如何突破海外数据隐私保护政策桎梏?一份给出海开发者的数据合规指南

针对GDPR、CCPA、COPPA,出海产品技术层面的数据合规考量

郑晴允 ,Mintegral内容营销经理2020-06-22

近年来,海外数据隐私保护法规的盛行,给出海开发者带来巨大的挑战。为了帮助出海开发者更好地进行数据合规工作,6月19日下午,Mintegral SDK产品负责人王敬元在“白鲸公开课”上带来了《突破海外「数据隐私保护」政策桎梏?出海产品技术层面的合规考量》的主题分享。

在此次分享中,我们主要列举了GDPR、CCPA、COPPA这三个在全球范围内具有较高影响力的数据隐私保护法规,分别从开发者和广告供应商的角度,针对产品技术层面,分享相应的合规做法。

01. GDPR:获取用户个人数据许可

【法规名片】

GDPR(欧洲通用数据保护条例)

  • 生效时间:2018年5月25日
  • 保护对象:欧盟用户以及声明遵循GDPR的国家地区的用户
  • 约束对象:在欧盟地区为用户提供数字服务及数据服务部署在欧盟成员国内的企业
  • 核心要求:企业需证明对个人数据的需求,让用户自主控制其数据,确保用户数据的安全,实施数据治理与文档编制。

合规指南:

开发者层面

1) 建立一个“征得用户同意收集其个人数据信息”的流程

 参考流程如下图:

在这个流程中需要注意:

  • 在用IP来判定用户是否属于欧盟地区时,需谨慎收集和使用IP信息。IP也属于GDPR所定义的“个人信息”,理论上需要获得用户许可。但我们可以从两个角度来诠释收集IP数据的合理性:
  1. 单纯的IP信息并不能精确定位到个人,只要不与其他信息结合进行定位,则收集IP信息相对不那么敏感;
  2. GDPR实际上也赋予企业一定的合理解释权,保障企业的自身利益。但企业需要在使用后废弃掉IP信息,不得与其他信息关联。
  • 询问用户是否同意收集其个人信息时,不能使用默认“同意”勾选的方式,也不能强制用户同意,譬如“不同意”则不能使用产品这类行为是明显违规的。
  • 用户设置完成后,需给用户提供随时退出或改变授权状态的选项

案例分享:Kiloo《地铁跑酷》

Kiloo的数据合规设计除了符合上述GDPR的要求,在向用户征求同意时,巧妙地使用了“是否想提升你的广告体验”的标题来吸引用户。因为对于用户来说,即便“拒绝”收集个人信息,广告也不会停止投放,只是不能基于个人进行个性化推荐而已。在这种无法避免看广告的情况下,与其看毫无关联的随机广告,大多数用户会更倾向于选择观看与自己兴趣匹配的广告,而愿意授权收集其个人信息。

2) 与广告平台进行配合

开发者通常会集成一到多个广告SDK。在GDPR隐私处理上,开发者需要将用户的选择结果传递给合作的广告平台。在产品逻辑设计上,开发者可以选择“开发者自行开发的弹窗”、“广告平台提供的弹窗”或“广告聚合平台的弹窗”触发功能,来实现隐私政策说明的展示以及用户选择流程。

广告供应商层面:

配合开发者进行相应的数据合规工作,发布官方的隐私政策说明,需包括信息收集、信息使用、信息分享、用户权利等重要说明。

另外,在产品对接方面,广告平台也需要提供必要的接口以收集用户的“同意”状态。如果没有相应的接口实现功能,除非平台默认不收集任何个人信息数据,否则不符合GDPR的要求,将存在较大的法律风险。

02. CCPA:强调建立“退出”机制

【法规名片】

CCPA(加州消费者隐私法案)

  • 生效时间:2020年1月1日
  • 保护对象:美国加州用户
  • 约束对象:为加州用户提供服务及准备在美国开展业务的企业
  • 核心要求:用户有信息访问权、删除权、选择“退出”的权利。

合规指南:

开发者层面:

开发者需要发布隐私政策说明与建立“退出”机制。虽然CCPA不强制要求需要有明确的前置“同意”动作,默认企业可以进行个人数据的收集和使用,但该法规主要强调,企业需支持用户可随时“退出”(opt out),即不再允许“出售”其个人信息。而开发者除了要在产品中建立相应的流程或功能支持这一机制,也需要考虑在用户选择“退出”后,如何设置相关的第三方合作伙伴。

广告供应商层面:

广告平台同理需要发布隐私政策说明和建立相应的“退出”机制。并且,广告平台的功能支持在很大程度上可以帮助开发者规避法律风险。

以Mintegral为例,我们提供全局维度的CCPA设置,可以支持开发者在未完善CCPA相关合规工作的情况下,避免“出售”该区域的用户数据,并阻断任何有关数据的传输。而开发者在已完善合规流程的情况下,亦可通过SDK接口设置,以标识用户是否不允许其“出售”个人信息。

03. COPPA:谨慎收集儿童个人数据,获得儿童家长的同意

【法规名片】

COPPA(儿童在线隐私保护法)

  • 生效时间:2000年4月21日
  • 保护对象:13岁以下儿童
  • 约束对象:在美国获取用户或从事线上业务的企业
  • 核心要求:发布“清晰而全面”的在线隐私政策,向父母提供通知并获得收集儿童信息的同意,保护儿童个人信息的机密和安全。

合规指南:

开发者层面:

  • 明确产品定位。如果产品不面向小于13岁的儿童提供服务,理论上不需要进行COPPA合规工作;如果产品“只服务于儿童”或用户包括部分儿童,前者需要完全符合COPPA规定,后者则需要制定产品逻辑,来区分用户中哪些是儿童并执行符合COPPA的规定。
  • 发布明确的隐私政策说明,描述如何处理儿童用户的个人信息。
  • 征得儿童家长的有效确认。虽然法规上没有限制获取方式,但需要有切实的证据能够证明获得家长的许可。由于这个机制的实施较为繁琐,建议开发者尽量不要考虑,除非是有明确意图使用儿童个人信息的情况。

针对面向儿童提供服务的产品,需谨慎选择合作伙伴。避免广告供应商向儿童用户推送不适合的广告内容,而遭到应用商店的下架。

广告供应商层面:

广告平台亦需要发布针对儿童的隐私政策说明,并且利用有效的手段来区分开发者应用的流量是否为儿童用户,执行符合COPPA规定的逻辑,譬如不针对儿童用户投放个性化广告、为儿童用户展示的广告内容需要符合分级要求等。

常用的做法是在APP维度进行设置,以确保整个APP的广告内容都符合COPPA的要求。这对于不能严格区分自己的用户哪部分是儿童用户的开发者来说也较为安全。

如果开发者可以明确区分哪些用户为儿童,哪些不是儿童,则可以在广告平台上注册两个应用ID,并为不同用户群体分配不同的应用ID进行广告请求。

未来趋势:开放透明将赢得用户的信任

根据Gartner的报告显示,到2022年,全球有一半人口的个人信息将会受到GDPR等当地隐私法规的保护。这表明,数据隐私保护法规正在快速普及,全球化的数据隐私保护已成为长久趋势,包括国内隐私政策法规的全面完善和实施,也只是时间问题。更多数据隐私保护法规的落地可以更好地促进整个互联网生态的健康发展。

在我们看来,任何法规都不会阻止企业合理的数据使用行为,但前提条件是给予用户充分的知悉权,让用户了解使用的目的。因此,透明与公开也将是行业各方进行数据隐私保护的成功关键。出海开发者应顺应趋势,主动走上数据合规之路,保护好自身用户的隐私和权益。

Avatar
郑晴允主要负责Mintegral的内容营销工作及海外社交媒体运营,帮助塑造品牌形象,熟悉广告技术行业及B2B营销领域。
Share