您的位置 : 环球研究 / 环球评论 / 新闻详情
苹果将实施史上最严厉隐私保护要求,定向广告的严冬真的来了?
2021年01月19日孟洁 | 张淑怡 (实习生曹泽坤同学亦有贡献)

一、iOS 14:隐私保护的重磅炸弹

 

2020年6月22日,苹果召开2020年全球软件开发者年会(WWDC2020)。会上,苹果发布了其用于iPhone的新一代操作系统iOS 14、用于iPad的PadOS 14以及用于Mac系列电脑的macOS 11。在iOS 14与iPad OS 14当中,苹果引入了模糊定位、相册读取范围限制等措施对用户隐私进行保护。而自iOS 14.3、iPadOS 14.3、macOS 11.1起,苹果还要求软件及App开发者在App Store中向用户描述其可能读取或收集的数据种类。可以说,在苹果今年发布的操作系统中,对用户的隐私保护是重中之重。以上措施既能够在一定程度上保护用户隐私,又不会严重影响开发者和广告商的工作及利益。然而,在iOS 14与iPadOS 14中,苹果还推出了一个“杀手锏”级别的、史上最为严厉的措施:征求跟踪许可。

 

UDID(唯一设备识别码)是苹果iOS或iPadOS设备不可变更的唯一识别码,其作用类似于IMEI,即用于确定特定的设备。UDID曾被收集以用于广告追踪。但由于UDID的敏感性与隐私性,从2013年开始苹果禁止了开发者对UDID的直接收集,并于同年推出了IDFA(广告标识符)作为替代品。从iOS 10开始,用户可以通过“设置”中的跟踪功能对本机的IDFA进行开启或关闭。每台iPhone或iPad的IDFA都是不变且唯一的,开发者与广告商可以通过IDFA对用户进行个性化广告推广与跨应用追踪。但如果用户关闭了广告追踪,广告商就只能收到一串毫无意义的0。然而,这一开关在设置中较难找到,且系统不会主动提示,所以很少有用户会主动关闭。根据Adjust在2016年10月进行的调查显示,中国大陆地区仅有11%的用户选择主动阻止对IDFA的收集。然而在iOS 14与iPadOS 14中,苹果开始强制要求所有App在收集IDFA用于广告追踪前单独弹窗告知用户,征求用户对于广告追踪的许可,用户可以允许或拒绝不同App对IDFA的收集。

 

征求跟踪许可的措施将原本隐藏于后台的IDFA与广告追踪设置推到了前台,不仅让更多用户了解广告追踪的存在,也让用户全面掌握了这一权限的“生杀大权”,相当于阻断了原来“默认开启”的追踪功能。众多分析均认为,该措施会引起用户对自身隐私与信息安全的关注,许多用户可能会选择拒绝广告追踪,避免出现“在某社交App中与朋友聊天时提到某商品,某购物App就马上开始推荐该商品”的情况出现。一旦App无法进行追踪、无法获取IDFA,广告商就无法针对用户推送特定的广告,大大降低广告推送的效率,精准营销、归因监测等目前广告业常用的推广方式将面临重大危机。苹果无疑是向App开发者与广告商扔下了一枚重磅炸弹,海外某媒体甚至戏称“这可能代表着价值超千亿美元产业(即广告业)的彻底完结”。而谷歌也已在2019年推出的Android 10中正式限制非系统级App对于IMEI等信息的读取,且较有可能跟进苹果的步伐,在未来进一步采取措施要求App在进行广告追踪前征求用户同意。

 

iOS与安卓两大移动端操作系统占领了全球超90%的市场份额,如果苹果和谷歌均采取措施在系统层面上阻断默认开启广告跟踪的功能,全球的广告商无疑都会受到重大冲击。寻找IDFA以及系统层面的广告追踪的替代方案迫在眉睫,也是App开发者以及广告商破除当前困局的重要途径。截止至目前,国内外众多企业与组织已经提出了数个用于替代IDFA的方案。

 

二、国内外替代方案

 

苹果原计划于2020年9月iOS 14正式版发布后即启用“征求跟踪许可”的措施,但考虑到这一措施的重大影响,苹果将其推迟至2021年初才开始实施,给予各开发者与广告商时间对新措施进行适配,目前公开可查的替代方案主要有以下几种:

 

1. 国内方案

 

在国内,很多移动智能终端设备厂商已经开始试行在其生态内开放基于不同功能,但能够由用户进行重置的设备ID。

 

1)OAID

 

2019年9月,谷歌正式发布Android 10系统。在该版本系统中,谷歌禁止了非系统级App对于原生设备识别码(即IMEI与Device ID)的读取,同时将MAC地址随机化,导致开发者与广告商无法使用识别码和MAC地址对用户进行广告追踪。因此,国内中国信通院通过移动安全联盟联合小米、华为、OPPO、vivo等终端厂商起草了《移动智能终端补充设备标识规范》,其中规定了设备唯一标识符、匿名设备标识符、开发者匿名设备标识符和应用匿名设备标识符这四个设备标识符,以共同构成补充设备标识体系。其中匿名设备标识符,即Open Anonymous Device Identifier(以下简称“OAID”),可以连接所有应用数据的标识符,在移动智能终端系统首次启动后立即生成,生成参数中可包含设备唯一标识符等参数,从而可以链接所有的应用数据。但目前OAID仍处于试用阶段,存在着诸多问题,例如缺失各主体之间对OAID互相识别、配对的机制。这对通过OAID进行精准广告推送业务的开展带来极大困难,广告需求方平台、广告媒体方以及广告联盟均难以拿出客观的监测数据向广告主证明广告点击率高、广告位具有较高的流量与吸引力或广告投放效果较好。因此,有一些公司拟通过软件或用户行为自研设备ID,并与OAID融合后进行相关用户的标签制作;将自研设备ID或OAID提供给如监测机构、广告主和其他合作伙伴等第三方(以下简称“第三方合作方”)来计算广告点击率、曝光量、监测、评估广告效果等,以方便与广告主进行结算费用;或从第三方合作方获取OAID。然而,由于企业制作自研设备ID、拟向第三方合作方提供自研设备ID或OAID的行为和/或从第三方合作方获取OAID的行为,如在不具备充分的前置合规措施时(例如告知并征得用户的同意、与第三方合作方签署安全条款和事中事后的审计监督机制等),也会存在较高的合规风险。

 

2)CAID

 

中国广告协会(以下简称“中广协”)互联网广告标识,即CAA Advertising ID(以下简称“CAID”),是中广协与中国信息通信研究院联合研究机构、广告产业链各方提出的广告标识方案。目前,CAID正处于设计与测试阶段,假以时日会正式推广。根据中广协公开的信息显示,CAID的运作机制为:App收集设备非隐私参数后发送至广告标识管理中心,广告标识管理中心通过算法进行计算加密,计算加密后生成统一的广告标识符(CAID)以供使用。在一段时间内,同一个设备上不同时间获取到的设备标识ID保持一致,不同设备上获取到的设备标识ID不相同,以达到阶段性唯一,但生成CAID的算法会遵守保密原则并定期更新,以保证匿名性与强对抗性,避免被逆向破解。同时,CAID会设置相应机制,令用户可以便捷地对CAID进行开启、关闭或重置,以充分尊重用户的知情权与选择权,保障用户设备、个人数据的安全以及隐私,也令CAID的设计符合法律法规与国家标准的要求。同时,CAID方案通过自建服务器、提供SDK或API两种方案供广告运营者使用CAID的服务,在保障用户数据与隐私安全的同时,也能充分保障广告产业的利益。

 

2. 国外方案

 

除国内企业厂商外,海外企业与厂商也受到了苹果新政策的冲击。其中,脸书(Facebook)对于苹果的新政策提出了尖锐而严厉的批评,指责其政策“损害了中小企业的利益”。为了应对苹果的新政策,Facebook于2020年10月宣布其名为Audience Network的广告系统在iOS上将从2021年第二季度开始全面采用竞价模式,即由广告商竞拍获得广告投放机会,而抛弃通过获取用户设备信息而进行广告追踪的精准投放模式。在其官方公告中,Facebook称根据其今年所采取的试点研究,竞价模式能够帮助广告商最大程度地改善变现率和转化率,广告商的平均收益有所上涨、用于广告运营的时间花费则有所下降。[1]但值得注意的是,目前Facebook以及其他美国大型互联网企业仍未对外公开宣布自行开发广告追踪系统或IDFA替代方案的计划。

 

在宣布实施“征求跟踪许可”的措施后,苹果自身也推出了一些方案,供开发者与广告商顺利衔接该措施。苹果自身提供的方案主要包括两类:一是 SKAdNetwork、二是ATT。SKAdNetwork是苹果官方推出的、让广告平台在不获取IDFA的前提下对用户的点击和安装行为提供的一套追踪解决方案,开发者需要在苹果官方处注册后才能使用该方案。通过SKAdNetwork,广告商可以对用户的点击与安装行为进行追踪,但其能够获得的数据种类则被大幅度缩减,仅能获取APP安装时间、广告组、具体的广告,以及运营商等非常有限的信息。该方案在2018年iOS 11.3发布时即已被苹果推出,在iOS 14发布后,苹果推出了其2.0版本,对其进行了优化。在刚推出之时,由于其功能的限制,SKAdNetwork注册数量非常少。但随着iOS 14中有关限制广告追踪政策正式实施的临近,可以预见到这一方案的注册量会大幅提升。ATT全称则为AppTrackingTransparency,是Apple官方配合SKAdNetwork 2.0版本推出的、用于触发向用户展示IDFA同意提示的API。开发者可以通过在App中集成这一API来取得用户的授权同意,以继续使用IDFA。

 

由于苹果官方推出的解决措施大幅削弱了广告追踪的能力,这些措施并不会成为开发者与广告商的主流选择。但在具有广泛实施可能性的替代方案出现前,这些官方解决措施可以缓解企业的燃眉之急,并起到一定的过渡作用。例如,谷歌公司就计划在自己开发的App中采用ATT方案。从这些官方替代方案中,我们一定程度上也可以观察到苹果官方对于“后IDFA时代”广告追踪的态度,从而协助开发者与广告商及时调整自己的策略。

 

三、现有替代方案情况分析

 

首先需要说明的是,目前苹果仍未公开对其他公司、广告商开发的IDFA替代方案发表评论或任何意见。部分大型企业、设备厂商或第三方组织可能正在与苹果进行沟通,希望了解其对于替代方案的官方态度。但不能排除的是,苹果公司在了解到业界可能推出的其他替代广告追踪方案后,可能会发布新的要求禁止此类的广告追踪方案的使用,并采取类似于在App Store下架等强制措施(例如,在苹果近日发布的新隐私功能中,要求App说明收集使用用户数据的目的,尤其是这些数据是否用于广告追踪等,包括需要说明App中整合的第三方工具或SDK是否将数据用于追踪的情况。苹果的专门团队将以人机结合的方式进行不定期抽查审核,未能满足要求的,将会从App Store中移除,严重的会注销开发者账户)。

 

1. 自研替代方案

 

目前,国内外多个互联网企业、终端设备厂商均在自行研发对IDFA的替代方案。这些替代方案既包括以Facebook为例的、采取其他方式完全替代广告追踪的方案,也包括自行研发标识符体系方案,以保证未来可以继续进行广告追踪以及精准投放。毫无疑问的是,自研替代方案可以让互联网企业与设备厂商对产品上的广告追踪与隐私保护掌握全面的话语权,也能够让企业与厂商在符合法律法规、国家标准规定的前提下,建立一套为自己所控制的广告追踪与隐私保护体系,从而可以摆脱苹果的严苛政策。

 

尽管自研替代方案有如此巨大的优点,但其短板也是显而易见的:自研替代方案由各家企业与厂商自行研发、或少数几个企业厂商间联合研发,这将不可避免地导致各个方案之间的割裂。由于IDFA在iOS系统中的普适性,即在所有App都可以对其进行利用,这使得开发者与广告商可以利用其做到跨应用的广告追踪与精准投放。但对于IDFA的自研替代方案基本仅适用于本企业的产品,虽然开发者与广告商仍能进行广告追踪,但跨应用(特别是跨不同企业的应用)的广告追踪与精准投放则会变得较为困难。如果开发者或广告商决定学习Facebook,自行研制并使用竞价等非广告追踪方式进行未来的广告投放,则可能需要将过去基于广告追踪建立的广告投放体系全部推倒重建。此方案虽会降低个人信息与隐私保护所带来的的合规法律风险(因为这些方式不会涉及对用户的数据与行为进行追踪),但根据Facebook的报告显示,经过其试验,采用竞价方式进行的广告投放能在一定程度上失去了追踪与精准投放的广告的价值。当然上述观点目前仍未有定论。

 

同时,苹果作为业内最为强调隐私保护的企业之一,其一直致力于遵守各国及各地区的个人信息保护法律法规。在采用IDFA时,开发者和广告商基本可以确保对于法律法规的遵守。但在设计自研方案时,企业和厂商需要特别注意对于法律法规、国家标准的遵守,严格依照法律法规与国家标准的规定对方案进行设计,以达到对个人信息与隐私保护的合规。如果企业或厂商在自研替代方案中因故意或过失而没有遵守相关要求,则可能产生合规问题,乃至需要受到处罚、承担法律责任。

 

2. 第三方替代方案

 

除各个企业与厂商自行研制的替代方案外,国内也有非企业、厂商的第三方在研制替代方案。我们上文所介绍的OAID与CAID两个替代方案均属于本部分所述的第三方替代方案。第三方替代方案的优点也十分的显著:由于主导者非企业厂商自身,第三方的参与能协助打通企业厂商之间的壁垒,使得第三方替代方案成为可适用于全国各企业各厂商的通用方案。但第三方替代方案也有着自己的缺点与困难之处。这些缺点与困难最为明显的一点在于,开发替代方案的第三方自身需要具有较强的号召力,以吸引开发者、企业与设备厂商采用其开发的方案。只有当数量足够庞大的开发者、企业和厂商选择采用其方案后,方案才能具有通用性,才能打通平台、软件、设备之间的壁垒。因此,第三方应当如何推广自己的方案,真正打造一个通用方案,成为了这一方面最为重要的问题。其次,如果开发者或企业选择使用了第三方方案,可能会面临需要将收集到的用户数据与该第三方共享、委托给该第三方进行处理的问题。根据我国法律法规与国家标准的规定,如果控制者需要将自己收集到的数据与第三方进行共享、委托给第三方进行处理,则可能面临着较为严格的共享、委托标准以及传输、合规等方面的要求。如无法遵守这些标准及要求,开发者或企业就可能面临着合规与监管问题。如果开发者或企业最终决定选择第三方替代方案,则必须制定严格的用户数据保护内部指引,同时与第三方签订严格的合作协议或合同,以充分保护用户的数据安全,并使数据的使用、共享与委托处理符合法律法规、国家标准的要求。此外,我们还建议开发者或企业在使用第三方替代方案时,对其进行监测、扫描,以保证第三方替代方案的功能以及所收集使用的个人信息的合规性。

 

四、企业合规注意事项

 

本次苹果在最新版本的iOS与iPadOS系统中的隐私政策调整给移动设备中的广告投放与追踪带来了巨大的冲击。各个企业与厂商需要对自己的广告政策与投放策略进行较大规模的调整,以适应新的变化。在调整过程中,无论是选择根据苹果的新政策继续使用IDFA,还是选择自研、第三方的替代方案,企业厂商都需要注意遵守各类法律法规、国家标准乃至苹果公司自身的新隐私政策要求。以下是我们经过分析后给出的一些合规注意事项以及建议,供大家参考。

 

1. 应对苹果新政:隐私政策和PbD设计

 

正如上文所述,iOS 14、iPadOS 14以及macOS 11 Big Sur中最为巨大的隐私政策变化主要集中于两点:一是要求App开发者在App Store中向用户展示“App营养成分标签”,在其中披露App可能会收集的一切信息类型(该功能并未随iOS 14/iPadOS 14/macOS 11正式版推出,但在最近的iOS 14.3/iPadOS 14.3/macOS 11.1更新中正式上线);二是将用户对于IDFA的使用授权由设备系统层面调整到了单个App层面,用户将被赋予针对单个App授予或拒绝IDFA使用权的权利。对于这两个最为重要的变化,我们建议企业与厂商采取以下措施,以保证符合苹果公司政策以及法律法规、国家标准的要求。

 

1)保证App的隐私政策得到更新,与App Store的披露信息一致

 

自iOS 14.3、iPadOS 14.3以及macOS 11.1更新发布起,苹果要求开发者在App Store中披露App所收集的信息类型,但苹果并未对App自身所使用的隐私政策作出任何内容上的要求。尽管如此,苹果仍然要求开发者在App Store的页面中以及App内提供指向隐私政策的链接,以保证用户可以获取App最为全面的隐私与数据保护政策。

 

我们在此建议开发者与各个企业利用这一机会,对App的隐私政策文件进行全面的审阅检查,并进行适当的修改。最为重要的一点在于,开发者与企业需要确保其在App Store页面中所披露的隐私相关内容与隐私政策中所描述的内容相一致。如果App的隐私政策未得到及时的检查更新,且被发现与App Store中披露内容不一致,苹果在接到举报后非常有可能会对该App作出下架处理,给开发者与企业造成不必要的损失。除此之外,这种不一致的情况还可能被视为开发者或企业故意隐瞒App实际收集的信息种类,从而构成对消费者的欺诈,违反《消费者权益保护法》、《网络安全法》等法律法规或相关国家标准的要求,受到市场监管部门或网安部门的处罚。

 

2)根据IDFA新政策做好相关的默认隐私设计(PbD)

 

全国信息安全标准化技术委员会于2019年6月25日发布了《个人信息安全工程指南》(以下简称“指南”)。该《指南》参考了《通用数据保护条例》对于默认隐私设计的要求,以及欧盟网络与信息安全局(ENISA)发布的相关标准,并为开发者和企业进行默认隐私设计提供了参考标准。总体而言,《指南》为默认隐私设计提供了八个策略:最小化、隐藏、隔离、聚集、通知、控制、强制与证明。根据苹果的新政策,App在使用IDFA前,需要通过ATT进行弹窗提示,并获得用户的同意,这与上述“最小化”策略相关。由于苹果并未要求App一定要在用户初次使用时就弹窗提示,我们建议企业对此进行一定的研究与调查,选择一个最佳时间弹窗提示用户、请求用户对于IDFA使用的授权(例如,开发者可以试着在一开始向用户展示非定向的广告,展示一定时间后,再弹窗请求IDFA的使用授权)。这不仅能够使App符合法律法规、国家标准的要求,也能符合苹果政策、令开发者与广告商的利益最大化。

 

2. 收集数据:限制使用目的

 

正如我们上文所述,目前我国绝大多数已初步成型、使用自建标识符作为广告追踪方式的IDFA(或IMEI等设备标识符)替代方案都涉及到了对用户数据的收集。由于无论是苹果的iOS还是谷歌的Android在最新的版本中都已经斩断了App对于IMEI、UDID、MAC地址等设备原生标识符的读取收集渠道,自建标识符的替代方案均开始转向收集其他非高度敏感、但具有特定性的设备与用户数据,以建立自己的标识符。这些“非高度敏感、但具有特定性”的数据包括用户的设备型号、系统版本、系统语言、时区设置等。虽然这些数据并没有IMEI、UDID等数据那么高度敏感,但不可否认的是,他们也可以被用于多种用途。而我国的法律法规、国家标准也明确规定了不得将收集的数据用于与收集目的不一致的其他用途。

 

因此,如果企业厂商准备自行研制标识符替代方案,且该替代方案涉及收集用户与设备数据,则其必须确保被收集的数据仅用于生成广告ID等标识符,而不能被用于任何其他用途。第三方机构在研发替代方案时,也需要注意不能随意使用收集的数据。开发者或企业如需使用第三方的方案,建议事先通过合同或协议约定双方权利与义务,从合同层面上禁止第三方服务提供方在收集用户数据后将用户数据挪作他用。如有条件,我们还建议开发者或企业对第三方服务商提供的方案进行安全扫描等检查措施,防止第三方服务商擅自将数据挪作他用。

 

3. 做好数据流转的出入口管理

 

数据流转的出口是指将个人数据共享给第三方、或委托给第三方进行处理,在本文语境下是指将用户数据收集后发给第三方以供第三方生成标识符(广告ID);数据流转的入口是指从第三方处获取个人数据,在本文语境下这指的就是获取第三方根据用户数据生成的标识符(广告ID)。目前,我国包括《个人信息安全规范》、《互联网个人信息安全保护指南》在内的多个国家标准均对个人数据与信息的共享和委托处理作出了较为严格的规定。

 

我们理解,不是所有开发者与企业都有能力自行研制并部署IDFA替代方案,自研方案也不一定是最具有经济效益、最具有效率的方案,其缺点也十分明显。诸多企业也许都会选择第三方替代方案供自己使用。在这种情况下,开发者和企业需要与第三方共享其通过App收集到的用户数据、或委托其处理这些用户数据,以生成标识符(广告ID)。在进行这些委托与共享时,我们建议双方以合同的形式明确约定委托处理、共享的权利与义务,对双方形成约束,以使数据的委托处理与共享符合国家标准的规定。如部分开发者或企业对于用户数据保护有较高的要求,不愿将用户数据委托或共享给第三方进行处理,但同时必须需要使用第三方方案的,我们建议开发者、企业可以和第三方进行联合,让第三方服务商将用于生成标识符的算法布署到开发者或企业的自有服务器环境中,实现数据的本地化处理以及标识符生成的本地化,最大程度地避免数据的共享。

 

在数据入口方面,我们则建议开发者、企业与第三方根据国家标准与法律法规的要求,在数据传输过程中采取加密措施、避免遭到破解。同时,第三方在生成标识符的过程中,应当采取不可逆的加密算法,避免他人得到标识符(广告ID)后,能够逆向破解推出原有用户数据,造成用户数据与隐私泄露。

 

4. 数据主体的权利:退出权与及时响应

 

根据我国法律法规与国家标准的规定,数据主体有退出权,即有选择不再允许自己的数据被收集以及被处理的权利。无论开发者与企业是选择使用苹果官方提出的IDFA新政策,还是自研或使用第三方的替代方案,都会涉及到对于用户数据的收集与处理。因此,开发者与企业需要采取充分的措施,保障数据主体的退出权。具体而言,我们对开发者与企业提供如下建议。

 

如开发者或企业选择使用苹果官方的IDFA新政策,我们建议其在App中应当以弹窗或其他显著的形式向用户展示说明IDFA的作用、对IDFA进行授权的后果、以及如何在系统设置中关闭IDFA授权的指引。在用户选择关闭IDFA的授权后,开发者或企业应当立即将用户的IDFA进行删除或进行匿名化处理、并停止利用IDFA为用户提供广告服务。

 

如开发者或企业选择使用自研或第三方替代方案,则需要自行或根据第三方的要求,向用户提供退出方案。例如,在App的隐私设置中加入供用户选择开启或关闭自研或第三方标识符系统的开关。如果第三方标识符替代方案提供了单独的App供用户对标识符相关信息的收集进行控制,则建议开发者或企业在App隐私设置中的显著位置对用户作出指引,提醒用户下载第三方提供的用于统一关闭广告标识符的App(以下简称“第三方App”),并通过第三方App对个人信息进行控制,并提示其随时可以通过该第三方App选择退出数据收集与处理。在用户通过App自带隐私设置或第三方App选择不再让自己的数据被收集且接受处理后,开发者和企业也必须立即停止收集处理用户数据、对已收集的用户数据进行删除或不可逆的匿名化处理、并立即停止使用已生成的标识符且将其删除。需要注意的是,如果第三方替代方案提供者为自己的替代方案提供了单独的App进行控制,根据第三方提供者所使用的机制不同,可能涉及到数据收集处理的“全开”或“全关”问题,即一旦用户在第三方App中选择退出信息收集处理,则手机上所有使用该第三方方案的App均会无法使用该第三方方案。例如某购物App使用了第三方的方案,且该第三方有专门的App用于控制个人信息的收集,如果用户不希望该购物App收集自己的信息用于生成标识符,则可以前往第三方的专门App中关闭了信息收集选项,则该用户设备中安装的所有其他使用该第三方方案的其他App有可能也无法再收集任何信息。因此,在选择使用第三方方案时,我们建议开发者和企业详细了解各种方案的机制与特征,选择最适合自己的方案。

 

根据《个人信息保护法(草案)》[2]以及国家标准《信息安全技术 个人信息安全规范》的规定,数据主体还拥有包括数据可携权在内的多项权利。例如,数据主体有权了解开发者和企业收集其个人数据的目的、收集其个人数据的具体内容以及数量。为了保障数据主体的权利,我们建议开发者在隐私协议中以显著的方式对相关内容进行说明。但我们也理解一份隐私政策无法对所有与主体权利相关的内容进行全面、毫无遗漏的覆盖。因此,我们也建议开发者或企业建立一套自己的数据主体权利响应机制,为数据主体提供数据保护与合规部门的联系方式,以供数据主体在有实现自身权利的需要时,能够及时联系相应的人员,以获取保障。同时,开发者或企业还需要明确协助数据主体实现自身权利的时长限制与具体方案。例如,根据《App违法违规收集使用个人信息行为认定方法》对于App端,需要在15个工作日内完成对用户的更正、删除、注销请求、投诉举报的核查和处理。

 

5. 后台机制的完善:存储安全与保密

 

无论是开发者和企业决定继续使用苹果官方提供的IDFA替代方案,还是使用自行研制或第三方的标识符替代方案,都会涉及到对个人信息的收集、存储、使用等一系列过程。因此,在对这些信息进行收集、存储、使用乃至共享和委托处理时,企业需要保证自己有一套完善的内部管理与监督措施,以保障用户信息在这些过程中受到充分的保护。在上面几个部分中,我们已经谈到了如何收集用户的信息,并在用户选择退出时如何处理用户的信息。因此,在内部机制完善这一部分中,我们希望向企业给出有关数据信息存储、数据主体权利保障以及安全事件响应方面的建议。

 

在数据存储方面,如果开发者或企业选择使用自研或第三方的标识符,在此情况下,虽然开发者与企业可能存储的信息已不再是UDID和IMEI等高度敏感的数据,而是设备型号、系统版本、时区等看起来与无法直接与用户个人相联系的数据,但这并不代表着开发者与企业可以掉以轻心、不再注重数据的存储。单个来看,以上数据信息的确无法直接与特定的用户个人相联系,但一旦这些信息被组合起来,形成诸如“运行iOS 14.3系统,时区设置在北京,且工作时间地理位置常位于北京市朝阳区某写字楼的iPhone 12”这样的组合信息,识别出特定的用户个人并非完全不可能。因此,我们建议如果开发者或企业需要收集多种数据以供标识符的生成,则需要将这些数据分别存储在不同的数据库中并进行加密,尽最大努力避免单次数据安全事故造成相关联的数据一起泄露,使非法使用者可以通过相关联数据危害数据主体的个人信息安全。

 

虽然我们建议企业采取充分的安全措施,避免数据泄露等安全事故的出现,但我们明白,即使采取了百分之二百的安全措施,数据泄露等事故也并非能够完全被避免。在这种情况下,无论是自研广告标识符还是采用第三方方案,都建议通过相关设备所采集的参数进而形成的统一广告标识符对个人信息(特别是敏感个人信息)的依赖程度尽可能小,这样即使有泄露,风险也会较小;并且,建议对统一广告标识符设置成能够可变更和可重置的效果。另外,事故发生后的安全响应措施就显得尤为重要。因此,我们建议企业制定完备的安全响应预案,以便在发生安全事故后迅速通知受影响的主体以及相关政府部门,充分保障数据主体的权利,尽可能降低数据主体所遭受的损失,并符合监管合规要求。

 

6. 个人信息影响评估(PIA)

 

目前而言,我国现行有效法律法规尚未强制要求开发者或企业进行数据保护影响评估。但为了在收集用户信息、生成广告标识符的过程中更好地保护用户的隐私与信息安全,我们仍然建议开发者与企业在条件允许的情况下进行数据保护影响评估。这一概念由欧盟《通用数据保护条例》(GDPR)所规定,并后续被欧盟成员国、英国等不同国家与地区采纳效仿。根据GDPR的定义,数据保护影响评估是指数据控制者对“可能会对自然人的权利和自由造成高风险”的操作进行的评估。在本文语境下,对设备用户数据的存储、与第三方的共享、委托第三方的数据处理都有可能会对数据主体的权利造成较高风险。因此我们建议开发者或企业重点对此进行评估。

 

尽管我国现行法律法规没有规定企业有进行数据保护影响评估的法律义务,但国家标准文件《信息技术安全指南 个人信息安全影响评估》(GB-T 39335-2020)(以下简称为“标准”)为企业进行数据保护影响评估确立了标准,将PIA称为“个人信息安全影响评估”。根据该标准,“个人信息安全影响评估”是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。企业或相应的组织需要制定评估的责任部门或责任人员,牵头的责任部门通常为法务部门、合规部门或信息安全部门。

 

企业或组织可根据其需求组织进行个人信息安全影响评估。该评估可被用于合规差距分析,协助企业或组织找出其目前政策及机制与法律法规、国家标准的差距之处。企业或组织也可以在达到合规的基础上,进行评估,以进一步提升自身安全风险管理能力和安全水平目的。在这种情况下,企业或组织是否启动评估,取决于其个人信息安全目标与实际需求。其中,合规差距评估的应用场景包括新服务、新产品的设计阶段与上线初次评估。鉴于广告追踪替代方案的设计与使用完全可被视为新产品、新服务的设计与使用,我们建议开发者、企业或第三方方案提供者在替代方案的设计阶段与上线初期均开展评估,尽最大可能保证替代方案的合规性,并保证用户的隐私和个人数据安全。即使开发者或企业决定直接采用苹果公司官方提供的

 

在进行评估的前期准备后,我们建议开发者、企业或第三方采取以下步骤进行评估:数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析。完成上述步骤后,评估方应当完成评估报告,标明存在的风险、确定如何处置及改进。

 

五、总结

 

本文对苹果在iOS 14以及iPadOS 14中推出的新广告追踪政策进行了简要介绍,并作出了简单分析,为企业提出了合规建议。苹果公司的新政策与措施代表新的发展方向。在未来,各大科技企业、设备厂商以及互联网企业对个人信息以及隐私的保护力度将会逐步加大。而在合规方面,我国《个人信息保护法》(草案)已提交全国人大常委会审议,各类国家标准、团体标准也在不断推出、征求意见之中。进一步加强对于隐私的保护、在网络以及App中减少对个人信息的追踪是大势所趋。我们建议企业关注这一方面的发展趋势,并起草实施更为严格的方案、政策与措施,以做到合规。

 

注释:

[1]https://www.facebook.com/audiencenetwork/news-and-insights/audience-network-to-become-bidding-only-beginning-with-ios-in-2021/?filter=blog

[2]《个人信息保护法(草案)》由2020年10月21日公布并公开征求社会意见。据悉,该法律将在2021年继续进行修改。