个人信息保护法修订后,广告人还能好好“撩”用户吗?
说真的,每次看到“个人信息保护法”这几个字,是不是头都大了?感觉像是上学时老师突然宣布要突击考试,规则还写得密密麻麻,看一眼就想睡觉。但咱们做广告的,不搞懂这个,轻则罚款,重则直接“社死”(社会性死亡),账号都给你封了。所以,别怕,咱们今天就把这事儿用人话聊透,聊聊广告到底该怎么打才不踩雷。
其实,这部法律(全称《个人信息保护法》)刚出来那会儿,大家就慌得不行。现在又提到“修订”,很多人更懵了。先澄清一下,目前《个人信息保护法》本身的大框架没变,但相关的配套细则、司法解释,还有《广告法》、《消费者权益保护法》一直在打补丁。特别是针对“大数据杀熟”、“精准推送”这些广告重灾区,监管的眼睛是擦得越来越亮了。咱们今天聊的“要点”,就是基于这些最要命的变化。
一、 别再假装不知道:什么是“个人信息”?
很多人觉得,我不就是发个广告嘛,又没偷没抢。但在法律眼里,你多看用户一眼,都可能算“收集信息”。
以前我们觉得,名字、电话、身份证号才叫个人信息。现在不一样了,只要是能联系到特定个人,或者能反映出个人行为习惯的,都算。
- IP地址:你以为只是个代码,它能暴露你大概在哪。
- Cookie和浏览记录:你看了什么产品,准备买什么,这都是核心数据。
- 位置信息:你常去哪家咖啡店,周末爱逛哪个商场。
- 设备信息:你用的手机型号、操作系统,甚至电池电量(有些APP真的会读这个)。
所以,当你在后台看到用户画像,觉得“哇,这人真有钱,给他推个豪车广告”的时候,你手里攥着的,就是法律严管的个人信息。搞清楚这个边界,是第一步。
二、 “告知-同意”:不是走形式,是保命符
这是最核心的一条。以前APP弹窗,一堆小字,点“同意”像签卖身契。现在不行了,法律要求必须“公开、透明、易懂”。
什么意思?就是你不能把关键信息藏在第18页的角落里。你要收集什么,拿去干嘛,存多久,得大白话告诉用户。
1. 单独同意是硬杠杠
以前那种“一揽子授权”——点一个同意,既同意了用户协议,又同意了隐私政策,还顺带同意了给你发短信推销——现在行不通了。
特别是涉及到敏感个人信息(比如生物识别、宗教信仰、特定身份、健康医疗、金融账户、行踪轨迹等),你必须让用户单独勾选同意。比如,你想收集用户的健康数据来推销保健品,你得专门弹个窗问:“亲,为了给您推荐更合适的保健品,我们需要获取您的健康数据,您同意吗?”不能藏在注册流程里一带而过。
2. 随时撤回是标配
用户当初点了“同意”,现在后悔了,想撤回,你得给人家提供方便的渠道。不能藏得深不见底,找都找不到。很多APP现在设置里都有个“隐私设置”,里面明确有“撤回同意”的选项,这就是合规的。
如果你做广告投放,跳转的落地页、关注的公众号,都得有这个机制。不然,用户投诉一投一个准。
三、 精准营销:大数据的“紧箍咒”
广告最怕什么?怕乱发。最爽什么?精准投放。但精准的前提,是掌握了用户数据。现在,这个“爽”字要打个问号了。
1. 自动化决策的透明度
你用算法给用户画像、做价格歧视(大数据杀熟),用户有权要求你解释。比如,为什么同样的商品,他看是100块,我看是120块?用户如果质疑,你不能说“系统算的”,你得能说明白逻辑(虽然这很难,但法律要求你必须做到)。
在广告里,如果你用了自动化决策(比如基于用户浏览习惯的动态创意优化),你得在显著位置告知用户,并提供不基于个人信息的选项,或者拒绝的权利。
2. 禁止“大数据杀熟”
这是老生常谈,但法律明确写进去了。基于个人信息对用户实行不合理的差别待遇,比如价格歧视、服务歧视,是违法的。做广告投放时,如果你的系统会根据用户的消费能力显示不同的优惠力度,要非常小心。除非你有极其充分的商业理由,且能证明这不是歧视,否则别碰。
四、 数据共享与第三方:坑最多,要填好
广告行业链条长,数据倒卖、共享是常态。现在,链条上的每一环都要负责。
1. 委托处理要留痕
你找广告公司做投放,找数据分析公司做报表,这都属于委托处理个人信息。你作为数据提供方(个人信息处理者),必须和受托方签严格的协议,规定好处理目的、期限、方式等。而且,受托方不能超出约定范围处理数据。一旦出事,你俩连坐。
2. 向第三方提供要“明示”
如果你要把用户数据给另一个公司(比如合作伙伴、数据购买方),你必须:
- 告诉用户你要把数据给谁。
- 给谁、给什么、干什么用,得说得清清楚楚。
- 必须获得用户的单独同意。
那种“我们可能会将您的信息共享给合作伙伴”的模糊说法,已经不够用了。你得指名道姓地告诉用户:“我们要把您的浏览记录共享给XX公司,用于给您发优惠券。”
五、 跨境传输:出国要“过审”
如果你的广告业务涉及海外,或者服务器在国外,这条要命。
把国内用户的个人信息传到国外,门槛极高。通常需要通过国家网信办的安全评估、进行个人信息保护认证,或者按标准合同备案。不是你想传就能传的。很多做跨境电商、海外投放的朋友,这里最容易踩雷。因为很多时候,数据是自动同步到海外总部的服务器上的,这在法律上就是跨境传输。
六、 广告合规实操清单(拿走不谢)
光说理论太虚,咱们上点干货,看看日常操作中,哪些动作必须做到位。
| 场景 | 合规动作 | 避坑指南 |
| 收集用户手机号 | 1. 弹窗告知用途(如“用于接收验证码和优惠通知”)。 2. 用户主动勾选同意。 3. 提供隐私政策链接。 |
不要默认勾选!不要在用户注册时强制绑定手机号(除非核心功能需要)。 |
| 使用Cookie追踪 | 1. 首页弹出Cookie横幅。 2. 明确说明追踪目的(如“用于广告优化”)。 3. 提供“拒绝所有”或“管理设置”的选项。 |
不能只给“接受”选项。拒绝后不能因此拒绝提供基本服务。 |
| 微信公众号推送广告 | 1. 关注时弹窗告知会发广告。 2. 获得明确的“同意”。 3. 每篇文章底部有“退订”或“取消关注”的指引。 |
不要买粉,不要群发骚扰信息。被投诉一次,封号风险极大。 |
| 电话销售/短信营销 | 1. 必须有用户明确的“同意”记录。 2. 通话开始时表明身份和目的。 3. 提供拒绝和拉黑的方式。 |
96110预警劝阻电话除外,但商业推销必须有授权。不要在晚上9点到早上8点之间打。 |
| 用户注销账号 | 1. APP内提供注销入口。 2. 注销后,删除或匿名化处理该用户的所有个人信息。 |
不能设置障碍(如“需联系客服”、“需满足XX条件”)。删除要彻底,不能只是“逻辑删除”。 |
七、 罚款与代价:真的罚到肉疼
别以为违法了只是整改一下就完事了。《个人信息保护法》的罚款力度,是之前的《网络安全法》没法比的。
- 一般违法:最高罚5000万,或者上一年度营业额的5%。对于大厂来说,这可能是几十亿的罚款。
- 情节严重:可以吊销相关业务许可证。
- 个人责任:直接负责的主管人员和其他直接责任人员,最高可罚100万,甚至终身禁业。
所以,别抱侥幸心理。以前可能觉得“罚酒三杯”,现在是“倾家荡产+行业拉黑”。
八、 给广告人的几点碎碎念
聊了这么多,其实核心就一句话:把用户当人,别当数据。
以前我们做广告,总想着怎么“套路”用户,怎么让他多看一眼,多点一下。现在环境变了,用户觉醒了,法律跟上了。你越是藏着掖着,用户越不信任你。你越是坦坦荡荡,告诉用户“我要收集你的信息给你推广告,但你可以随时关掉”,用户反而可能因为你的真诚而买账。
合规不是为了应付检查,它是品牌信任的基石。试想一下,两个差不多的产品,一个天天骚扰你,还不告诉你它怎么知道你电话的;另一个明明白白告诉你“我们用了你的浏览数据,这是为你定制的优惠”,你选哪个?
当然,实操中肯定还有很多细节让人头秃。比如,第三方SDK偷偷收集数据怎么办?用户注销后,之前分享给朋友的聊天记录怎么处理?这些都是灰色地带,需要法务和技术一起慢慢磨。
但不管怎么说,大方向已经定了。广告行业正在经历一场从“流量为王”到“信任为王”的转型。在这个转型期,谁能最快适应规则,把合规内化成竞争力,谁就能活得更久。
所以,下次写广告文案、设计用户流程时,多问自己一句:如果我是用户,我愿意这样被对待吗?如果答案是肯定的,那这事儿基本就稳了。
好了,今天就先唠到这儿。改天有空,咱们再聊聊具体的案例,看看那些被罚的“大厂”们,到底踩了哪些坑。
