定向广告合规:从 Twitter 和解看三条红线

定向广告合规:从 Twitter 和解看三条红线

Kaamel Lab
Kaamel Lab 2022年11月7日

定向广告合规的底线,是不把用户为一个目的提供的数据挪作广告。2022年5月,Twitter 因将用户为多因素身份验证(MFA)填写的电话与邮箱用于投放定向广告,向美国联邦贸易委员会(FTC)和司法部支付1.5亿美元和解金,受影响用户超过1.4亿。这起案子把定向广告的合规问题摆上台面:数据来源是否透明、用户是否有效同意、退出能否真正生效。

TL;DR

什么是定向广告,监管为何盯得紧

定向广告(行为广告)指广告商收集并分析用户的网上行为,再用算法把个性化广告推送给特定人群。据数据供应商 Statista,2021年全球数字广告市场规模超过4600亿美元,预计2026年增至6800亿美元。市场越大,监管越紧。

从2020年底起,FTC 就向 Amazon、字节跳动、Discord、Facebook、Reddit、Snap、YouTube 等平台发出责令,要求其在45天内报告如何收集、使用与追踪个人信息,如何决定向消费者展示的广告,以及定向广告是否影响儿童与青少年。

欧盟一侧,GDPR 的执法更直接指向“同意”。2021年7月,Amazon 因未经同意收集数据投放行为广告被罚7亿欧元;2019年,Google 因缺乏透明度、未获有效同意被罚5000万欧元。两起案子的共同点不是“能不能做广告”,而是“做广告前有没有把话讲清、把同意拿到”。

红线一:信息透明

不论通过什么渠道收集数据做广告,都要在隐私政策里讲清获取方式和使用目的。下面是 Twitter 隐私政策中关于用用户信息投放定向广告的表述,把用哪些数据、和谁共享、可在设置里调整逐条写明:

Twitter 隐私政策中关于定向广告数据使用的说明

透明不是免责声明式的长篇大论,而是让用户据此判断“我的哪些数据被用于广告”。这一点与加州对迪士尼开出的 275 万美元 CCPA 罚单指向同一问题:监管看的是选择能否被真实执行,而非页面上有没有一段文字。

红线二:获取有效同意

有效同意是 GDPR 处理数据的核心合法性基础之一,收集定向广告数据必须先取得。美国目前虽无硬性的同意要求,但留存同意记录能在调查时作为合规证据。

行为广告数据多经 Cookie 获取,因此清晰的 Cookie Banner 与同意管理系统很关键。Banner 一般出现在页面底部、不遮挡内容,用简短语言说明 Cookie 的作用与种类,并给出“接受/拒绝”或“接受/管理”的对等选择。关于同意 Banner 的设计尺度,可参考法国 CNIL 取消对谷歌 Cookie 同意的禁令比利时 DPA 的 Cookie 检查清单

红线三:提供可撤回的退出

用户给出同意后,应能随时撤回。很多 Cookie 方案的毛病在于:一旦接受、Banner 消失,用户再想拒绝就找不到入口。可行做法是设一个常驻的 Cookie 设置标识,让用户随时打开偏好面板重新选择。

带“Do Not Sell My Personal Information”的同意偏好管理界面

对出海企业的启示

Twitter 一案的教训不在“做了广告”,而在把一个目的(账户安全)收集的数据挪作另一个目的(广告)。监管趋势是把广告合规从“页面上有没有说明”,抬高到“数据来源正当、同意有效、退出可执行”。落地上,企业应确保数据用途与收集时的告知一致、Cookie 同意可审计、退出入口常驻可用。个性化广告本身不违法,违法的是不透明和假退出,这也是挪威禁止 Meta 违规投放个性化广告一案的核心。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.