《个人信息保护法》对于市场营销的影响,市场人必看
各位市场部的同仁们,大家好!
相信大伙儿已经知道《中华人民共和国个人信息保护法》(以下简称《个保法》)已于2021年11月1日正式生效。据此,《个人信息保护法》与《网络安全法》和《数据安全法》一起成为构建我国的数据安全、网络安全和个人信息保护法律框架的三个重要支柱,对于企业如何处理客户个人信息提出了行为规范的法律要求。
这篇文章,小编将向各位市场部的同仁们深入解析《个保法》生效后对数字营销所造成的影响和应对方法。文章篇幅较长,建议大家先收藏,后阅读,方便今后快速查找。
郑重声明:虽然本篇文章的相关建议已经由本公司法务部门审核,然而,文章内的意见不构成对于贵司的个人信息处理的法律建议,请咨询法律从业人员寻求最终解释。
如果您有关于《个保法》的任何问题,欢迎关注聚加互动公众号,与我们直接联系。
一、个人信息的定义
《个保法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
《个保法》将个人信息分为三个不同的类型,保护力度依次递增,分别是:个人信息、敏感个人信息和特殊敏感信息。
(1)个人信息
绝大多数与自然人有关的信息,均属于个人信息的范畴,例如姓名、手机号、职位、邮箱地址等,都被定义为个人信息。
(2)敏感个人信息
敏感个人信息主要包括个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。
相比个人信息,敏感个人信息保护力度更大。需要取得个人的单独授权才能进行处理和使用。
(3)特殊敏感信息
不满十四周岁未成年人的个人信息属于特殊敏感信息,需要额外取得未成年人监护人同意的前提下方可处理和使用。
《个保法》将匿名化信息排除在管理范围外,这里的匿名化信息是指经过处理后无法识别特定自然人的信息,并且处理不可复原。
此外,应注意区分信息的匿名化与去标识化。所谓“匿名化处理”,是通过技术将个人信息处理后,无法再通过该信息识别特定自然人且不能复原。而“去标识化”,是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
匿名化后的信息不属于个人信息,去标识化后的信息仍属于个人信息。
二、个人信息的处理与使用原则
《个保法》的定义中,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
而针对不同类别的个人信息,有不同的处理方式。例如在处理信息时,普通个人信息往往在用户隐私条款中明确告知用户并取得其同意即可处理和使用。
但涉及到敏感个人信息时,则需要单独取得用户同意。而不是放入隐私条款中让用户一并同意。如果用户拒绝授权敏感信息,也不能影响用户一般情况下正常使用基本功能。
以下是不同类型的个人信息的定义与处理原则:
来源:夸克网
三、个人信息处理的核心规则
“告知-同意”规则是《个保法》的核心规则。《个保法》要求个人信息处理者在处理个人信息时,除了法定的情形外,均应依法告知个人,取得个人的同意,并应确保个人的同意是在其充分知情之后做出的。
《个保法》第十七条规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项;
(五)前款规定事项发生变更的,应当将变更部分告知个人。
总之,在告知的时候,需要做到条款清晰、格式简洁、方便理解。处理目的和规则发生变化时,应及时重新告知个人。对于敏感个人信息进行处理时需单独进行告知。
四、个保法对数字营销影响
数字广告、数字营销相较于传统营销的优势是更有效触达受众,精准的给受众提供感兴趣的内容和服务。
数字营销利用数据追踪可以进行详尽的个人画像的描绘,包括用户性别、年龄、行业、收入、婚姻状态、教育背景、兴趣爱好等,被收集和标记,打上一个个标签;再通过用户的浏览偏好、行为轨迹等用户行为定向分析,掌握用户需求。
然而过去数字营销行业一直存在对用户个人信息的滥用和“大数据杀熟”等问题。《个保法》旨在限制和规范信息收集、存储、使用、加工、传输、提供等环节的未获明确授权和滥用。
这份法案对标欧盟 GDPR(《通用数据保护条例》),无疑会改变数字营销行业发展模式。
下面小编就和大家聊聊《个保法》对于数字营销的影响。
1.拥有用户授权变得更重要
《个保法》实施后,如果没有充足的合规用户数据,品牌的数字营销将会举步维艰。
因此,在企业在进行市场营销的时候,不能仅满足与获取新媒体平台提供的匿名信息,例如微信OpenID和昵称,而是需要引导用户通过会员注册表单提供更多的个人信息和同意授权。这样企业才能进行更加深入的客户价值发掘,保证有效率的触达,改变营销效果。
企业也需要更新数据使用条款和隐私条款,确保涵盖必要的用户个人信息同意授权,作为日后使用这些数据的证据。
除此之外,企业还需要为用户提供个人信息修改和个人授权同意(账号注销)的选项,方便用户随时进行更新。
企业还应注意将收集信息限于实现处理目的的最小范围,而不是过度收集。因此,应该尽量避免让用户填写冗长的用户注册表单。
2.严禁因用户不同意提供个人信息就拒绝服务
企业在搭建营销系统的时候,需要确保用户即便在不授权同意个人信息的前提下,也可以使用一些基础的功能,而不是一概的将用户拒之门外。例如:公司的微网站需要提供用户一些基础页面的访问权限,只是在用户下载资料或者使用一些高级功能前要求用户提交个人信息。
当然,这个条款不包括那些受到访问权限限制的专属功能模块,比如付费模块和VIP专属模块等。
3.客户画像和洞察受限
以往,数字化营销过程中企业对于客户个人信息的收集几乎不受限制,包括性别、年龄、住址、家庭、行业、收入、婚姻状态、教育背景、兴趣爱好等信息,都可被收集和标记,并打上一个个标签;再通过用户的浏览偏好、购买行为等用户行为定向分析,品牌和媒体就能掌握完整的用户画像和客户意向。一旦用户选择拒绝提供相应的信息,企业就可以拒绝提供服务。
在《个保法》之下,个人信息按照不同的敏感等级有不同的处理原则,凡是涉及到敏感个人信息,还需要单独的获取客户同意。并且即便客户拒绝提供,也必须为他们提供基础的服务功能。
4.自动化营销和千人千面受限
《个保法》第二十四条规定了自动化决策的规则:“ 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇,也就是常说的严禁大数据杀熟。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。也就是说个人有权拒绝信息处理者仅通过自动化决策的方式推送的营销信息,有权拒绝接受基于其个人特性提供千人千面的服务选项。
为了确保合规,在制定自动化和千人千面营销时,应做到以下几点:
(1)制定公正和透明的自动化决策的规则
(2)严禁基于个人特征进行大数据杀熟
(3)提供便捷自动化营销的拒绝方式
(4)提供不针对其个人特征的选项
(5)只在其同意的情况下进行自动化营销
需要指出的是,严禁大数据杀熟,并不是表示“同货不同价”的策略一律不合法,比如,以下几个方面就可以是例外:
(1)根据交易习惯和行业惯例提供交易优惠,如,会员享优惠和妇女节女性独享优惠等;
(2)针对新用户在合理期限内享受的优惠活动;
(3)基于公平、合理、非歧视规则实施随机性交易等情形。
5.买卖个人信息违法
“告知-同意”原则,是贯穿《个人信息保护法》全文的基础规制,是个人信息处理的前提。以往,买卖个人信息被视为游离在法律边缘的灰色地带。个人信息常被明码标价、公开售卖,骚扰电话和邮件也屡有发生。
然而《个保法》以后,凡是未获得同意使用个人信息都将被视为违法。企业应该避免一切未经客户同意使用客户个人信息进行的营销推广,例如向未经同意的用户列表发送营销邮件,或者营销短信等。
此外,买卖个人信息还将会面临刑事诉讼的风险。《刑法》第253条之一 :违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
6.媒体合作的数据获取将会更难
数字时代,包括广告主、媒体、代理商等行业生态各方,均在打造自身数据库,以支撑广告投放和营销决策。在新规之下,影响最大的会是广告主,企业借由广告生态来回收和积累数据资产的做法会受到影响。
媒体方把广告数据向广告主转移将会变得越来越难。媒体为了避免违反《个保法》的规定,纷纷选择了不共享个人信息,仅共享不具有可识别性的匿名化信息。
7.委托处理个人信息不受影响
企业经常会雇佣营销代理公司从事营销推广工作,在这个过程中不可避免的需要委托第三方公司代为处理客户个人信息。这时候,企业需要与代理公司约定好数据处理的范围,按照规定规范使用数据。
由于委托处理是一种他人代为处理的方式,而非个人信息数据的共享,因此并不属于向他人提供,不需要单独获取用户的同意。但需要在隐私协议中,告知用户存在委托处理的行为。
8.搭建私域和会员体系正当时
《个保法》实施后,企业更难从平台获取到用户信息,企业所获得的信息都经过平台进行脱敏处理。在对企业的目标用户进行数据分析时,就存在不同平台间数据割裂的情况。
未来的数字化运营趋势必然是企业通过构建自有营销触点和私域流量,与用户建立长期的信任关系,并寻找合适机会获取用户授权个人信息,将用户纳入自己的会员体系之中。
搭建自己的会员体系,一方面能够完美解决用户同意授权个人信息的操作,因为会员系统是基于用户注册会员身份的这个操作。
另一方面,基于会员身份和会员积分提供不同等级的会员福利,可以代替使用千人千面个性化的服务,避免大数据杀熟的嫌疑。
总的来说,搭建私域以及会员体系来深度运营客户,是企业未来数字化营销的必经之路。
举个例子,对于工业企业来说,建立私域和会员体系以后,就可以记录设备的保修期和售后服务期限,精准的进行一对一的服务提醒和增值销售。此后客户的重复购买还可以通过积分奖励的方式进行福利馈赠,实现用户信息同意获取和个性化服务的双赢局面。
9.跨平台数据传输受限
跨平台的数据传输,也将会受到越来越多的限制。各大营销、电商平台目前都开始实行脱敏导出用户订单数据。企业所能看到的用户个人信息,将会是密文或虚拟号,比如,多数情况下,电商平台已经不再提供订单详情和手机号码,需要用后台提供的电子面单发货。
这会在一定程度上限制过去的一些营销玩法,例如,跨平台引流到企业微信或者微信公众号,通过手机号码进行用户身份的识别和绑定的操作将会无法实现。
当然,如果你能够在会员界面中说服会员补充完善自己的个人信息,那就另当别论。这实际上也是《个保法》规定的获取个人同意的合法化过程。
10.跨境数据传输须规范
《个保法》的适用范围与欧盟实施的GDPR(《通用数据保护条例》类似,不仅适用于在境内处理个人信息的活动,同样适用于境外处理境内个人信息的活动。
例如某跨国公司的中国分公司,在境内获取用户个人信息需要符合《个保法》规定;若要将在境内获取到了用户的个人信息传输到境外的公司总部同样需要符合《个保法》的相关规定。
根据《个保法》第四十条,当企业处理的个人信息数量达到国家网信部门规定的,需要将在境内收集或产生的个人信息存储在境内。
例如一家跨国企业,在中国境内收集的用户个人信息数据达到国家网信部门规定,相关数据则需要存储在境内,而不应跨境存储。
实践中,不少企业想通过在中国香港设置服务器,存储境内客户个人信息的方式来规避监管,在《个保法》实施的背景下,小编建议将这种方式也认定为数据跨境存储,视为违规。
当企业在境内收集的用户个人信息数量达国家网信部门规定,同时又确实需要将数据向境外提供,则需要满足以下三个条件之一:
(1)安全评估
一般情况下,涉及到跨境数据流转存储的情况,均需要经过国家部门的安全评估。只有当有其他法律法规规定的例外才可不进行安全评估。但截至目前,相关法律法规及国家网信部门,暂无出台这类“例外”。
(2)专业机构认证
根据国家网信部门规定的经专业机构进行个人信息保护认证,这一点目前还有待相关部门推出更为完善细致的规则。
(3)设置标准合同
根据国家网信部门制定的标准合同与境外的个人信息数据接收方签订,从而合法合规约定双方的权力及责任义务。
对于个人信息跨境存储的具体要求,请咨询专业的法务人士获取具体的合法的操作步骤。
五、违反《个保法》面临的处罚
《个保法》对违法行为加大惩处力度,在行政处罚方面参考了欧盟GDPR的处罚力度,并有所提高。违反《个保法》的个人信息处理者将面临不同级别的处罚,情节严重的,将面临责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。
《个保法》第六十九条明确了个人信息侵权案件的举证责任倒置和损失计算的规则,第七十条规定了个人信息侵权案件的公益诉讼制度,增加了个人信息侵权案件中个人信息处理者的诉讼风险。
写在最后
个人信息保护已成为大势,包括更严格的用户信息收集、更规范的用户授权、更谨慎的应用自动化分析技术。如何在合法合规框架内,挖掘消费者数据价值,保证有效率的触达,改变营销策略,是行业各方都在思考的议题。
数字营销也需改变新策略,比如,企业搭建社群和私域流量,提升客户的信任度,通过对会员体系的深度运营获取消费者信息,通过搭建CDP(Customer Data Platform)实现全渠道和多维度的客户数据收集等。
总之,如果没有充足的合规用户数据,企业的数字营销之路将会越走越窄。