，依然能夠正常做廣告並獲得收益。

在廣告分發上，Google 引入瞭 Topics API 和 FLEDGE 兩個 API（技術已經經歷瞭幾代更迭，仍然無法最終確定上線方案）。

Topics API 主要用於在瀏覽器本地通過分析用戶過往的瀏覽記錄，生成幾個可以提供給網站調用的話題，以匹配相關性高的廣告。

而 FLEDGE 則替代瞭以往的服務器端競價，它將確定好的話題和廣告商提供的廣告與價格在瀏覽器本地進行比對，從而避免將用戶資料呈遞給第三方。

蘋果公司則針對廣告歸因方面推出StoreKit Network和Intelligent Tracking Prevention, 分別在應用安裝、網頁廣告方面將對個人用戶整體的分析、追蹤限定在64個識別代碼范圍之內，則廣告主隻能在部分程度中對廣告效果作匯總歸因分析，而無法具體追蹤到每一個用戶、每一次廣告事件的轉化效果。

長期來看，無論是谷歌還是蘋果，以及廣告主和服務商，都在探索兼顧隱私和效果解決路徑。而技術進步則是必然趨勢。相信國內營銷技術，也將順應相同方向。

我們發現，已知的解決方案在一定程度上放棄瞭“精準”和“個性”營銷，轉而發力“相關度”開展廣告分發。

一方面，未來在廣告投放方面，從媒體內容和用戶興趣等相關性切入分發廣告將大有可為。我們將在原有EternityX Trading Desk的DMP數據全域連接及積累，以及廣告投放算法基礎上厚積薄發，為品牌營銷在新的生態環境下開拓新的道路。

另一方面，以“重定向”為代表的精準營銷並非進入“過去式”，早已預見到統一設備識備號不再廣泛應用、各方數據互成孤島狀態的EternityX力恒, 一直研究通過自研創新產品（EernityX ID Space）與品牌開展合作，在合規或得個人信息收集權限的前提下，將第一方數據與EternityX力恒大數據資源與學習算法融合，繼續精準重定向營銷之路。

從更長遠看，廣告技術領域將產生更多基礎變革。

鑒於《個保法》對個人信息的處理（包括收集、讀取、存儲和提供等）加強瞭監管，“隱私計算”的技術理念已被提出。

我們認為，“隱私計算”技術的原則，是要求整個生態和業務鏈條中減少對個人信息的直接讀取、存儲，專註於在保護信息安全的機制下實現合規利用數據的目的。具體而言，有多方安全計算、多方中介計算、聯邦學習、可信執行環境等熱點方向。

誠然，“隱私計算”尚處於研究階段，具體如何在廣告行業的信息授權使用或廣告資源分發等環節應用，我們拭目以待。

《個保法》的出臺，使營銷從林勢成大浪淘沙。其對品牌主、廣告商都是一次考驗，得以適應這一變革者，終將繼續商業與營銷上的成功之路。

配圖源於攝圖網。