成年人要看的利弊——互联网数据商业化的模式变局
前言
一则小故事,纯属虚构,如有雷同,纯属凑巧:
从前有座山,前后山分别有两座香火鼎盛的寺院,两个小沙弥坐而论道。
前山沙弥:听师傅说,今后前山出入香客当自由选择是否购买香烛供奉。
后山沙弥:使不得,前山入寺有门票收入,后山开支还得依赖进山香客的香烛供奉。不收门票,香客买香烛拜佛乃是正理。要让香客养成了不烧香也拜佛的习惯,那可如何是好?
前山沙弥:小孩才分对错,大人只看利弊。买香烛靠的是你情我愿,强买强卖有违宗教本义,以后怎能服众?
后山沙弥:前山收费后山再收费, 谁还来后山?再说进寺就要收费,门槛太高,长此以往香客还会来吗?
前山沙弥: 心诚则灵…
正文
在2020年年末,一场可能影响未来互联网格局的风暴在大洋彼岸爆发。美国东部当地时间12月16日,F公司在《纽约时报》《华盛顿邮报》和《华尔街日报》内刊登专文,大篇幅“抨击”A公司即将推行的“隐私新规”漠视中小企业精准投放定向广告的商业利益,并称此种改变冲击互联网广告行业通行的商业变现模式,声称A公司以技术垄断颠覆行业规则。[1] 12月18日,A公司 CEO也罕见地在 Twitter 上回应:对被收集的数据,以及平台如何使用这些数据,用户都应该有选择权。F公司仍然可以像以前一样继续在各个应用和网站上追踪用户,A公司智能设备操作系统中的 App Tracking Transparency 只是要求先征求用户同意而已。[2]尽管这是两大互联网巨头的公开论战,但实质上有可能引发互联网变现模式的变革。
互联网定向广告的“理所当然”与自由意志
(一) 争议出发点之一:互联网广告个人信息的收集使用规则
多年来,A公司推出了一款符名为“IDFA”(即A公司智能设备操作系统中的Identifier For Advertising数据,“IDFA”)的独特设备标识号,F公司等广告主或者广告平台可以使用该设备标识号来更好地定位广告并评估营销效果。该项政策将此前默认开启的IDFA字段授权,以“强提示”的方式获得信息收集授权,即每个想使用这些标识符的App均需请求用户在App内首次启动时点击选择允许跟踪,以授权App基于行为定向技术进行个性化广告推荐的权限。
由于单独获取用户对于广告跟踪的同意在实践中较难实现,较大程度上影响了包括F公司在内的“免费”互联网服务提供商的变现效率, F公司才有了开篇所提及的“应激反应”。 具体而言,因为最终用户很有可能选择退出广告跟踪,所以A公司此次“隐私新规”将实质上影响F公司的效果广告业务。数字广告专家预计,大多数用户将拒绝授予此权限。[3] F公司大篇幅指责A公司 :“如果没有定向广告,这些小公司的销售额会锐减 60%”。
此外,F公司还指控A公司利用其控制设备端口的产业链上游优势肆意改变行业规则,并排挤竞争对手,呼吁执法机构关注A公司利用此类方式打击、阻碍市场自由竞争的可能。而A公司则从消费者个人隐私保护的必要性角度予以公开反驳:“我们认为这只是站在我们用户立场上的一件小事,用户应该知道他们的数据是如何被收集以及在其他App和网站中被共享的,也有权决定是否允许该种共享。”[4]
(二) 分歧的根本:互联网变现模式的差异
尽管两者的争议还涉及平台垄断等不同的法律问题,但首先,这项“隐私新规”直接关系到了消费者对于“广告标识符”事实上所享有的控制权大小与边界。
显然,基于Free Internet建构其商业王国的F公司无法认同基于付费订阅模式建立广告变现逻辑的A公司的“隐私新规”。从表面上看,该项隐私政策的改变,似乎仅是将从前消费者对于IDFA这类设备信息的授权模式,由Opt-out改变为了Opt-in,但实际上撼动的却是互联网广告产业链条中至为关键的“蛋糕”——互联网定向广告商业变现模式中,广告主、广告媒体平台、广告监测平台等互联网广告商业共同体对用户个人信息收集与使用的规则。
因此,尽管两家互联网巨头此次争议围绕“免费互联网中企业利用定向广告实现变现的商业模式”,两者立场的根本分歧主要源于两家公司互联网商业变现模式的区别。“盈利化最关键的选择就是决定该向谁收费”[5],基于平台企业在互联网服务中扮演的角色和定位不同,也基于各自不同的互联网实践习惯与消费者心理预期差异,两家公司对于互联网商业变现作出了迥然不同的回答:F公司基于向用户提供免费互联网信息服务,利用该等流量与数据资源向第三方广告供应商收费,实现了基于免费提供基础服务转而利用推广附加功能实现盈利的商业方案;而A公司以技术支付对价的方式,以向消费者提供有偿服务的变现模式。
但无论如何,不可否认的是,互联网广告是大量互联网企业变现的重要方式之一,互联网服务该不该免费?用户选择接收定向广告是否即免费使用互联网服务的对价?我们将从互联网广告规则和数据合规双重维度和大家共同探讨。
互联网定向广告的商业模式与法律规则分析
(一) 互联网定向广告投放机理与个人信息保护规制
互联网定向广告实质上是向用户进行的个性化推荐,是信息自动化决策中常见应用场景的一种。网络服务提供者要将广告内容在正确的时间、正确的场景下,以正确的方式,呈现给正确的受众群体,也即最应该看到该广告的用户人群和最想看到该广告的用户人群,从而提高互联网广告平台的变现效率,优化互联网广告的效果。
通常而言,实现互联网定向广告推送,离不开两大基本的技术手段:其一,通过用户画像技术,解决如何正确认识用户的问题,该技术是从业务场景出发,通过对大量用户数据进行分析、挖掘后形成一定与某个或某类用户具有关联的数据集(如兴趣点、浏览习惯、购物偏好等);其二,通过用户行为定向技术,解决如何正确界定用户的需求,该技术能够根据用户行为(如浏览网页、查看商品、甚至购买等情况),分析用户的类别,尤其是近期消费意向,并通过商品推荐系统或广告投放系统,在用户浏览网页时就相关商品或广告进行推送。[6]
基于以上,用户画像技术通常利用用户的基本信息、互联网行为数据、操作记录等形成日志信息并进行技术处理,进而形成反映个体或群体行为的用户画像。该过程涉及个人信息的处理,自然应当处于个人信息保护的规范领域之中,受制于一系列法律法规提出的监管要求。
但同时,需要注意的是,用户行为定向技术在采用“程序化广告”模式的基础上,以“实时竞价”的方式进行变现,该过程中所涉及A公司智能设备操作系统中的IDFA与另一智能设备操作系统中的OAID等设备信息的处理,一直处于行业通行做法与法律规制的双边处境之下:一方面,此信息系当下实现广告定投与效果分析的基本数据来源,建构了免费网络环境下互联网广告产业的基础数据池;另一方面该信息被推荐性国家标准《GB/T 35273-2020信息安全技术 个人信息安全规范》列入个人信息的范围内,同时根据《网安法》及《个人信息保护法(草案)》等对于个人信息的定义,理论上很可能因其被认定为与个人信息关联,甚至因其可能触达个人而被认定为个人信息。因此其收集、使用等处理过程同样需要严格遵循个人信息的处理要求。但如果对于该等信息的收集使用施加过多的不合理限制,又有悖于互联网广告历史发展中形成的以“开放、免费”为特征的行业共识与实践现状。
(二) 国内外目前针对互联网广告领域的监管规定
1. 欧盟&美国:对互联网定向广告中个人信息安全的风险防范
2017年1月,欧盟委员会提出了《隐私和电子通信条例》(Regulation on Privacy and Electronic Communications, “ePR”)[7]。该条例作为GDPR的特别法,替代了2002年公布的《电子隐私指令》(e-Privacy Directive, “ePD”),旨在规制电子通信服务并保护与用户终端设备相关的信息,使这一领域的立法要求与GDPR相协调。ePR针对cookie以及网站信标、图像像素等其他类似设备识别技术的使用提出了一系列严格的规则并对互联网定向广告等电子商业领域个人信息予以集中、具体规范。根据其规定,获取该等设备信息需要满足获得用户的同意或者是为用户提供服务所直接必需,而该等同意必须符合GDPR中的相同标准,即必须有数据主体明确的肯定性确认行为。随着数据保护立法的不断更新换代,欧盟在互联网定向广告领域的特别立法亦不断完善和推进,从“opt-out”到“opt-in”的转变集中体现了欧盟对该领域个人信息保护的严格态度。
2019年5月,在美国参议院的会议上,参议员Josh Hawley正式提起了2019年“不跟踪法案” (Do Not Track Bill)旨在通过建立“不跟踪系统”以保护互联网用户的隐私权利。请勿跟踪源自“Do Not Call”规则,依据该规则,电话推销员不能电话联系选择了退出的人。但美国与欧盟不同的是,其对市场的自我调节能力给予了高度的信任,侧重通过技术手段与行业自律治理互联网领域的个人信息保护问题。互联网定向广告作为互联网广告行业发展的产物,主要接受行业自律规制,美国联邦贸易委员会(Federal Trade Commission,“FTC”)在2010年发布的一份隐私报告中要求互联网定向广告中个人信息使用应当遵循透明、安全、信息保留等原则,要求互联网经营者设置“请勿追踪(Do not track)”系统,用户可以通过该系统拒绝cookie等技术对其个人信息的收集,从而在技术上突破了“告知—同意”机制的弊端。美国对于cookie等技术的使用采用的不是“opt-in”而是“opt-out”机制;其整体立法侧重的不是对使用技术本身的规制,而是从保护用户权益不受损害的角度通过侵权等方面的法律进行管理。[8]
2. 国内:互联网广告领域中的具体个人信息保护规定
根据我国目前现有法律规范和相关标准,在互联网定向广告领域,存有一定的原则性规定,同时在无特别法和例外规定的情形下,应当适用一般性的个人信息保护法律规范,如广告服务商应该在功能必要和目的限定范围内收集和使用用户广告标识符等个人信息,相关数据处理活动应当征询用户的同意等。与此同时,部分团体标准与行业规范也专门就定向广告、精准营销的个人信息使用行为作出了技术实现方案上相对具体的要求。但总体而言,现行规范未就广告服务商征询用户同意的具体形式(opt-in/opt-out)作出明确要求。
(三)互联网定向广告技术的数据处理现状与法律监管趋势分析
国内部分智能硬件设备厂商已陆续在用户交互界面提供“关闭跟踪”的操作选项,为用户提供拒绝OAID、IDFA的广告标识符被收集的机制。同时操作系统厂商也同样基于合规考虑作出了相应的调整。早在今年 4 月,某国内厂商就在其最新版本操作系统中推出了“照明弹”功能,该功能使得相关应用程序在查看用户剪贴板、在后台获取用户地理位置,或者调用麦克风、摄像头等设备权限时,会触发“拦截网”并在前台向用户发出弹窗通知。由此可见,网络服务提供者目前已经陆续开始基于合规要求对向其提供的相关功能及服务作出了相应的调整,在个人信息保护时代,A公司对IDFA限制和对应用追踪控制的决定是否会被互联网领域内的其他各方陆续采用,并在将来形成一定的行业共识,目前还有一定的不确定性。
自互联网程序化广告出现以来,数据便一直是驱动其发展的基础动力。尽管第三方代理公司和广告主都在搭建自己的数据管理平台 (DMP),但是由于媒体方数据量更大、维度更丰富、颗粒度更细,行业市场普遍期待媒体方数据的开放。目前,媒体更多是根据广告主及第三方代理公司的数据需求,回传相应的数据结果。有行业咨询机构分析认为,短期内,数据开放仍难有实质性动作,技术不是难点,找到各方角色之间的利益平衡点才是改变现状的关键。[11]
互联网定向广告背后的数据变现模式变革
(一) 互联网定向广告引发的法律责任
区别于电视时代的流媒体广告,互联网广告之所以能够实现“行为定向”,主要依托大数据和计算广告技术的成长与成熟。行为定向广告带给中小广告业主的是更精确、更有效、更经济的广告营销模式,节省了大量的无效交易与低效率投放成本。所谓计算广告就是在提升广告收益的基础之上形成新的广告形式,在实际应用过程中,主要从用户的需求出发,实现用户和广告的匹配。[12]这即与传统广告行业、电视广告呈现等方式相比最为核心和本质的区别。
由此,互联网定向广告与用户自身的数据、行为之间存在必然的“互动”。遵循行为法理论范式,该种互动作为法律规制所重点考察的行为领域,其合法合规性的研究,也必然需要以各个法律主体之间的法律角色和法律责任作为起点展开。
1.互联网广告产业链中的角色定位与法律责任梳理
在互联网广告中,所谓的变现,就是指通过引入付费方(Sponsor)指定的内容,为媒体带来收入的一种广告方向,其产生的主要效果是单位流量的收益(RPM)。在互联网广告中,变现主要分为两种形式,即流量变现和数据变现。区别于人们已经耳熟能详的流量变现,数据变现主要通过获取站外流量(互联网企业所理解的“获客”“拉新”等),基于对用户行为偏好等群体性或个性化的理解,提升广告投放效益(即RPM质量),以其差价作为盈利点。[13]
以程序性广告(程序化购买)为例,随着行业的发展已经逐渐形成了清晰的产业链。[14]该产业链上主要存在着以广告主、广告公司为代表的需求方平台(Demand-Slide Platform,以下简称“DSP”)、广告交易市场(Ad Exchange)、广告媒介平台(供应方平台,Sell-Slide Platform,“SSP”)、效果广告监测工具/平台(Web Analytics,“WA”)以及基于此构建起来的、由各方根据协议安排的共享数据管理平台(Data Management Platform,“DMP”)。在互联网定向广告生态系统中,各主体角色承担着互联网广告商业化变现的具体任务,基于业务需要,通过签署合同、调用SDK/API等技术手段实现数据交换、流通与共享,共同组成了基于用户数据驱动的自动化运作机器。(互联网定向广告商业变现、经营模式与潜在的数据流转示意简图可参见如下)
根据《互联网广告管理暂行办法》(“暂行办法”),广告需求方平台、媒介方平台以及广告信息交换平台等即提供信息整合、数据分析等服务、有针对性地发布程序化购买广告的法律规范主体。除了广告法和合同法一般性法律要求之外,根据《暂行办法》第十五、十七条,相关主体应当遵循的行为规范至少还包括:
(1)事前、事中的合同控制义务:各方订立互联网广告合同,同时查验合同相对方的主体身份证明文件、真实名称、地址和有效联系方式等信息,建立登记档案并定期核实更新;
(2)事后的“断链”义务:媒介方平台经营者、广告信息交换平台经营者以及媒介方平台成员,对其明知或者应知的违法广告,应当采取删除、屏蔽、断开链接等技术措施和管理措施,予以制止。未参与互联网广告经营活动,仅为互联网广告提供信息服务的互联网信息服务提供者,对其明知或者应知利用其信息服务发布违法广告的,应当予以制止。
2. 自动化算法模型的法律与道德伦理审视
互联网定向广告所依赖的大数据与自动化决策技术,与其他互联网个性化定制、推荐应用一样,自其诞生之日起便经受着来自多方面的“审视”和“拷问”。而之于互联网定向广告,人们常常发现其在某电商平台上购买产品后,该等产品的衍生或者附属产品将立马出现在与该电商平台存在商业合作关系的社交媒体页面中。[15]尽管这种推荐一定程度为用户提供了便利,但久而久之,如果缺乏人工干预,可以预想利用个人行为习惯、个性偏好等数据形成的推荐内容,将仅局限于个人所感兴趣与熟知的领域中,由此带来“信息茧房”效应中的信息差、认知面狭隘问题格外值得警惕。
近年来,随着人工智能算法推荐的广泛应用引发的虚假信息、用户隐私、信息茧房、算法歧视等负面影响的持续发酵,我国相关立法和标准开始关注算法推荐。包括《电子商务法》在内的不少法律法规及规范都针对精准营销、个性化推送广告等行为作出了规定,要求标明“定推”字样,给用户提供“退出”选项并删除个人信息,禁止歧视、欺诈等。[16]这客观上也意味着互联网用户基于互联网广告行业对其隐私空间的侵入与个人信息保护需求逐渐增强,与之相对应的是相关行业的个人信息处理与使用的法律合规压力也将加剧。
3. 消费者权益保护视角下定向广告的法律风险
关注消费者在互联网广告争夺战中的合法权益保护,是世界各国共同关心的话题。就在开篇所提及的F公司与A公司之间论战打响前日——北京时间12月16日,上海市消费者权益保护委员会发布了《App广告消费者权益保护评价报告(2020)》。该报告区别于关注传统广告与搜索广告,着重关注了互联网公司App广告“流量变现”中可能侵害消费者权益的多种情形,并且揭示出“个性化广告推荐‘不可选择’问题较为普遍”的现状;在对600款APP相关功能设置测试中发现,仅有14.5%的App可以找到个性化广告推荐关闭入口。[17]我国《消费者权益保护法》基于面向消费者进行的商业行为,提供了明显而必要的规制路径,例如该法第八条、第九条分别规定了消费者依法享有的知情权和自主选择权,该法第十条同时规定了消费者享有的公平交易权。
广告,尤其是互联网广告作为在线消费场景中的常见场合,其本身自然也应当满足消费者权益保护的内在要求。在实际生活中, 广告处理平台、电商平台等利用大数据技术、无感知收集用户个人信息时(如通过SDK/API接口等),用户基本处于不知情的状态[18],或者即便在隐私政策中进行了披露并且提供了Opt-out选项,但在事实上用户对自己的信息被何人收集、用于哪种用途的预期仍比较弱。此外,用户作为消费者,并没有权利来自主选择并决定其个人信息如何被处理,进而无法过多地参与定向广告内容的来源控制。由上分析,如果互联网信息服务商仅提供定向广告和客观上纯粹“个性化”展示与推荐的结果,事实上与为消费者提供全面、客观的线上商品消费市场可能是背道而驰的。
(二) 互联网定向广告中的个人信息保护诉求
互联网大数据很大程度地改变了传统意义的营销手段。以往的营销主要依赖品牌推广,根据群体解析;而大数据分析挖掘通过用户数据分析,市场趋势解析、触达场景解析、营销推广产品平息,洞悉营销推广对象的诉求点,利用智能推荐技术,实现了真实意义上的人性化精准营销。[19]而作为精准营销的一种行业形态,互联网定向广告乃大数据技术驱动下实现经营模式转型的典型业态。
但如上所说,该商业模式的构建和运转依赖于大量的业务数据与用户数据的收集与处理,而关于个中的隐私顾虑与个人信息保护压力也逐渐成为人们时下关心的议题。
1. 兼顾不同程度隐私期待的信息合理使用
在探讨互联网定向广告的法律规制之前,我们需要面对一个不容忽视的事实,即在多种主客观因素的考量之下,用户对于互联网企业收集、使用其个人信息的合理预期与信赖程度确实是不完全一致的。对于不少用户而言,以提供与贡献个人信息为代价作为获取定制化的个人信息服务与广告推荐,减少信息搜寻成本,他们的态度可能更为积极;而与之相对,作为个人信息和隐私敏感群体而言,未经明示、准确的授权程序便对其个人信息进行处理用作商业化变现,实属不能接受的商业营销行为。
“隐私悖论”这一概念正好表达了上述矛盾的现实状态。不论是出于网络社交的需要,还是为了自我呈现的心理需求,抑或是为了获得更多、更好的个性化服务,不少用户其实可以接受部分个人信息被收集。这种悖论反映出的实质是,用户希望能够以最少的个人信息为代价,换取更丰富的免费互联网服务或者更合心意的互联网服务。[20]此外,相较于隐私信息或者敏感个人信息,对于“广告标识符”等标识类的个人设备数据,在商业化使用中更需要考虑到不同程度的用户合理预期这一客观事实,平衡多方利益关系。
因此,对于互联网定向广告的行为法律规范,我们建议探讨行为底线或者权利边界问题,换句话说,法律规范应当明确的是互联网定向广告投放过程中不能被视为合理而需禁止的个人信息收集和处理方式,而非“一刀切”地对定向广告这一行业形态进行全盘否定。依赖定向技术的计算广告以其效率形成了互联网广告的产业链,其演变与发展存在一定的客观规律,尊重此规律并紧守底线当是大数据时代互联网广告业态转型期法律规制的基本立场。
2. “基础/增值服务”二元结构中的广告定位
区分一款App中的基础功能与增值服务功能以相对应地设计与匹配必要个人信息收集范围,是当前监管部门采用的重要思路。该种监管思路细化了个人信息保护的执法方式与手段,贯彻落实了法律上对于信息收集“最小必要”的原则性规定。此前,国家网信部门发布的《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》[21](“征求意见稿”)中就针对包括即时通信、网络社区、网络支付、网络购物、短视频、新闻资讯以及实用工具等38种类别的App提供基础服务时所允许收集的必要个人信息类型予以了列明。此举同时也意味着,相关监管规定要求网络服务商仅能基于实现基础功能需要而收集必要个人信息,且仅在未能获取该等必要个人信息导致无法实现基础功能时才允许拒绝服务,原则上附加功能的个人信息收集活动不能影响提供App基础服务。
目前,基于算法自动化推荐而提供个性化信息内容服务已然逐渐成为各种类型App的基础功能,为了更多样化地满足各类用户的使用需求,追求定制化、独特性的移动互联网应用,必须依赖于“用户画像”等类似技术实现数据驱动与用户增长,培养流量黏性。从产业实践角度来看,各类设备信息、用户行为日志等均成为了画像数据的重要来源。各家互联网产品也纷纷在隐私政策中向用户披露该等个人信息的个性化分析与处理方式。而定向广告与个性化推荐所依赖的数据和技术基础都较为相似,客观而言,定向广告作为商业机构的一种变现方式,普遍存在于App提供的各种类型的信息服务之中。
纵使在技术方案的实现上个性化内容推荐的信息服务与定向广告两者间存在千丝万缕的联系,但从现有监管观点,尤其从《征求意见稿》所反映出的必要个人信息范围的严格性认定来看,将定向广告视作App基础服务或者核心功能可能仍存一定的障碍。在《征求意见稿》所列明的38种常见类型App中,未见有将广告服务作为基础功能的列举,也未见将“设备信息、广告标识符”等个人数据作为必要个人信息类型予以规定。这客观上也在提示和驱动着将精准营销、定向广告投放作为主要的商业营利模式的互联网企业开拓思路,进一步尝试改变和优化互联网“数据变现”的路径与对策。
(三) 开放性讨论:互联网广告的数据变现模式变革
回归到开篇F公司与A公司之争,此次论战的根源在于互联网广告服务免费与开放性的商业变现模式分歧。即,在开放互联网所实现的“免费经济”业态下,用户通过个人信息换取免费服务已经被普遍接受;而一旦当互联网不再是“Free Internet”,或者说当“免费经济”成为过去式,在用户有更大的自主权决定是否通过让渡一定的个人信息或者个人信息权益来换取免费使用互联网产品的便利时,互联网服务提供商该以何种对策应对此种可能面临的数据变现模式的变革?
1. Free Internet中互联网广告变现逻辑
回溯互联网广告产业的兴起,其确乎脱胎于免费互联网的商业变现逻辑,在普遍免费的模式下,互联网企业采用向第三方收取费用的方法,互联网广告业务由此应运而生。从网络经济的内在逻辑出发,“免费+广告+增值”的普遍免费模式在互联网兴起的20年间牢固地树立起来。在免费互联网商业模式下,为了增强用户粘性、获取数据流量,互联网企业通过“免费提供服务”和“提供巨额补贴”等方式,不断向外扩张和获客,互联网经济由此经历了“注意力资源争夺”和“双边市场粘合”两代由免费实现商业变现的迭代过程。但究其本质,网络运营者的目的仍然是营利。但普遍免费模式并不真正免费,其实质是用户将自己的个人信息提供给网络运营者,作为使用网络服务的代价。[22]即,互联网企业将用户的流量和个人信息,用作向第三方(往往是广告商)收费的资本与筹码。
通过用户个人信息换取免费使用做法的弊端事实上已为人们所洞察。在合同法理论下,由于用户与互联网服务提供商之间通过“个人信息换取免费服务”的无偿交换,在权利与义务一致性的传统观念下,忍受互联网信息服务商收集处理个人信息成为用户免费使用产品的对价和义务。同时,用户永远作为技术与信息不对称的弱势方,经济学上的“有限理性”理论很好地解释了当下互联网广告服务商过度收集乃至滥用个人信息的问题——基于“免费”的诱惑力,并非所有用户对个人信息在互联网广告行业中的收集、使用过程和处理的消极性后果都有清晰和明确的认知,基于用户的授权同意保护互联网广告中个人信息主体权益的有效性存疑。由此,当下“免费+付费”互联网个人信息保护模式成为了一种新的思路。[23]
2. 付费互联网中的隐私付费与数据变现
通过订阅/购买互联网服务,是付费模式的基本商业逻辑。一年前,南都个人信息保护研究中心发布的《2019个人信息安全年度报告》表明,随着民众对个人信息保护意识的增强,近八成受访者会主动做隐私相关的设置,有约三成受访者愿意为隐私保护付费。[24]针对社会人群中逐渐攀升的隐私付费(Pay for Privacy)意识,此前已有不少互联网企业在提供产品和服务的过程中,尝试推出付费增值功能,以直接向用户收取费用的方式另辟数据变现模式。就在今年早些时候,Zoom会议软件就公开标明将允许付费用户选择他们的线上会议的数据通过哪里的数据中心进行传输,同时只有付费用户可以获得终端对终端的数据加密连接服务。[25]
在付费互联网的语境下,用户订阅/购买等付费行为将取代免费经济下的自由式获取,虽然这看似与互联网本身的开放性相悖,但通过与对方订立一个“双务有偿合同”的方式,来限制互联网信息服务商收集和利用个人信息用作定向广告和精准营销的做法,对于隐私敏感人士似乎也是一种可以被接受的选项。
不少的市场经济分析以“用户需求分层”为出发点,认为未来的互联网经济由免费向收费转型或将成为一种趋势。[26]落实在互联网广告行业中的个人信息保护层面,对应的即互联网用户之间的隐私敏感程度与合理预期的程度存在较大差异的社会现实。为隐私付费的数据变现模式,客观上免去了无偿合同下部分隐私敏感用户忍受定向广告或精准营销的侵扰,综合考虑和平衡了不同用户和主体之间的利益。换言之,付费模式深刻认识到了“并非所有人都无力支付服务费用,也并非所有人都将便利性置于个人信息之上”。对于不同用户群,付费模式拓展了他们的选择权,利益分野和价值分歧的不同用户因此能各得其所。[27]
倘若要深入探讨互联网发展趋势中的数据付费与变现,除了上述用户基于隐私付费向互联网信息服务商付费的路径,还包括互联网信息服务商通过付费向用户获取个人信息使用权益乃至“数据产权”的商业模式。该种模式的典型代表是微软公司于去年就提出的“数据尊严(Data Dignity)”[28]计划。该计划建构在这样的产业观点之上:用户作为其自己数据的生产者与销售者,理应有权向互联网信息服务商提供的数据主张“自主控制”和“合理分润”的要求,即基于数据的价值通过金钱报偿获得直接利润。[29]尽管对该种计划的提法与概念褒贬不一,主要的批评意见在于:以“数据尊严”为托词,互联网企业基于营利目的,将会有更直接的理由、更强大的动力和更多的机会来合理地请求乃至“诱惑”用户“出售”其数据,从而更为理所当然地将获取来的用户数据“合法地”占据为己有。[30]仍然基于“有限理性”的经济学分析思路,在这一过程中,用户难以清楚和合理地对自己的数据进行估值和定价,而最终很可能仅通过获取微薄的收入,而互联网巨头却换得了丰富的数据量和财富。沿着该思路继续探讨,便进入了“数据产权化”的理论研究范畴,限于篇幅本文将不再继续展开。[31]
3. 不仅是“决定权”,也将“主动权”一并交还用户
A公司“此举”确实改变了互联网广告商一贯以来对于IDFA等广告标识符数据的获取方式,从此前为用户设置开启分享权限的默认状态,转变为必须征得用户明示同意才允许获取的做法,这无疑将为依赖于该等个人数据进行定向投放和精准营销的广告商带来一定的“数据缺失”。但从个人信息保护的视角来看,此种授权方式的改变,意味着用户对于授权相关主体收集处理个人信息的效力增强,用户不仅享有了对广告标识符等个人数据被第三方用作定向投放和精准营销的拒绝权,还赋予了用户明知、主动地进行选择的机会和权利。
但另一方面,F公司之所以认为该种授权方式的改变不为Free Internet所接受,本质上仍是因为其基于免费互联网所秉持的商业变现理念,即用户基于免费享有互联网服务的同时也有义务忍受该等个人信息以商业化广告推广的方式进行默认的收集与处理。在遵循个人信息保护合法、正当和必要利用的大前提下,该种商业变现模式事实上也并非是“强盗逻辑”,利用用户的设备数据进行精准营销和广告投放,节约信息触达成本、提高商业变现效率,亦非毫无价值。结合此前《征求意见稿》中对于大部分实用工具类、在线影音类等功能性App必要个人信息范围的认定意见,在未基于实现基础功能获取必要个人信息的同时,经用户授权(无论是默示还是明示)利用广告标识符等信息进行商业化变现,仍然是其生存与盈利的重要路径。如果说F公司等巨头企业基于已经建起的庞大的数据用户画像库数据尚可弥补部分“损失”,而此次A公司的隐私新规,事实上影响最大的便是此类主要依靠设备广告标识符进行广告投放实现盈利的效果广告第三方平台。
上述双方各持理由的论战,对于我国互联网广告行业的法律规则设计与规制方式不无启发意义。面对“免费 vs. 付费”两种截然不同的互联网营利理念和变现模式,在互联网定向广告产业仍将存续的未来,相关个人信息保护立法和规则是否需要根据免费/付费两种模式区分设置不同的互联网广告的个人信息使用规范、为互联网广告服务商设置不同的注意义务和责任?我们理解,进行适当的区分适用可能是时下较为务实的考虑,一方面是基于用户存在不同的隐私期待与产品需求的现实,另一方面也是平衡个人信息主体权益与互联网广告产业利益平衡的需要。但需要强调的是,所有的商业化变现方案的大前提都是在法律允许和合理的商业目的范围内对用户个人信息进行合法、正当和必要的处理,即便是通过免费服务换取的个人信息依然如此。
无论如何,上述问题仍待法律与商业实践的互动来丰富、充实选择的结果与衡量。但可以肯定的是,商业化广告的变现,尤其是互联网广告的定向投放,似乎正面临着这一价值判断和价值选择——这种选择,将深刻地影响乃至改变互联网个人信息保护立法的立场与规则,同时也可能带来互联网商业领域内新一轮盈利和变现模式的变革。
企业的当务之急与未雨绸缪
(一) 严守个人信息保护底线,尊重消费者权益
如前文所述,广告作为经多年探索实践的一种能够实现企业数据资产商业化的模式,为规模化变现流量和数据提供解决方案,同时孵化了较成熟的数据加工和交易产业链。[32]A公司“隐私新规”无疑将对现有广告变现的商业模式产生较大影响,尽管对于A公司的做法仍存在诸多争议,然而在用户隐私与个人信息保护受到更多关注的背景下,A公司限制IDFA可能只是一个信号,我们无法排除在不久的未来开启应用后主动提示是否选择关闭应用的广告标识符将可能成为市场主流做法乃至监管要求,就如同当前应用调取位置、麦克风、相机等权限前一样需要征得用户同意。
在这样的趋势下,企业应顺时而动,积极关注消费者在向消费者提供广告过程中的个人信息与隐私保护问题,响应监管要求,避免超出必要范围收集用户个人信息,保障用户数据在产业链不同平台间流转的安全性;此外,企业应确保充分尊重消费者知情权与公平交易权,为用户提供方便快捷的关闭个性化广告推荐入口。
(二) 定义数据资产,拓宽数据变现思路
当然,除了关注隐私保护趋势对于企业广告变现商业模式的影响,企业也需要未雨绸缪,尝试探寻新的解决方案。具体而言,一方面企业可以探索合法合规调取用户IDFA权限的商业逻辑,例如是否能够通过提供额外增值服务和经济奖励的方式,以之作为用户允许调取IDFA的“激励”,从而实现基于用户同意获取用户IDFA,进而维持就有的商业广告推送业务。另一方面,对于掌握海量数据的互联网企业而言,广告变现的模式并非实现数据变现的唯一出路。无论在合法合规前提下将所收集数据以产品形式有机整合形成数据型产品直接对外输出,抑或是利用数据锻炼形成算法模型对外有偿输出分析能力,又或是利用所收集数据赋能驱动企业内部决策,从而为企业内部营销、风控等部门提供数据支持。凡此而言,以上种种数据变现方式均可能为企业带来新的契机。
写在最后的话
2020年末的这一场围绕互联网广告与个人隐私权利的纷争还没有落幕,孰是孰非未必能有公论。但作为已经融入线上生活的社会群体,我们希望和大家一起去思考互联网数据变现模式变化可能引发的互联网经营模式变革,共同研判法律对于数字社会重构的当下个体与社会的利弊,维护和坚守道德及法律底线。
2021年,盼望互联网不忘初心,秉承“自由、开放、合作、分享”的精神继续发展,为构建智能化社会打下坚实的线上基础。
向下滑动阅览
脚注:
[1] See: 1) How Apple's iOS 14 Release May Affect Your Ads,https://www.F公司.com/business/help/331612538028890;2) Speaking Up for Small Businesses https://www.F公司.com/business/news/iOS-14-apple-privacy-update-impacts-small-business-ads 最后访问日期:2020年12月29日。
[2] 《F公司 登报反苹果,他反的到底是什么?》,载“极客公园”微信公众号,转自36Kr,https://36kr.com/p/1019611330872068 最后访问日期:2020年12月27日。
[3] 《苹果希望限制广告 Facebook表示这将损害数千名研发人员》https://chinese.aljazeera.net/technology/2020/8/27/%E8%8B%B9%E6%9E%9C%E5%B8%8C%E6%9C%9B%E9%99%90%E5%88%B6%E5%B9%BF%E5%91%8A-F公司%E8%A1%A8%E7%A4%BA%E8%BF%99%E5%B0%86%E6%8D%9F%E5%AE%B3%E6%95%B0%E5%8D%83%E5%90%8D%E7%A0%94%E5%8F%91%E4%BA%BA%E5%91%98 最后访问日期:2020年12月27日。
[4] Apple Responds to Facebook's Anti-Tracking Criticism, Says Users Deserve Control and Transparency, https://www.macrumors.com/2020/12/16/apple-responds-to-facebook-tracking-criticism/, 最后访问日期:2020年12月31日。
[5] Geoffrey G. Parker & Marshall W. Van Alstyne & Sangeet Paul Choudary:《平台革命:改变世界的商业模式》,志鹏译,机械工业出版社,2019年4月第1版。
[6] 牟萍:《互联网广告精准投放中的个人信息保护问题》,https://mp.weixin.qq.com/s?src=11×tamp=1609247551&ver=2796&signature=0Blr3SxgpTMx*Q7XtNnRZDYxL551kl7lGVye8apu6RcwCn5W7KpqD6wu6zWsA-0xyIFQEpp4*Mg59NxQ4pasLSZqMXtDpQGAPta8PeM4VEkIjzUAHXwRHooLUm44fg8Z&new=1,最后访问时间:2020年12月29日。
[7] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC.
[8] 宁宣凤,吴涵:《你的“饼干”安全吗?——Cookie 与个人信息保护》,https://www.kwm.com/zh/cn/knowledge/insights/cookie-20180810,最后访问时间:2020年12月30日。
[9] 中国广告协会:《国内首个移动互联网广告标识技术规范发布》,https://mp.weixin.qq.com/s/r5qvkO4CHrTTBFWyZzg2FQ,最后访问日期:2020年12月27日。
[10] 中国政府网:《我国出台定向广告行业框架标准保护用户信息安全》,http://www.gov.cn/xinwen/2014-03/14/content_2638736.htm,最后访问日期:2020年12月30日。
[11] 艾瑞咨询:《中国程序化购买市场趋势展望》,http://report.iresearch.cn/wx/report.aspx?id=3017,最后访问时间:2020年12月30日。
[12] 柴林麟:《大数据时代下互联网广告及计算广告学的应用研究》,载《信息与电脑》2015年第16期,第29-30页。
[13] 同上注,第30-31页。
[14] 段淳林,李梦:《移动互联网时代的广告产业链角色重构与平台化转型》,载《华南理工大学学报 (社会科学版)》,2015年第4期,第59页。
[15] 新华网:《“精准广告”成“惊准广告”,谁来管管?》,http://www.xinhuanet.com/2019-05/30/c_1124563856.htm 最后访问日期:2020年12月28日。
[16] 腾讯研究院:《从<网络生态治理规定>看互联网新技术的治理》, https://www.tisi.org/12716,最后访问日期:2020年12月28日。
[17] 上海市消费者权益保护委员会:《APP广告消费者权益保护评价报告(2020)》http://www.315.sh.cn/html/wqdt/2020/12/17/40657563-14e0-4fd9-bb8c-8d42609a9c03.shtml 最后访问日期:2020年12月28日。
[18] 陈纯柱,王唐艳:《大数据时代精准广告投放的隐私权保护研究》,载《学术探索》2020年第4期,第107页。
[19] 中国信通院:《大数据白皮书(2020年)》,http://www.caict.ac.cn/kxyj/qwfb/bps/202012/P020201228636714404462.pdf,最后访问日期:2020年12月29日。
[20] 牟萍:《互联网广告精准投放中的个人信息保护问题》,https://www.freebuf.com/fevents/234736.html,最后访问日期:2020年12月28日。
[21] 国家互联网信息办公室关于《常见类型移动互联网应用程序(App)必要个人信息范围》
公开征求意见的通知,http://www.cac.gov.cn/2020-12/01/c_1608389002247944.htm,最后访问日期:2020年12月29日。
[22] 张新宝:《互联网时代下个人信息保护的双重模式》,载《中国信用》2018年5月,第101页。
[23] 对于该思路的详细论述,可参见:张新宝:《“普遍免费”+“个别付费”:个人信息保护的一个新思维》,载《比较法研究》2018年第5期,第1-15页。
[24] 中国新闻网:《报告:民众对个人信息保护意识增强 约三成愿意为隐私保护付费》,http://www.chinanews.com/sh/2019/12-06/9026867.shtml,最后访问日期:2020年12月29日。
[25] Zoom Confirms You Have To Pay For Privacy, Including From The FBI,https://screenrant.com/zoom-encryption-video-call-privacy-fbi/,最后访问日期:2020年12月29日。
[26] 薛洪言:《薛洪言评互联网2020:收费越来越多 免费越来越少》,http://finance.sina.com.cn/zl/bank/2019-12-26/zl-iihnzhfz8416979.shtml,最后访问日期:2020年12月29日。
[27] 张新宝:《互联网时代下个人信息保护的双重模式》,载《中国信用》2018年5月,第102页。
[28] Microsoft's new 'Data Dignity' team could help users control their personal data,https://www.zdnet.com/article/microsofts-new-data-dignity-team-could-help-users-control-their-personal-data/,最后访问日期:2020年12月29日。
[29] Jaron Lanier, E.Glen Weyl: A blueprint for a Better Digital Society, Harvard Business Review, http://eliassi.org/lanier_and_weyl_hbr2018.pdf,最后访问日期:2020年12月29日。
[30] Kevin Mwanza: Getting Cash For Our Data Could Actually Make Things Worse, https://onezero.medium.com/getting-cash-for-our-data-could-actually-make-things-worse-3793c52ec7e5,最后访问日期:2020年12月29日。
[31] 国内学者在数据产权化研究领域也展开了多样化的探讨和研究,新近的研究成果可参阅如:申卫星教授:《论数据用益权》,载《中国社会科学》2020年第11期,第110-131页。
[32] 刘鹏、王超:《计算广告 互联网商业变现的市场与技术》,人民邮电出版社,2019年9月第2版
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
蒋科
合伙人
合规业务部
jiangke@cn.kwm.com
业务领域:科技和电信领域合规、网络安全和数据合规
蒋律师曾在金杜工作过十年,回归前,蒋律师曾作为内部法务为亚马逊云服务和宝马集团在中国市场的产品和运营合规,数字化和网络安全项目等提供法律支持。蒋科律师擅长为各类科技、汽车、云服务行业及互联网公司提供领域内的合规咨询意见,并能够将领先的企业监管与网络及信息技术紧密结合。蒋科律师在众多复杂的项目中为客户提供了创新的综合解决方案,并得到客户的广泛认可。
潘驰
律师助理
合规业务部
赵天琦
律师助理
合规业务部
感谢实习生姚敏侣对本文的贡献。
人工智能:
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
Personal Information Protection Law (Draft): A New Data Regime 2020-11
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05