2025年12月17日,总部位于维也纳的非营利组织noyb(“None of Your Business”的缩写)向奥地利数据保护机构(DSB)提交了两份重磅投诉,矛头直指TikTok、同性恋交友应用Grindr以及移动归因平台AppsFlyer 。
投诉的核心,指控TikTok在未经用户明确同意的情况下,通过第三方数据归因平台(以色列AppsFlyer),大规模追踪用户在TikTok平台之外的活动(即“off-TikTok activity data”),其中甚至包括用户使用Grindr这类涉及性取向的敏感应用的行为数据。
根据noyb披露的案情,一名用户通过GDPR赋予的数据访问权,从TikTok获取了其个人数据的副本。在多次请求后,用户惊讶地发现,TikTok不仅处理其平台内的行为数据,还收集了大量关于他在其他应用上的活动信息。这些数据详细记录了他何时打开了Grindr,在购物应用中将什么商品加入了购物车,以及是否在看到TikTok广告后在其他平台完成了购买(即“转化事件”)。
这一发现,将数字平台的广告归因底层进行了揭示——事实上,这和所谓的“跨应用传输和提供个人数据”不完全是同一个事,甚至都不是同一个性质。
这是一个复杂的数据共享链条,Grindr等应用通过集成AppsFlyer的软件开发工具包(SDK),将用户的行为数据传输给AppsFlyer。AppsFlyer作为一家移动营销分析和归因平台,聚合这些来自不同应用的数据,并将其提供给像TikTok这样的客户,用于广告投放、效果衡量和用户画像分析。TikTok在收到这些数据后,将其用于个性化广告、分析与测量服务、平台改进和安全保障等多个目的 。
根据AppsFlyer的公开信息,其slogan是“将分散的数据转化为可衡量、可信赖的增长”,隐私框架如 SKAdNetwork 和 Privacy Sandbox 限制了数据访问。我们的解决方案通过先进的建模克服了这一信号损失,实现了精准归因,同时符合所有隐私要求。
Noyb的投诉并非空穴来风,其认为TikTok及其合作伙伴涉嫌违反欧盟《通用数据保护条例》(GDPR)的多项核心条款。
首先,违反了数据最小化原则(GDPR第5条1(c)款)。 该原则要求个人数据的处理必须是“充分、相关且限于实现其处理目的所必需的”。Noyb认为,TikTok不加区分地大规模收集用户在平台外的各类活动数据,远超出了其声称的“个性化广告”或“平台改进”等目的所必需的范围。例如,为了衡量广告效果,是否有必要知道用户具体打开了哪个约会应用?这种“多多益善”的数据收集策略,与数据最小化原则背道而驰。
其次,缺乏合法的处理依据(GDPR第6条1款)。 GDPR规定,任何数据处理活动都必须具备六种合法性基础之一。TikTok为其数据处理行为提出了两个主要依据:“同意”和“合法利益”。
Tiktok在投诉反馈件中明确,其处理TikTok之外应用中的活动数据的目的及合法性基础是:i. 提供个性化广告(基于推定同意);ii. 提供测量和分析服务(基于假定的合法利益);iii. 改进平台(基于合法利益);以及确保平台安全(基于合法利益)。
对于个性化广告,TikTok声称依赖用户的“同意”。然而,noyb指出,用户仅仅接受平台的服务条款和隐私政策,并不构成GDPR所要求的“自由给出、具体、知情且明确”的同意。尤其是在处理平台外数据这种侵入性极强的行为上,平台需要获得用户更为明确的授权,而非通过冗长模糊的法律文本进行捆绑同意。
对于分析、平台改进和安全保障等目的,TikTok则援引“合法利益”作为依据。但noyb反驳称,这些笼统表述的目的本身是否构成“合法利益”就值得商榷。更重要的是,平台并未证明这种数据处理对于实现这些利益是“必要的”,也未能证明平台的商业利益凌驾于用户基本权利和自由(特别是隐私权)之上。显然,用户的性取向信息被用于广告分析,其对个人权利的损害远大于给平台带来的商业利益。
最严重的是,非法处理特殊类型个人数据(GDPR第9条1款)。这是本次投诉中最具“爆炸性”的投诉。GDPR明确规定,处理揭示个人“性取向”的数据属于特殊类型数据(敏感数据),原则上是禁止的。唯一的例外之一是获得了用户的“明确同意”(explicit consent)。
根据投诉文件,关于用户使用Grindr(一个为同性恋、双性恋、跨性别者和酷儿群体设计的约会应用)的信息,直接关联到用户的性取向。TikTok、Grindr和AppsFlyer在处理和共享这些数据时,并未获得用户的明确同意。这意味着,它们可能在没有任何合法依据的情况下,处理了欧盟法律下保护等级最高的个人数据。
跨应用广告归因(Cross-App Advertising Attribution)正是此投诉案件引擎中最为精密也最具争议的部件之一,广告归因旨在追踪用户在不同移动应用间的行为,以衡量广告活动的有效性,并将用户转化(如购买或注册)归功于特定的广告触点。
正是基于跨应用甚至是跨端的特点,广告归因能力一般依附于苹果和安卓系统提供的底层方案。而在跨应用广告归因的演进过程中,苹果的 SKAdNetwork 与谷歌的 Privacy Sandbox 代表了隐私保护与商业增长平衡的两种截然不同的范式。
苹果的 SKAdNetwork 采取了“中心化控制”的强硬路线,其核心逻辑是通过彻底切断个体标识符 IDFA 的访问权,将归因逻辑回收到 iOS 系统底层。这种机制下,广告主不再能获得用户的实时、精准行为反馈,而是必须适应由苹果定义的“三段式回传窗口”和“隐私阈值”。此外,为了防止广告商通过时间戳反推用户身份,苹果强制设置了随机的发送延迟,这使得传统实时优化广告素材的手段变得几近失效,迫使行业从“微观追踪”转向“宏观建模”。
相比之下,谷歌的 Privacy Sandbox 表现出更强的技术开放性和生态兼容性,它试图在安卓系统内构建一套复杂且可编程的 API 矩阵,以取代传统的 GAID 追踪。谷歌方案的独特之处在于它保留了更强的商业灵活性,例如 Topics API 通过分析用户在设备本地的应用使用习惯来生成兴趣标签,从而在不上传用户隐私轨迹的前提下实现兴趣投放;而 Protected Audience API 则通过在手机本地进行出价逻辑和受众筛选,解决了受限环境下的重定向(Retargeting)难题。总而言之,苹果通过严格的数据脱敏和时间延迟确立了隐私的高压线,而谷歌则试图通过复杂的加密技术和本地化计算,在保护用户隐私的同时,尽可能保留广告归因的精细化分析能力。
作为美国隐私立法的领头羊,加州的《消费者隐私法》(CCPA)及其修正案《隐私权法》(CPRA)引入了“禁止出售或分享我的个人信息”的权利。“分享”(Share)被明确定义为出于“跨场景行为广告”(cross-context behavioral advertising)目的而披露个人信息。这意味着,加州消费者有权选择退出此类跨应用追踪。此外,加州还设立了“数据代理注册法”,要求数据经纪人向州政府注册并披露其收集的数据类型。
但是,加州法律相较于欧盟的 GDPR 较为温和的一个主要特点是,它 不要求明确的同意,仅要求平台提供退出选择 。例如,《加州消费者隐私法案》(CCPA)要求被认定为“数据销售方”的公司需在网页上提供明确的退出选择,但默认仍为同意 。
为什么跨应用归因如此重要?说白了就是一句话:“客户这单广告预算,功劳该算给谁?”
想象你是一个手机应用的开发者,你花了一笔钱在某个广告平台投放广告,希望吸引用户下载你的应用。但问题来了:你怎么知道这笔钱有没有花得值?有多少人看到了你的广告?其中有多少人真的下载了你的应用?他们下载后有没有进行购买或其他有价值的操作?ROI永远是投放者的需求。
因此,归因的目的是为了计算和分配冗长广告投放链路中和各方收益并进行结算。在Apple推出SKAdNetwork之前,广告商获得这些信息的方式非常直接,通过基于 Cookie 的追踪,移动端设备 ID等。但不管如何,广告归因的方式多种多样,均需要基于利益分配和结算,只不过存在不同的归因建模方式。
例如,线性归因让每个广告接触渠道都会平均分配广告曝光的功劳及利益,如果客户在购买前点击了五个渠道的广告,每个广告将获得20%(100%除以五)的功劳。而时间衰减归因会给予更接近转化的触点更高的权重,如果某人在购买前一周点击了广告,然后在购买前一天又看到了另一则广告,那么后者将获得更多的归因信用。U 型归因模型倾向于给予首触和尾触更大的权重,而中间的触点则分配较小的权重。
为了实现广告归因,服务方会追踪用户的整个旅程:看到广告→点击广告→下载应用→使用应用。为了做到这一点,广告平台需要收集大量用户数据,包括设备ID、浏览历史、位置信息等。Apple在iOS 14.5推出了App Tracking Transparency(ATT)框架,要求应用必须明确询问用户是否允许跨应用追踪。这一举措虽然保护了用户隐私,但也让广告商陷入了困境——大多数用户选择了拒绝,广告商失去了追踪用户的能力。SKAdNetwork就是在这个背景下诞生的,核心思想是:不需要追踪个人用户,广告商也能知道他们的广告有没有效果。
中国在苹果ATT及安卓Q后,也陷入了计算广告无法归因的市场恐慌。这也是为什么当时中国需要推出OAID (Open Advertising ID)可变标识符的原因。
广告归因及其用户追踪技术,是程序化广告的基础,但合规问题较为复杂,特别是数据控制者和处理者的角色定位,均在互相推让——试图将获取数据处理的合法性基础推到对面去承担。
声明:本文来自麻策的备忘录,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
