【前沿思考】程序化广告中“匿名化”处理的用户画像数据合规分析
互联网法治研究
—
程序化广告中“匿名化”处理的
用户画像数据合规分析
程序化广告出现在各种网页和社交平台,广告平台利用各种cookie、SDK、广告ID等方法收集用户个人数据,通过行为建模绘制个人画像,最后自动化推送个性化广告到每一位用户的屏幕上。按照《网络安全法》规定,除非经过用户事先授权同意,网络服提供商不能向第三方共享、转让用户的个人信息,但经过处理无法识别特定个人且不能复原的除外。因此,用户画像和标签数据被匿名化处理后就可以不经用户同意共享给第三方。但问题是数据接收方可能会借助于额外的信息以及技术手段识别原始个人信息主体。鉴于程序化广告的涉及用户画像、自动化决策和匿名化处理,本文将对程序化广告涉及的数据处理进行分析,集中探讨实时竞价广告中涉及的个人画像、自动化决策、匿名化处理对个人数据安全的影响,以及对应的个人信息安全影响评估的重要性。
一
程序化广告中的个人信息处理
互联网广告投放的开端与传统广告并无区别,但随着互联网技术的改进,网络广告的投放逐渐程序化、自动化,可称为程序化广告。这不仅为广告主提供准确定位目标受众的全新营销模式,也为互联网免费产品和媒体平台提供了流量变现的有效手段。程序化广告为规模化地将用户行为数据转化为可衡量的商业价值提供了完整产品线和解决方案,并且实际上创造了互联网行业大部分的营收[1]。媒体、互联网平台作为广告位供给方,在流量变现的激励下,催生了不同的广告投放商业模式。美国互动广告局(Interactive Advertising Bureau,IAB)将程序化广告分为四类交易:“自动化包量”、“固定价格无预定”、“私有市场竞价”和“公开市场竞价”。目前我国程序化广告的生态在近年来逐渐成熟,也存在不同种类的程序化广告,本文重点讨论“公开市场竞价”模式,也被称为“实时竞价”、“公开交易平台”和“开放市场”[2](以下称“实时竞价”)。
(一)实时竞价广告运转机制
实时竞价广告模式允许广告主通过广告交易平台,根据宣传目标、目标人群以及费用门槛等因素对每一个广告及每次广告展示的费用进行公开市场竞价。竞价成功后获得广告展示机会,在媒体平台上展示广告。这种广告投放模式涉及多方利益主体,主要有:
· 广告主:投放广告的一方。出价高者获胜(但根据算法不总是最高价者),他们的广告将在网页上呈现给用户;
· 媒体平台:销售网上广告空间的网站、APP应用等;
· 供应方平台(SSP):卖方,服务于媒体平台的一方。将媒体平台广告展示相关数据与广告交易平台交互,使广告主可以通过竞价获得展示广告机会。
· 需求方平台(DSP):买方,为广告客户和广告机构提供广告展示位信息,方便广告主有效地竞价购买广告库存,例如提供设计投放目标、投放条件等服务;
· 广告交易平台(Ad Exchange):一个开放的在线广告交易平台,促成各方达成交易:使用DSP的买方(广告主)和提供广告展示机会的SSP(媒体平台)。针对每次广告展示,以每个受众为单位进行实时竞价的平台;
· 数据管理平台(DMP):帮助所有涉及广告库存购买和出售的各方管理其数据或者第三方数据。将数据整合、优化、多维分析,找出各种数据隐藏的知识,如确定用户特征、广告相关性、优质广告的特性,提升转化率和广告投放效果。
值得注意的是,一个数据控制者可以是DMP、DSP或者Ad Exchange的一个角色,也可以是同时承担多个角色,因此对于判断数据控制者、数据处理者或者共同数据控制者存在很大的困难。这意味着,数据保护责任的界定也是极其困难的。在英国信息专员办公室(ICO)发布的《广告技术和实时竞价的更新报告》[3]中指出了程序化广告生态系统的复杂性和不透明性,实时竞价过程涉及多个组织共同处理用户的个人数据,而且广告交易平台通过使用自动化处理,每秒处理数以百万计的竞价请求。换言之,实时竞价广告模式意味着数据控制者无法确定将数据共享给哪个第三方。这就导致了数据可能会被共享给大量的第三方,同时缺乏有效风险控制。
由于在实时竞价过程中,广告交易平台需要向参与竞价的DSP实时广播展示用户画像的个人信息,使得DSP理论上存在规模化监听用户行为的可能。另外,数据泄露风险极高,一旦有恶意的DSP对于能够参与竞价的所有广告请求都以很低的价格参与竞价,目的不在于取得投放广告的机会,而是收集用户行为数据,这就对用户个人数据安全带来极大隐患,或者有真实需求的DSP违规保存数据,并转作他用。因此,在此种商业模式中,个人数据可能面临未授权的数据共享,或者超过用户同意范围且违背目的限制原则。
(二)实时竞价广告模式中的个人数据处理
实时竞价广告模式中涉及的个人数据,根据其来源可以分为:第一方数据、第二方数据和第三方数据。第一方数据是指广告主自身保有的其客户数据;第二方数据是指媒体平台自身数据,比如百度、淘宝、微博等平台;第三方数据是指不直接参与广告交易的其他数据提供方。
在实时竞价过程中下,不仅第一方数据可以被利用,大量第二、第三方数据的加工和交易也发挥着重要作用。比如某个品牌希望通过广告接触到潜在客户,那么就需要以第一方数据,即以品牌的自有客户数据为基础,分析其行为和人口属性特征,然后再根据这些特征去匹配第二方数据或者第三方数据,最终找到潜在客户群体,定向发送广告。而要做到精准匹配,则要对第二方和第三方数据做整合、优化、多维分析,形成个人用户画像。值得注意的是,根据《信息安全技术 个人信息安全规范》[4](以下简称《信息安全规范》)最新规定个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,也属于个人信息。
毋庸置疑,越详细的个人画像对于广告主越有吸引力,因为不仅可以使广告更精准地投放到个人,也可以避免无效投入。腾讯社交广告能够提供20多种定向方式用于用户画像,大概分为以下六大类:基本属性、兴趣爱好、用户行为、用户状态、用户环境、自定义[5]。其中包括1000多个用户标签,并且可以实现跨平台投送广告。IAB的“内容分类法”包含了数百个领域,其中包括心脏和心血管疾病、心理健康、性健康和传染病[6],而谷歌的媒体行业包括生殖健康、药物滥用和健康状况、政治倾向和种族和身份组[7]。
第29条工作组于2018年2月6日发布《关于欧盟2016679条例规定的自动化个人决策和画像的指引》[8],该指引指出,在许多典型的情况下,基于画像的程序化定向广告不会对个人产生重大影响,例如,一个基于简单的人口统计画像的在线时尚直销店的广告。但值得注意的是,根据实际情形也可能会对个人造成重大影响,相关因素包括:用户画像过程的侵入性程度,例如跨网站、设备和服务的广告追踪;有关个人的期望和愿望;广告的投放方式;或者使用针对数据主体的错误标签。实际上,对一般群体几乎没有影响的定向广告可能会对某些社会群体(如少数或弱势群体)产生重大影响。例如,某个可能有财务困难的人经常成为高利息贷款广告的对象,他们可能会申请此类贷款,并可能导致更多的债务。因此,在某些场景下程序化广告的自动决策和用户画像的也能够对个人产生重大影响。
从数据处理的角度来看,实时竞价广告模式采用公开竞拍的方式,让任意广告主通过查看用户信息自主选择最佳的潜在消费者。出价较高的广告主可以得到目标广告位,每一次展示都尽量保证供给方和广告主的收益最高。但显然这种公开市场竞价模式未能充分考虑到用户权益的保护,比如个人心理健康、个人隐私、个人信息等权益。尤其是高度精确的用户画像由多个数据源融合而产生,而这些用户画像却可以在整个程序化广告生态系统内广播。
二
实时竞价广告模式中个人信息安全影响评估必要性
在我国主流平台服务提供者的隐私政策中,关于个人数据用于程序化广告的陈述通常为:“未经您授权,我们不会将您的个人信息与提供广告服务商共享。但我们可能会将您的匿名化的用户画像与广告服务商共享,以帮助其在不识别您个人的前提下提升广告有效触达率[9]。”或者“除非得到您的许可,否则我们不会将您的个人身份信息与提供广告、分析服务的合作伙伴共享。我们会委托这些合作伙伴处理与广告覆盖面和有效性相关的信息,但不会提供您的个人身份信息,或者我们将这些信息进行去标识化处理,以便它不会识别您个人。这类合作伙伴可能将上述信息与他们合法获取的其他数据相结合,以执行我们委托的广告服务或决策建议。[10]”这似乎符合《网络安全法》第42条中规定的要求,即网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。但这并不能免除网络运营者其他个人信息保护义务。
(一)个人信息匿名化和去标识化效果评估
虽然按照一般原则,经过处理无法识别特定个人且不能复原的个人数据可以不经个人同意即可向第三方共享。但是,匿名化和去标识化不能排除逆向识别的合理可能,即在一定场景下仍然存在识别个人身份的可能性。欧盟第29条工作组认为在判断信息主体被重新识别可能时应重点考虑以下因素:其一,数据控制者要关注反匿名化技术的具体方法,特别是考虑实施这些方法的成本和方式,以及评估其关联性和严重性。其二,数据控制者包括其他任何人可能使用的一般合理方法以判断个人是否可识别[11]。美国在判断准标识符识别性的过程中引入了隐私风险评估体系,通过个案中对隐私风险的评估,来判断去身份的程度和妥当性[12]。因此,即使数据控制者已经做匿名处理,也不能免除风险评估的责任。
我国《个人信息保护规范》第11.4条也规定了应该开展个人信息安全影响评估的情形,要求对个人信息控制者建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险,其中一项评估就是针对匿名化或去标识化处理后的数据集重新识别出个人信息主体,或与其他数据集汇聚后重新识别出个人信息主体的风险。
实时竞价广告平台中,不同主体均可能构成网络运营者,承担着数据控制者或者数据处理者应尽的个人数据保护义务。程序化广告商业模式,尤其是实时竞价广告中收集大量个人数据,即使对用户画像数据采取了匿名化去标识化处理,面对被重新识别的风险则应该对个人信息匿名化和去标识化效果进行评估。
(二)个人画像、自动化决策个人信息安全影响评估
如前所述,实时竞价广告生态系统中需要收集尽可能多的数据进行精准个人画像[13],以实现精准广告推送,而这一过程要通过算法自动化分析处理完成。根据欧盟GDPR第35(3)条规定,在以下场景下需要进行数据保护影响评估:(a)基于数据的自动化处理包括用户画像,或者基于对该自然人产生法律效力或者类似的显著影响的决定,对自然人个人方面的系统和广泛的评估;(b)处理大规模的第9条第1款规定的特殊类型的数据,或大规模的第10条规定的有关犯罪记录和违法行为的个人数据;或者(c)对公共区域大规模的系统化监控。这主要是由于个人画像与自动化决策对个人信息和自由存在重大影响。
《个人信息保护规范》规定了关于信息系统自动决策机制的使用,个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的,应在规划设计阶段或首次使用前开展个人信息安全影响评估,并在后期定期开展个人信息安全影响评估。另外,值得注意的是,数据控制者基于不同业务目的所收集个人信息的汇聚融合,则应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。而实时竞价广告平台中为了实现精准匹配,正是将多方数据汇聚融合,以得到更精确的个人画像和标签。
另外,依据《个人信息保护规范》个人信息安全影响评估的范围,主要是评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,例如是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等。程序化定向广告虽然可能只会向用户个人展示,广告推荐服务只发生在服务器与特定浏览器之间,没有对外公开宣扬特定网络用户的网络活动轨迹及上网偏好,不存在隐私权侵犯,但仍有可能对个人心理、消费习惯产生重大影响。参与实时竞价广告的数据控制者均应当开展个人数据安全影响评估,尽可能降低对个人权益的影响。
三
结语
在大数据时代,网络服务提供商,尤其占据市场优势地位的企业,所承担的社会责任巨大。个人信息作为一种无形资源,逐渐展现出公共物品的属性。个人数据被网络服务提供商大量利用过程中,应切实尽到个人数据保护责任。个人信息围绕个人的社会关系而产生,尽管当下对于个人信息的法律属性并不清晰,但无可否认个人信息与人格权和财产权息息相关。个人主体有权确定个人信息的被利用的方式和范围,个人可以选择提供更多个人信息以换得更多生活便利,相反也可以选择保留个人信息。程序化广告的透明度应该更高,网络服务提供商应该公开广告对象是如何被定位的、个人画像的数据来源,以及哪些数据决定了显示的广告等信息。实时竞价广告系统中的数据控制者除了依赖于标准条款、条件约束和控制措施来确保任何第三方的数据处理合规,同时很重要的是要做好个人信息安全影响评估。
注 释
[1]《计算广告:互联网商业变现的市场与技术》刘鹏著
[2]https://www.iab.com/wp-content/uploads/2015/06/IAB_Digital_Simplified_Programmatic_Sept_2013.pdf
[3]https://ico.org.uk/media/about-the-ico/documents/2615156/adtech-real-time-bidding-report-201906.pdf
[4]GB/T 35273-2020《信息安全技术 个人信息安全规范》,实施日期为2020年10月1日
[5]https://www.sohu.com/a/202663085_329837
[6]参见IAB 2017年发布的《内容分类法V2.0》,网址: https://www.iab.com/wp- content/uploads/2017/11/IAB_Tech_Lab_Content_Taxonomy_V2_Final_2017-11.xlsx
[7]参见Google的媒体Verticals清单,网址:https://storage.googleapis.com/adx-rtb- dictionaries/publisher-verticals.txt
[8]《关于欧盟2016679条例规定的自动化个人决策和画像的指引》,网址:https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
[9]百度隐私政策,网址:http://privacy.baidu.com/detail?id=288
[10]淘宝隐私政策,网址:https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a21bo.2017.1997523009.40.5af911d9Bkct19
[11]Article 29 Working Party,Opinion No.05/2014on Anonymization Techniques,网址:htp://ec.europa.eu/jus- tice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.
[12]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论,2017,35(03)/120-130.
[13]GDPR第4(4)条将“画像”定义如下:个人数据自动化处理的任何一种形式,包括使用个人数据评估与自然人有关的某些个人方面,特别是分析或预测自然人在工作、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或运动等方面的表现。
编者按:本文由互联网法治研究院(杭州)研究助理、华东政法大学硕士研究生张晓丽撰写,由互联网法治研究院(杭州)专职研究员、华东政法大学助理研究员王镭审校 ,互联网法治研究院(杭州)秘书处徐静赛编辑
互联网法治研究院 原创发布
往期精选
【征稿启事】“互联网法治研究”“数据法律资讯”公众号联合征稿
专注“互联网法治”研究👉