大数据精准营销是大数据应用的典型场景之一,也是互联网促销行业升级转型的重要体现。 然而,大数据精准营销在发展过程中也面临法律合规问题,其中最突出的是数据获取和数据使用。 本文旨在结合案例进行简要分析。
一、大数据精准营销的含义和流程
所谓精准营销,是指基于大数据分析构建群体用户画像,通过将用户画像中的识别标签与互联网用户的身份信息关联起来,精准找到用户,将产品或服务信息推送到目标受众的过程。用户。
从上面的定义不难看出,精准营销通常包括三个环节。 一是建立群体用户画像,或者基于用户画像简化若干特征鲜明的用户识别标签; 二是将肖像与具体身份信息相结合。 进行关联,精准找到用户; 第三,向目标用户推送信息。
2、大数据精准营销各环节合规风险
第一步,群体用户画像的构建过程,主要涉及个人信息的收集规则。 群组用户画像不涉及特定个人的身份信息。 只要严格按照相关法律法规和规范执行,群体画像的形成过程本身不会引起明显的法律纠纷。
第二个环节涉及群体用户画像的输出或者标签输出,这个环节就是群体用户画像转化为个人用户画像的过程。 用户画像从具有个人身份特征转变为具有个人识别功能。 也就是说,现阶段用户信息具有识别特定用户的功能,是用户画像产生经济价值的基础。 虽然群像具有针对特定人群开发产品、制定营销策略的功能,但问题是仅仅依靠群像无法直接发现用户。 如果将集体照与传统广告结合起来,宣传成本无疑会非常高。 因此,将群体画像与个人身份信息相结合,将用户画像具体化,是用户画像精准营销过程中的关键环节。 本步骤中,如果仅完成群体用户画像与个人身份信息的结合,不涉及信息传输,一般不会产生额外的合规问题。 但如果涉及个人身份信息转移,则需要根据网络安全法确立的授权同意原则进行判断。
第三个环节是营销信息推送环节,也就是向用户推送产品或服务信息的过程。 推送信息必须使用用户的手机号码、微信ID、手机硬件识别码(IMEI)、浏览器cookie信息等。手机号码、微信ID等信息一直被视为个人信息,存在没有争议。 关于手机硬件识别码(IMEI)和浏览器cookie信息存在相当大的争议。 尤其是在百度cookie案中,南京中院判决互联网浏览记录仅与硬件相关,不具备个人信息特征,因此cookie信息在一段时间内不会被视为个人信息。 当然,这个问题现在已经解决了。 本文将在下一节具体解释这一点。
3.重新审视百度cookie案例
一、案件事实及判决
事实及案由:原告朱某在家里和单位上网浏览相关网站时发现,使用百度搜索引擎搜索相关关键词后,在百度广告联盟的特定网站上会出现与该关键词相关的广告。 朱野认为,在其不知情和选择的情况下,百度利用网络cookie技术记录和跟踪朱野搜索的关键词,将其兴趣、爱好、个人需求等暴露在相关网站上,并利用记录的关键词进行广告投放他们浏览的网页侵犯了他们的隐私权,使他们感到恐惧和高度紧张,影响了他们的正常工作和生活。 2013年5月6日,朱某将百度公司诉至南京市鼓楼区人民法院,请求判令立即停止侵权,赔偿精神损失费1万元,并支付公证费1000元。
南京市鼓楼区人民法院一审判决认为,个人隐私应当包括个人的私人活动和私人领域。 朱某使用特定词语在百度搜索互联网的行为会在互联网空间留下其私人活动痕迹,该活动痕迹表现出其个人上网偏好,反映其个人兴趣、需求等隐私信息。 在一定程度上识别了个人的基本信息和个人的私生活情况,属于个人隐私的范围。 因此,易易裁定百度构成侵犯个人隐私。 二审法院认为:收集网络浏览信息的匿名化特征不符合个人信息“可识别”的要求。 对于信息推送问题精准网络营销软件推广,二审法院认为,信息推送的终端是浏览器,而不是特定个人。 。
本案的另一个焦点是百度在其隐私政策中的告知是否充分。 一审法院认为,虽然百度网页上有“使用百度必读”字样,但其位于网页底部且字体名称较小,不足以表达通知和同意。 二审法院认为,由于百度在其《使用百度前必读》中明确说明了使用cookie技术的方法、使用cookie技术的后果,并提供了禁用cookie的渠道,故视为百度已明确告知其。因此不被允许使用它。 构成侵权。
2. 网络安全法的再审查
由于本案发生在《网络安全法》、《2017年侵犯公民个人信息案件解释》、《信息安全技术-个人信息安全标准》等法律、规范性文件颁布生效之前,南京市鼓楼区法院和南京市中级法院的判决各有各的论点。
如果按照新规则审理本案,以下两点需要特别注意:
一、cookie信息属于个人信息吗?
最高人民法院2017年颁布的《关于侵犯公民个人信息案件的解释》第一条明确规定“一切以电子或者其他方式记录的能够识别特定自然人身份或者反映特定自然人活动情况的信息”。单独或与其他信息结合的特定自然人。” “各种信息,包括姓名、身份证号码、通讯联系方式、地址、账户密码、财产状况、行踪等。” 包含在个人信息类别中。 按照广义的理解,行踪还可以包括网络浏览记录。 在《信息安全技术-个人信息安全规范》中,除了延续这一概念之外,还以枚举的形式来表达个人信息。 其中,个人上网记录(网络日志中存储的用户操作记录,包括网站浏览记录、软件使用记录、点击记录等)、个人常用设备信息(包括硬件序列号、设备MAC地址、软件列表) 、唯一的设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等),都属于个人信息的范围。根据这一原则,确定的个人信息判定原则百度cookie大小写已更改。
其次,关于如何获取和使用cookie信息的信息是否足够?
《网络安全法》等法律法规和规范确立了信息收集、使用明示同意的原则。 即网络运营者收集、使用个人信息时,应当公开收集、使用规则,明确收集、使用信息的目的、方式和范围,并取得被收集人的同意。 根据《信息安全技术个人信息安全规范》的定义,在收集个人信息之前,应明确告知个人信息主体所提供的产品或服务的不同业务功能所收集的个人信息的类型,以及收集、使用规则,并取得个人信息主体的授权同意。
明确同意是指网页上的通知内容和禁用应用程序的内容应相对醒目且易于用户阅读。 对此,由于目前无法获取当时百度网站的通知内容,因此无法做出明确判断。 但从法官基于免费证据的判断来看,在保护网络用户和维护网络运营商的经济利益面前,法官应该采取公平原则,偏向保护弱势方的利益。
网络精准营销是互联网时代大数据应用的典型案例,也是个人信息保护领域需要关注的问题。 百度cookie案的审理以及新监管形势下的复审精准网络营销软件推广,有助于平衡个人隐私与企业商业利益。
关于作者
吴伟明
锦天城律师事务所高级合伙人
