6月22日至26号,苹果在线举办了2020年全球开发者大会(WWDC),引发了全球行业参与者及科技爱好者的关注。在这场为期一周的年度大会上,苹果宣布了全新的隐私政策,更新和升级了多项隐私功能,包括用户对位置数据的分享将有更大的掌控权,当APP应用使用麦克风或摄像头时将进行强制提示,以及在下载APP之前就对其将会使用何等个人信息进行标识(将分为“与用户相关的数据”及“用来追踪用户的数据”两大类)等。
其中,最引人注目的变更是苹果宣布在最新的iOS 14系统升级中,以广告追踪为目的使用个人信息的标准将由用户“选择性退出(Opt-out)”变更为“选择性加入(Opt-in)”。这意味着,除非用户进行了明确的主动许可,APP将无法使用该用户的个人数据用以定制个性化的广告、将其位置信息分享给广告商,或将任何包括广告ID在内的识别码(Identifier)分享给包括数据中介等的第三方。
基于各方的激烈抨击和反馈,苹果于9月3日宣布推迟这一变更,将本来计划在2020年秋天随iOS 14系统一起上线的广告追踪“选择性加入”改到2021年初生效推行。苹果表示,这一推迟是为了给开发商提供充足的时间来进行必要的技术及策略改进,但只是在时间上有所推后,在变更的要求和内容上并未作出任何让步和变化。而Facebook则表示,在此之前,将继续在iOS 14系统中收集IDFA,减少对其广告客户不必要的影响。
什么是广告识别码?
具体而言,在苹果此次新公布的用户隐私及数据应用政策中,苹果通过“APP追踪透明度框架”来实现开发商请求对追踪用户及获取终端设备“广告识别码”的用户许可。
通俗来说,在一般情况下,每一台终端设备都拥有可识别的唯一字符串,作为统一的“网络身份证”,用以打通各个广告商及APP之间的数据管道。广告商可以通过追踪该识别码,对用户在网络上(即便使用不同浏览器)的浏览行为进行追踪,从而达到投放个性化广告的目的。在苹果体系中,这样的“身份证”是唯一设备识别码(UDID,Unique Device Identifier)。
出于对个人信息隐私安全的考量,苹果早在2012年就已经禁止开发商或广告商直接获取UDID。而在iOS 6系统中,改为使用广告识别符(IDFA,Identifier for Advertisers),以不同的字符串帮助广告商识别不同的设备,但并不具备唯一性,允许用户在设置中重置及更换该字符串,从而使广告商无法长时间稳定的获得用户数据,一定程度上限制对用户数据的分享及追踪。虽然经历了与广告商与开发商之间的多轮博弈,IDFA目前已成为被广泛接受和相对稳定成熟的广告识别码。
广告识别码的应用会有什么变化?
此次“追踪透明度框架”中,苹果又在IDFA的基础上更进一步,不再主动分享和公布IDFA,而会以每一个单独的APP为单位,直接以弹窗的形式直接询问用户“某APP希望获取追踪您在APP之间及其它公司拥有的网站之间的数据,将其用作向您送达个性化广告”,给与用户“允许追踪”或“请APP不要追踪”的选择。
这样的弹窗可能出现在首次下载使用某APP之始,或当该APP的某个功能被使用的时候。当用户选择“不要追踪”时,APP将无法获取该终端设备的IDFA,其广告识别码的字符将全部显示为0。
也就是说,在此之前,虽然用户也可以通过设置功能来手动禁止广告追踪,但系统默认IDFA是可以直接被获取查看的。而在此次更新计划中,系统将默认IDFA不可查看,只有获得了用户的主动许可,才能够获取IDFA,完成对用户跨平台跨应用行为的广告追踪。
虽然这一规定存在一些例外,比如当APP使用信息的方式不能直接标识到个人时,或当追踪行为只是为了防止诈骗或其他安全目的时,开发商仍然可以在未经允许的情况下直接追踪用户,而不认为这两种情境下的数据使用是“追踪(Tracking)”行为,同时,新隐私政策还例举了四种不受该规定限制的特殊情况。但勿庸置疑是,这一新政策仍然是一项对个人数据隐私安全保护的颠覆性改革,对苹果系统APP应用开发商、美国广告业,甚至整个科技行业都将产生不可忽视的影响。
因此自然也引发了相关产业领域的轩然大波。
将会对相关行业带来什么影响?
虽然同样是用户享有对是否授权追踪的最终决定权,但此次变更会使用户的主动性大大增强。
当寻求事前许可的弹窗出现在普通用户眼前的时候,会让很多怕麻烦或不习惯事后手动关闭追踪功能的用户,甚至很多从来没有意识到这个问题的用户,开始正视自己的数据隐私权利,选择“不允许追踪”的情况可能会因此大幅上升。从前习惯直接使用IDFA的开发商和广告商不得不因此面对再也无法大规模获取IDFA、投放个性化广告业务量大幅下降的风险。
反对的声浪中,另一科技巨头Facebook的立场最具有代表性。他们以一篇措辞沮丧的博客及后续声明回应了苹果的隐私更新计划。Facebook认为,这样的隐私变更将会严重伤害倚重广告追踪的小型开发商,使他们增加不成比例的巨大负担。
Facebook此前一直通过名为“受众网络(Audience Network)”的工具收集其APP用户的数据,并向其他大量开发商、广告商及出版商提供这些数据,使他们可以根据用户的年龄、位置及其他标准生成高度个性化的针对性广告,向使用Facebook社交网络的用户进行投放。
而iOS 14系统投入使用后,Facebook使用“受众网络”的能力将受到严重限制,原本上千万的目标用户中,将有一些用户将不再能接收到来自“受众网络”的广告,而另一些用户可能仍然可以接受来自Facebook的广告,但这些广告将不再具有针对性。这样无疑将会大大打击广告商的积极性,也极大地降低开发商通过广告获取利润的能力,通过“网络受众”出售广告的开发商利润将会面临50%以上的削减。
Facebook甚至提出,在这样的情况下,将会考虑在iOS 14系统上停止运营“受众网络”,因为这一服务将会非常低效,乃至完全丧失意义。
目前,全球有超过1.9万家开发商和出版商使用Facebook的“网络受众”进行广告追踪,它们大部分都严重依赖于个性化广告带来的业务和盈利。尤其是今年以来受到疫情影响,很多中小企业深陷经济危机中,广告收入的减少将对这部分企业造成无法估量的负面影响。
除此之外,包括美国广告机构协会(American Association of Advertising Agencies)、国家广告商协会(Association of National Advertisers)、网络广告促进协会(Network Advertising Initiative),以及新成立的Partnership for Responsible Addressable Media在内的多家广告行业内组织也联合向苹果发出公开信,表示对此项更新的反对,并希望与苹果进行“紧急”会议,商讨应对方案。
法律有哪些规定和要求?
在美国法律体系内,对收集网络用户数据进行订制化广告推送的广告追踪行为,尚不存在联邦层面的统一法律。但是,联邦交易委员会(FTC)作为在线广告行业的监管者,从上世纪90年代中期就开始对“在线侧写(online profiling)”进行监督,监督对象逐渐确定为包括广告追踪在内的“行为定向(behavioral targeting)广告”,规范内容包括网站必须对目标客户披露正在进行行为定向等。
2010年,FTC在一份重要报告中推出“禁止追踪(DNT,Do Not Track)”机制,令消费者有权在网站设置中选择屏蔽广告追踪功能。但该要求并不具备法律上的强制力,唯有当网站运营方主动采取符合DNT机制的隐私政策时,才会被要求必须遵守该等承诺。
在州的层面,一些州通过了与用户广告追踪、行为定向相关的法律,其中比较全面的是加利福尼亚州2013年9月颁布的CA AB370法案,修订了2003年加州在线隐私保护法,要求网站运营商披露是否正在收集用户的个人信息,并说明将对用户提出的“禁止追踪”要求作出何等反馈。加州也因此成为首个对收集该州居民数据进行广告追踪行为进行明确规定的州。
但要注意的是,该法案并未规定运营商应当以何等方式进行反馈。而苹果公司的注册地特拉华州,除了2016年颁布的《在线个人隐私保护法》中对针对儿童的广告投放做出规定外,并没有专门的关于广告追踪的法律。
同时,美国的广告行业内也存在对在线广告的自我监管规则。公司可以自愿加入“数码广告联盟(DAA,Digital Advertising Alliance)”及“网络广告促进协会(NAI,Network Advertising Initiative)”,对网络广告进行一定的自我约束。同样的,这一途径也有赖于从业者的自愿加入,主动参与,并没有法律上的强制力。
另一方面,欧盟在这一领域采取了更倾向于保护用户的法律路径。在《通用数据保护条例》(GDPR)体系下,如果网站或应用APP利用Cookie等在线工具收集个人数据,推送在线行为广告(Online Behavioral Advertising),而所收集的信息可以链结到具体的个人,能够被纳入GDPR项下的“个人数据(Personal Data)”范围内,或直接涉及自动侧写(Automatic Profiling),则GDPR要求必须赋予数据对象选择退出任何自动处理的权利。
即使并未涉及自动处理,或者无法纳入GDPR的管辖范畴,以个性化行为广告为目的,通过Cookies使用、存储、获取个人信息,也会受到《电子隐私指令(ePrivacy Directive)》的约束,被要求必须取得数据对象的知情许可,且强调了被动性的“选择退出”机制是无效的。当然,该指令明确规定的是使用Cookies进行用户行为追踪的情况,并没有扩大到全部广告追踪行为。但也可以“举轻以明重”,从中感受到欧盟在保护用户数据隐私、提升用户主动权上的明显倾向性。
如何看待和评价苹果的更新计划?
与包括Facebook在内的其他硅谷科技企业相比,苹果在个人数据隐私安全方面始终是一个特殊的存在。
从创始之初,所有的苹果产品就采取了封闭独立的iOS操作系统,始终非常重视防范人信息泄露、保护个人数据安全。几乎在iOS系统的每一次升级中,都会添加新的隐私保护机制。例如,iOS 13中,APP将无法获取联系人的备注信息;iOS 12中,新增“自动生成高强度密码”功能等。
特别值得一提的是,近期的几次重大更新时,苹果多次推出反广告追踪技术,例如,iOS 13中,用户将会接收到APP应用追踪位置信息的提醒和通知;iOS 11中,Safari浏览器会自动删除30天以上的Cookies。
与类似Facebook这种以出售广告作为主要盈利点的商业模式不同,苹果的主要盈利点仍然专注于出售终端设备。虽然Facebook也在去年增添了清除用户历史数据等新的隐私保护功能,但与苹果对于隐私的重视和保护力度相比,仍然比较温和。双方在这一问题上立场不同、争执不下,苹果多次批评Facebook不注重隐私安全,而Facebook则多次表示苹果的封闭系统不利于互联网生态发展。
此次苹果的广告追踪由“选择性退出”到“选择行加入”的转变,打了各大广告商一个措手不及,也注定会令更多依赖广告运营的开发商、出版商及广告商更加远离苹果产品和平台。苹果在广告盈利与用户隐私保护的天平上,大幅度倒向消费者一边,做出了意料之外,也是情理之中的选择。从企业社会责任角度,体现出苹果对用户隐私一以贯之的重视,将其作为一项基本权利的尊重;也从商业的角度,体现出苹果对自身盈利点和优势的清晰认识和强硬底气。
纵观欧美的各项相关法律,可以看到美国本土法律并没有对广告追踪行为有具备强制性的法条要求,更没有要求采取比较主动激进的“选择性加入”制度。因此苹果的更新完全是自发性的改变,愿意牺牲一部分广告收入和经济利润,来保护个人数据隐私安全。在态度上实际上是对相对严格的欧洲数据隐私法律系统的主动靠近,是高标准的自我约束。
苹果作为科技行业的大型头部企业,其影响力不言而喻。此次的表态是否会在行业中树立新的标准,引发其他行业参与者的效仿,甚至立法上的跟进,把消费者数据隐私保护带入一个全新的时代,尚未可知。但可以肯定的是,消费者的数据隐私安全和保护已经成为广告业健康持续发展的重要因素,开发商和广告商们必须对这一问题投入实质性的重视,寻求新的平衡点。
作者为北京清律律师事务所顾问、美国纽约州执业律师、欧盟注册信息隐私专家(CIPP/E)、美国注册信息隐私专家(CIPP/US)
