廣告監測大家都很熟悉,那麼對應到法律法規和國家標準中,各方是什麼法律關係、廣告監測中的角色都屬於哪類的個人資訊處理者、處理目的和方式是什麼、需要遵守哪些處理原則?本文將從該角度切入,進行梳理分析:
1
什麼是廣告監測
廣告監測就是在廣告投放過程中監測廣告的曝光、點選數量
,也就是說廣告投出去以後,被多少人看到了,或者進一步點開了。
廣告投放過程中涉及的主體非常多,本文僅討論涉及到的
四個最主要的主體
:
廣告主
(品牌方或App)、
媒體
(廣告發布的平臺)、
個人使用者
(看廣告的人)、
廣告監測方。
可以看出,如果沒有廣告監測方,廣告主、媒體和個人使用者也可以完成整個廣告投放的過程,這就要引出下一個問題——為什麼要做廣告監測?
2
為什麼要做廣告監測
廣告主在投放廣告的時候,通常是釋出一個指令,例如:某品牌方要在某個媒體上花100萬投放一條廣告,一週內希望這個廣告被看到1000萬次。轉換成廣告界的語言就是,廣告主投放100萬一周內得到1000萬個曝光。
但這是一個結果導向的事情,卻需要一系列複雜的過程來完成這個結果。廣告主由於無法掌控廣告投放的複雜過程,就會出現信任問題,媒體說完成了,但廣告主會有一系列疑慮:廣告真的按我的要求投了嗎?真的有1000萬個曝光嗎?真的投放給了我的目標受眾嗎?有多少人點開了這個廣告?
100多年前,百貨商店之父John Wanamaker也有過同樣的疑慮
“我在廣告上的投資有一半是無用的,但是問題是我不知道是哪一半。”
這也是著名的廣告界“哥德巴赫猜想”。那麼在當下程式化廣告的時代,
這個“猜想”可以說由廣告監測解開了。
廣告監測方在廣告主和媒體中間充當一個裁判員的角色,廣告監測方在廣告投放過程中和媒體一起記錄廣告的曝光或點選,廣告主、媒體、廣告監測方三方達成合意,廣告監測方的統計資料可以生成監測報告作為廣告主與媒體結算的依據。
對於廣告主來說
,其可以依據廣告監測方的監測報告去做效果評估,並作為廣告投放的依據,去最佳化投放策略,以更好提升廣告投放的轉化率
;對於媒體來說
,解決了信任問題,有廣告監測方的監測報告作為背書,省去很多無謂的解釋和辯護,有利於得到更多廣告主的投放需求,促進整個廣告生態的和諧有序發展。
3
廣告監測的分類
從實現目的、功能的不同,分為效果廣告監測和品牌廣告監測:
效果廣告監測通常服務於App開發者,品牌廣告監測則更多服務於品牌客戶;效果廣告監測以廣告歸因為核心,品牌廣告監測以品牌宣傳的評估為核心。
從監測的階段不同,又分為前鏈路廣告監測和後鏈路廣告監測。
由於廣告主會在多個渠道投放廣告,那麼,前鏈路廣告監測是監測廣告的曝光、點選資料,即有哪些使用者看到了或點開看了。後鏈路廣告監測主要是歸因,即監測廣告是否產生啟用、註冊(即透過點選廣告而下載App並開啟、註冊的行為)等行為,以及渠道歸因,也就是去分析是從哪個媒體渠道轉化過來的啟用、註冊。
效果廣告主可以透過上述方式實現前鏈路和後鏈路的廣告監測,品牌廣告主通常只會透過上述方式做前鏈路的廣告監測,後鏈路的監測則需要藉助其他工具,例如TalkingData推出的基於CPO(每個訂單的投放成本)模型的品效全景度量方案。
不同的廣告模式,資料的傳輸機制分別如下:
1、前鏈路廣告監測的資料傳輸:是由媒體向廣告監測方傳輸媒體曝光、點選資料的傳輸方式,具體有以下兩種實現方式:
S2S:
Server to Server,由媒體服務端到廣告監測方服務端
C2S:
Client to Server,由媒體客戶端到廣告監測方服務端
通常是以C2S的傳輸方式為主。
2、後鏈路廣告監測的資料傳輸:在完成前述前鏈路廣告監測後,為完成效果廣告監測,最主要的是渠道歸因,廣告主還需向廣告監測方傳輸App啟用、註冊等後鏈路資料,有以下實現方式:
SDK:
廣告主的客戶端集成了廣告監測方的SDK,由廣告監測方的SDK發起HTTPS請求。
4
廣告監測行為中主體之間的
法律關係和合規性分析
在瞭解了上述廣告監測的來龍去脈及實現方式以後,我們對應到資料生命週期中來回溯涉及哪些個人資訊處理主體和個人資訊處理行為。
1、廣告主和媒體之間
可以看出二者之間從始至終不涉及資料傳輸,僅是基於廣告投放的合同關係,不涉及個人資訊處理行為。
2、廣告主和廣告監測方之間
如果僅涉及前鏈路廣告監測,廣告主無需載入廣告監測方的SDK,則雙方僅是
基於廣告監測的合同關係
,也不涉及個人資訊處理行為;
如果涉及到後鏈路廣告監測,廣告主需載入廣告監測方的SDK,則根據
GB/T 35273—2020《資訊保安技術 個人資訊保安規範》第9.6條
“共同個人資訊控制者的界定,如果個人資訊控制者在提供產品或服務的過程中部署了SDK,且該第三方未單獨向個人資訊主體徵得收集個人資訊的授權同意,則個人資訊控制者與該第三方個人資訊收集階段為共同個人資訊控制者。”而由於廣告監測的SDK不直接與個人使用者產生互動行為,未單獨向個人資訊主體徵得個人資訊的授權同意,這一授權同意是由廣告主在其隱私政策中透過披露廣告監測方實現的,但對於廣告監測方來說,更合規的方式是也需要在其網站的隱私政策中公開披露詳細的SDK個人資訊處理規則。
再根據
《個人資訊保護法》第二十一條
中共同決定的規定,廣告主和廣告監測方應當約定各自的權利和義務,並且,侵害個人資訊權益的,依法承擔連帶責任。
3、廣告監測方和媒體之間
其關係通常屬於個人資訊共享行為,根據
GB/T 35273-2020 《資訊保安技術 個人資訊保安規範》中b)9.2條
“向個人資訊主體告知共享、轉讓個人資訊的目的、資料接收方的型別以及可能產生的後果,並事先徵得個人資訊主體的授權同意。共享、轉讓經去標識化處理的個人資訊,且確保資料接收方無法重新識別或者關聯個人資訊主體的除外。”
按照上述規定,
媒體在開展廣告監測服務時,應披露共享或轉讓個人資訊的目的、資料接收方的型別及相應的影響
,經過單向雜湊函式加密等方式處理,資料接收者單方面無法再次識別的個人資訊除外。
《個人資訊保護法》
則是對向其他個人資訊處理者提出更為嚴苛的要求,
第二十三條規定
,“個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊的,應當向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類,並取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人資訊的種類等範圍內處理個人資訊。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。”
相比GB/T 35273-2020 《資訊保安技術 個人資訊保安規範》,
《個人資訊保護法》
進一步要求詳細披露第三方的身份及聯絡方式,處理方式和個人資訊型別,並取得單獨同意
。同時個保法第四條規定,個人資訊不包括匿名化處理後的資訊。也就是說,只有匿名化處理後的資訊在向其他個人資訊處理者提供時,才能免於上述合規義務。
由於廣告監測涉及的主體較多,監測過程也較為複雜,希望透過此文幫大家
梳理廣告監測的整個流程,所涉及的各個主體對應的個人資訊處理角色,各角色之間的法律關係,以及對應的資料生命週期的個人資訊處理處理原則、法律責任承擔等
,對廣告監測過程中所要注意的合規性有所瞭解。
本文作者
TalkingData法務總監兼資料合規官 葛夢瑩