广受关注的苹果IDFA(Identifier for Advertising )新政进入了实施倒计时。
IDFA是指苹果回传给广告主的广告标识符,作用是让广告主知道广告投给了谁。
最新消息显示,苹果将在IOS 14.5系统中实施IDFA新政。届时,IDFA将由“默认允许追踪”更改为“默认不允许跟踪”。苹果此举意在“隐私保护”,这对倚重用户数据进行“精准营销”的广告主而言冲击力巨大——一旦新政实施,若用户选择“不允许跟踪”,“精准营销”无疑就玩不转了。
苹果的IDFA新政实施之后,势必会触动数字广告行业的“奶酪”,但在此之前,相关法律问题值得关注与探讨。
ATT框架是否涉嫌误导用户选择?
中国法律规定个性化广告设置应尊重和保障消费者知情权。苹果调整IDFA权限之后,开发者使用IDFA以外的标识符跟踪用户必须通过ATT(App Tracking Transparency) 框架征得用户的同意。但ATT框架的弹窗文案仅告知用户某App希望获取用户在其他App或网站的数据来跟踪他,以便向其发送个性化广告,并设置了“跟踪”与“反对跟踪”按钮。
ATT框架看似给用户预留了选择权,但实则在不充分、不具体告知的情况下有误导用户选择之嫌。
iOS14.5将面向用户层增加“应用跟踪透明度”(App Tracking Transparency)的提示弹窗
按照苹果强制规定,国内App都将上线弹窗提示
其一,苹果在尚未解释何为“跟踪”的情况下使用这一包含明显贬义的专业词汇,涉嫌误导用户。“跟踪”常指未经允许偷偷、紧紧地跟随和监视,含偷窥他人之意。事实上,App可以在获得用户同意的情况下对用户行为进行记录,使用“跟踪”一词会误导用户以为被偷窥从而做出非理性选择,属于以不正当方式误导用户放弃或关闭收集其信息的权限,这与苹果在《AppStore审核指南》中要求App“不得操纵或欺骗用户轻点广告”“唆使、宣传或鼓励非法行为”“不得尝试、协助或鼓励他人根据Apple提供的API收集的数据识别用户”所用表述自相矛盾。
此外,在移动互联网技术层面,“跟踪”一词具有专业内涵,使用晦涩的专业词汇但未作解释,无法保障用户在明确知晓的情况下做出合适的选择,涉嫌违反《App违法违规收集使用个人信息行为认定方法》第2条的规定,即有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。
其二,ATT框架的弹窗文案并未充分说明收集使用用户数据的目的、方式和范围。中国《网络安全法》《消费者权益保护法》等法律均规定,经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并经消费者同意。
《App违法违规收集使用个人信息自评估指南》还要求,App运营者在将个人信息用于用户画像、个性化展示时,清晰说明个人信息处理规则及用户权益保障内容,包括其App的应用场景和可能对用户产生的影响。ATT框架仅告知用户收集数据用于个性化广告,并未清晰说明将收集何种数据、如何收集,收集后进行广告跟踪将对用户产生何种影响。
是否涉嫌滥用市场支配地位?
在限制IDFA之后,苹果官方提出了SKadnetwork归因方案(接收 iOS 端营销推广活动归因数据的另一种方法)。
在苹果限制IDFA访问的情况下,App要么通过ATT框架获得用户广告追踪许可,要么使用SKAdNetwork作为替代方案进行广告归因。
在ATT框架下,用户大概率不会同意App的跟踪许可请求,并且苹果禁止App收集用户和设备信息标识用户,在此情况下SKAdNetwork将成为开发者的唯一选择,此后所有广告归因均需向苹果提供数据,而苹果表示不会出于第三方营销目的与第三方共享数据,相关的数据将由苹果独占独享,国内开发者将无法获取用户数据进行广告归因分析。
在苹果拥有操作系统市场支配地位的前提下,其利用底层操作系统的规则制定优势,对自身App和其他开发者App个性化广告的数据获取行为设置双重标准,属于“在交易时附加其他不合理的交易条件”,或已涉嫌滥用市场支配地位,涉嫌违反《反垄断法》的相关规定。
为什么一定要求“手动选择打开”?
在苹果新的iOS系统中,IDFA由“手动选择关闭”(opt-out)改为“手动选择打开”(opt-in),此举已经超出国际个人信息保护法的普遍标准。美国《加州消费者隐私法案》(CCPA),将数据处理的初始决策权交由数据控制主体,仅要求个人信息处理者采取“手动选择关闭”方案即可。
此外,中国也普遍接受“手动选择关闭”机制。《信息安全技术 个人信息安全规范》(GB/T 35273-2020)规定收集个人敏感信息,要得到个人信息主体的明示同意;收集个人一般信息时,仅需个人授权同意。该种授权同意可以是明示的,也可以是默示的,当个人信息主体明确表示反对时,收集者则要停止收集或删除个人信息。如此规定,在一定程度预留了“选择退出”机制的适用空间。
《个人信息保护法(专家建议稿草案)》第五十三条“定向商业营销信息”条款,也特别增加了个人信息主体针对商业营销信息的“一键退订”机制。《移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》更是明确规定个人信息主体可通过“手动选择关闭”机制行使退出权利。
是否违反中国数据出境管理要求?
个人数据出境,应当经过监管机关的安全评估。苹果推出的SKadNetwork作为替代方案,但SKadNetwork归因方案可能将在中国境内收集的用户重要数据,传输到境外进行分析,存在将中国公民数据出境的风险。
因此,苹果在推行IDFA时,需要对SKadNetwork收集、使用数据的具体方式进行披露。如果没有,需要提供证据证明SKadNetwork归因方案未对用户数据跨境传输。
数据是数字时代的“石油”,关乎未来数字竞争,如果不对数据跨境进行规制可能致使本国数据资源大量流入境外,损害本国企业的创新动力和经济利益,进而影响本国产业竞争力。因此,监管部门有必要审查苹果的SKadNetwork归因方案是否符合数据出境要求。
SKadNetwork只提供从用户点击到安装过程中的对应时间、对应来自于哪个广告组、具体哪个广告以及运营商网络信息。SKadNetwork并不能支持开发者在广告平台内做“用户召回(Re-Targeting)”,不能完整追踪安装、注册、付费、留存等信息,这对于广告商而言无疑是巨大的打击。
广告主在广告投放受限的情况下,将面临运营方式选择的困境:若为了留存平台用户而继续免费的运营方式,其营收势必受到减损,广告主将运营困难;若为保持营收而转为付费模式或提高收费标准,其又可能失去大批用户。
SKadNetwork自身功能的有限性和操作的不便利,不仅会影响向用户投放广告的效率和体验,损及广告产业的发展,而且还会导致开发者丧失对广告海量数据的控制,可能影响中国基于大数据运用进行核心技术创新和商业模式更迭。
作者为法律工作者
本文观点不代表《财经》E法立场
