广告监测大家都很熟悉,那么对应到法律法规和国家标准中,各方是什么法律关系、广告监测中的角色都属于哪类的个人信息处理者、处理目的和方式是什么、需要遵守哪些处理原则,本篇从该角度梳理如下:

1 什么是广告监测?

广告监测就是在广告投放过程中监测广告的曝光、点击数量,也就是说广告投出去以后,被多少人看到了,或者进一步点开了。广告投放过程中涉及的主体非常多,本文仅讨论涉及到的四个最主要的主体:广告主(品牌方或App)、媒体(广告发布的平台)、个人用户(看广告的人)、广告监测方,可以看出如果没有广告监测方,广告主、媒体和个人用户也可以完成整个广告投放的过程,这就要引出下一个问题,为什么要做广告监测。

2 为什么要做广告监测?

广告主在投放广告的时候,通常是发布一个指令,例如:某品牌方要在某个媒体上花100万投放一条广告,一周内希望这个广告被看到1000万次。转换成广告界的语言就是,广告主投放100万一周内得到1000万个曝光。但这是一个结果导向的事情,但却需要一系列复杂的过程来完成这个结果,广告主由于无法掌控广告投放的复杂过程,就会出现一个信任问题,媒体说完成了,但广告主会有一系列疑虑:广告真的按我的要求投了吗?真的有1000万个曝光吗?真的投放给了我的受众吗?有多少人点开了这个广告?

100多年前,百货商店之父John Wanamaker也有过同样的疑虑“我在广告上的投资有一半是无用的,但是问题是我不知道是哪一半。”这也是著名的广告界“哥德巴赫猜想”。那么在当下程序化广告的时代,这个“猜想”可以说由广告监测解开了。

广告监测方在广告主和媒体中间充当一个裁判员的角色,广告监测方在广告投放过程中和媒体一起记录广告的曝光或点击,广告主、媒体、广告监测方三方达成合意,广告监测方的统计数据可以生成监测报告作为广告主与媒体结算的依据,对于广告主来说,其可以依据广告监测方的监测报告去做效果评估,并作为广告投放的依据,去优化投放策略,以更好的提升广告投放的转化率;对于媒体来说,解决了信任问题,有广告监测方的监测报告作为背书,省去很多无谓的解释和辩护,有利于得到更多广告主的投放需求,促进整个广告生态的和谐有序发展。

3 广告监测的分类

从实现的目的、功能的不同,分为效果广告监测和品牌广告监测;效果广告监测通常服务于App开发者,品牌广告监测则服务于品牌客户;效果广告监测以广告归因为核心,品牌广告监测以品牌宣传的评估为核心。

从监测的阶段不同,又分为前链路广告监测和后链路广告监测。由于广告主会在多个渠道投放广告,那么,前链路广告监测是监测广告的曝光、点击数据,即有哪些用户看到了或点开看了,后链路广告监测主要是归因,即监测广告是否产生激活、注册(即通过点击广告而下载App并打开、注册的行为)等行为,以及渠道归因,也就是去分析是从哪个媒体渠道转化过来的激活、注册,效果广告主可以通过上述方式实现前链路和后链路的广告监测,品牌广告主通常只会通过上述方式做前链路的广告监测,后链路则需要借助其他工具。不同的广告模式,数据的传输机制如下:

1、前链路广告监测的数据传输:是由媒体向广告监测方传输媒体曝光、点击数据的传输方式,具体有以下两种实现方式:

S2S:Server to Server,由媒体服务端到广告监测方服务端

C2S:Client to Server, 由媒体客户端到广告监测方服务端

通常是以C2S的传输方式为主。

2、后链路广告监测的数据传输:在完成前述前链路广告监测后,为完成效果广告监测,最主要的是渠道归因,广告主还需向广告监测方传输App激活、注册等后链路数据,有以下实现方式:

SDK:广告主的客户端集成了广告监测方的SDK,由广告监测方的SDK发起HTTPS请求。

4 广告监测行为中主体之间的法律关系和合规性分析

在了解了上述广告监测的来龙去脉及实现方式以后,我们对应到数据生命周期中来回溯涉及哪些个人信息处理主体和个人信息处理行为。

1、广告主和媒体之间

可以看出二者之间从始至终不涉及数据传输,仅是基于广告投放的合同关系,不涉及个人信息处理行为。

2、广告主和广告监测方之间

1)如果仅涉及前链路广告监测,广告主无需加载广告监测方的SDK,则双方仅是基于广告监测的合同关系,也不涉及个人信息处理行为;

2)如果涉及到后链路广告监测,广告主需加载广告监测方的SDK,则根据GB/T 35273—2020《信息安全技术 个人信息安全规范》第9.6条“共同个人信息控制者的界定,如果个人信息控制者在提供产品或服务的过程中部署了SDK,且该第三方未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方个人信息收集阶段为共同个人信息控制者。”而由于广告监测的SDK不直接与个人用户产生交互行为,未单独向个人信息主体征得个人信息的授权同意,这一授权同意是由广告主在其隐私政策中通过披露广告监测方实现的,但对于广告监测方来说,更合规的方式是也需要在其网站的隐私政策中公开披露详细的SDK个人信息处理规则。

再根据《个人信息保护法》第二十一条中共同决定的规定,广告主和广告监测方应当约定各自的权利和义务,并且,侵害个人信息权益的,依法承担连带责任。

3、广告监测方和媒体之间

其关系通常属于个人信息共享行为,根据GB/T 35273-2020 《信息安全技术 个人信息安全规范》中b)9.2条 “向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外。”按照上述规定,媒体在开展广告监测服务时,应披露共享或转让个人信息的目的、数据接收方的类型及相应的影响,经过单向散列函数加密等方式处理,数据接收者单方面无法再次识别的个人信息除外。

《个人信息保护法》则是对向其他个人信息处理者提出更为严苛的要求,第二十三条规定,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”相比GB/T 35273-2020 《信息安全技术 个人信息安全规范》,《个人信息保护法》进一步要求详细披露第三方的身份及联系方式,处理方式和个人信息类型,并取得单独同意。同时个保法第四条规定,个人信息不包括匿名化处理后的信息。也就是说,只有匿名化处理后的信息在向其他个人信息处理者提供时,才能免于上述合规义务。

由于广告监测涉及的主体较多,监测过程也较为复杂,希望通过此文帮大家梳理广告监测的整个流程,所涉及的各个主体对应的个人信息处理角色,各角色之间的法律关系,以及对应的数据生命周期的个人信息处理处理原则、法律责任承担等,对广告监测过程中所要注意的合规性有所了解。

(作者:北京腾云天下科技有限公司 葛梦莹)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。