编辑导语：MarTech是营销数字化转型进程中更侧重技术的概念输出。在整个营销生态当中，能够用到的营销系统或软件都可以被称为MarTech。本篇文章针对当前行业里的热门话题「数据合规」和「个人隐私」展开讲述，推荐对MarTech感兴趣的小伙伴们阅读。

这是营销数据闭环专题的最后一篇，是关于当前行业里的热门话题「数据合规」和「个人隐私」。

印象中，国人对隐私这个事的「民智开启」要追溯到2012年315晚会，某外企非法获取、出售房主、车主的个人信息，企业被处罚倒闭，法人锒铛入狱，举国哗然。

当沉浸在「互联网免费」中的朴素网民，逐渐发现，自己根本就不是「消费者」，而是被消费时，「羊毛出在猪身上」的梗在大街小巷流传。

从2016年开始，我国密集发布了一系列政策和法规，从法律层面明确了数据安全和个人隐私保护的重要性，到2021年《中华人民共和国个人信息保护法》（PIPL）发布，势能达到顶峰。

PIPL从「数据收集」「数据存储」「数据加工」三个层面提出了较为具体的要求。

比如，在收集阶段，要遵循「告知-同意-取消权」的基本原则，不能因为用户不同意而限制功能使用；在存储阶段，要遵循「删除权-加密-去标识」的基本原则；在加工阶段，要遵循「透明-公平-拒绝权」的基本原则。

同时，对个人信息也进行了较为明确的划分和处理原则说明：

几个易混名词的解释：

（1）授权同意：个人信息主体对其个人信息进行特定处理作出明确授权的行为，包括通过积极的行为作出授权（即明示同意），或者通过消极的不作为而作出授权（如信息采集区域内的个人信息主体，在被告知信息收集行为后没有离开该区域）；

（2）明示同意：个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作 出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等；

（3）去标识化：通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体（识别特定自然人）的过程。去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识；

（4）匿名化：指个人信息经过处理无法识别特定自然人且不能复原的过程；

（5）自动化决策：指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

一、品牌的机会与挑战

随着个保法的发布，政府持续针对App超范围索取权限，服务场所非必要收集消费者信息，推进「侵犯用户隐私行为」专项整治。很多人认为追踪消费者越来越难，营销成本越来越高，「寒冬」来了。

诚然，一些营销活动受到了挑战，电商平台收紧向品牌分享会员信息，手机厂商增加App授权门槛，但我看来，与其说是「寒冬」，不如说是把营销拉回正轨。

我们都有过这样的体验，跟朋友聊一件事或搜个商品，转眼淘宝首页上就挂满了“你想买”的商品，抖音短视频里也全是“你想去”的景点，这时候多少有些令人毛骨悚然。

也许，通过这种手段，取得了一些成果，但这种不停骚扰、强迫消费者的行为真的是好营销手段吗？而用户一旦意识到被跟踪，会因为感觉被冒犯而产生厌恶，因为他们从一开始就没有同意过。

当今，优秀的品牌都懂得通过情感、精神、价值观，打造与消费者的连接，建立品牌价值，很难想象一个不能跟消费者建立基本信任的品牌，如何通过情感共鸣，打造品牌的高阶差异化。

反过来思考，如果消费者从一开始就得到了明确的告知，将会是一个很好的信任起点。在建立基础信任后，消费者有更大的几率授权给品牌更多信息、甚至主动提供一些个人偏好，以换取更好的服务。

拿到个人信息授权后再推送的营销活动有更大概率引起关注和转化，因为授权行为已经帮助筛选出了意向客户，这些人愿意花更多时间和金钱。可见，一个明确的授权可能在短期减少可跟踪的消费者，但从长期看，会增加忠诚度和营收。

一个品牌真正「性感」的地方在于获得了多少消费者的信赖，与多少消费者建立了情感连接，有多少消费者自愿向品牌透露偏好，自愿接受品牌的广告。对于营销人来说，这将是一个全新的市场指标，可量化的企业品牌价值。

为什么前一阵小红书会「封杀」29个品牌，因为他们大量虚构使用体验，不诚信，惹恼了用户，也损害了内容分享平台的核心利益。

未来也许，这样的事情还会发生，而市场会用脚投票，教育那些「短视」企业，奖励追求长效价值的品牌。

去年，Forrester根据日渐敏感的个人隐私，提出了「零方数据 zero-party」 的概念，今天，我认为这是每一个营销人都应该理解的概念。我们都听说过一方、二方、三方数据，主要是根据数据生产方、归属方来划分的，而「零方数据」是从另一个维度来定义，是消费者为了获得个性化服务，主动分享给品牌的数据。

「零方数据」的好处包括：

（1）准确：相比较根据AI算法推断出来的数据，「零方数据」更加符合消费者预期，也不用解释为什么，因为这就是消费者想看到的；

（2）合法：越来越严的政策监管，消费者的「民智觉醒」，让那些铤而走险的企业违法成本越来越高，越来越难，即使 12 分小心也难逃恢恢法网。而被标记为「零方数据」则可以避免麻烦。

虽然「零方数据」优点多，但数据规模偏小却是个缺点。

根据「帕累托法则」，我们知道这个世界是不平均的，20%的核心消费者贡献了80%的利润，这20%是信任品牌的人，是愿意与品牌分享数据的人，也相信品牌会善用他们的数据。

很多营销人担心这会降低品牌对用户的理解，但想一想即使只有20%的人授权了「零方数据」，而这些人都是品牌绝对核心的，最有可能转化和复购的用户，而这些用户呈现出来的数据，才是对企业做出正确决策最有价值的数据。

另一方面，授权「零方数据」的比例越高，单个用户价值也会成比例升高。下图是海外一家研究隐私授权的公司针对电商业务做出的数据估算。

一个月UV1500万的网站，如果有40%的用户选择授权信息，最终会有600个用户购买，平均客单价30美元；当通过优化服务，与用户建立更多信任关系后，有60%的用户选择授权信息，此时会有900个用户购买，平均客单价达到45美元。

做一道简单的算术题，50%的信任提升，换来的营收从600 * 30=18000，提升到900 * 45=40500，提升率125%。

未来，「零方数据」将是品牌价值的试金石，要思考如何让用户毫无顾虑的信任自己，如何能服务好信任自己的用户，而不是眉毛胡子一把抓，忽略了核心用户，惹恼了潜在用户。

PIPL真正打击的是偷偷摸摸的「灰产」，靠投机取巧或窃取用户信息牟利的人，对于真正想要打造品牌价值的企业来说，不是「寒冬」，而是「方兴未艾」。

二、隐私保护的典型场景

1. App、H5、小程序埋点数据收集场景

在App、H5、小程序（下文统称App）中涉及到收集用户信息的，必须公开隐私政策等收集使用规则并获取同意。

依照《App违法违规收集使用个人信息行为认定方法》，以下行为可被认定为“未公开收集使用规则”：

• 在 App 中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；
• 在 App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；
• 隐私政策等收集使用规则难以访问，如进入 App 主界面后，需多于 4 次点击等操作才能访问到；
• 隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”：

• 未逐一列出 App （包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；
• 收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；
• 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；
• 有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

以下行为可被认定为“未经用户同意收集使用个人信息”：

• 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；
• 用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；
• 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；
• 以默认选择同意隐私政策等非明示方式征求用户同意；
• 未经用户同意更改其设置的可收集个人信息权限状态，如 App 更新时自动将用户设置的权限恢复到默认状态；
• 利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；
• 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；
• 未向用户提供撤回同意收集个人信息的途径、方式；
• 违反其所声明的收集使用规则，收集使用个人信息。

以下行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”：

• 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；
• 因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；
• App 新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
• 收集个人信息的频度等超出业务功能实际需要；
• 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；
• 要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

以下行为可被认定为“未经同意向他人提供个人信息”：

• 既未经用户同意，也未做匿名化处理，App 客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；
• 既未经用户同意，也未做匿名化处理，数据传输至 App 后台服务器后，向第三方提供其收集的个人信息；
• App 接入第三方应用，未经用户同意，向第三方应用提供个人信息。

以下行为可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”：

• 未提供有效的更正、删除个人信息及注销用户账号功能；
• 为更正、删除个人信息或注销用户账号设置不必要或不合理条件；
• 虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；
• 更正、删除个人信息或注销用户账号等用户操作已执行完毕，但 App 后台并未完成的；
• 未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

如下图，首次打开小红书时，会弹框提示隐私政策：

如下图，当我选择不同意时，小红书拒绝继续提供服务，个人认为这一点有些问题，提供个人隐私信息，并不是看内容的必要条件。

如下图，登录账号时，也会有弹框提示：

2. 个性化推荐场景

按照《信息安全技术 个人信息安全规范 GB/T 35273-2020》，企业在针对用户做个性化推荐时，应遵循：

（1）在向个人信息主体提供业务功能的过程中使用个性化展示的，应显著区分个性化展示的内容和非个性化展示的内容。

注：显著区分的方式包括但不限于：标明“定推”等字样，或通过不同的栏目、板块、页面分别展示等。

（2）企业在向个人信息主体提供电子商务服务的过程中，根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。

注：基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序，且不因个人信息主体身份不同展示不一样的内容和搜索结果排序，则属于不针对其个人特征的选项。

（3）在向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应：

1. 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项；
2. 当个人信息主体选择退出或关闭个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

（4）在向个人信息主体提供业务功能的过程中使用个性化展示的，宜建立用户对个性化展示所依赖的个人信息 ( 如标签、画像维度等 ) 的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力。

如下图，首次进入小红书时，会邀请用户选择感兴趣的内容：

如下图，分别是微信和小红书的个性化开关：

如下图，大部分App都是通过单独「推荐」栏来区分个性化展示内容：

3. cookies跟踪场景

通常，企业会通过web网页收集用户的cookieID来做retarget营销，retarget在电商应用的非常多，比如你在淘宝看了一双鞋子，有可能喜欢，也有可能不喜欢，总之你还没下定决心购买。

这时开始，这双鞋子跟随你到everywhere，你刷抖音有这双鞋子，你看腾讯视频，有这双鞋子，你发微博，还是这双鞋子，你简直摆脱不了他。这就是用的retarget营销技术实现的。

现在，你多了一种选择，在首次访问 web 网页时，会提示你「Accept cookies」，如下图，如果不授权，则不会再受retarget骚扰。

点击「more information」，可以看到关于cookies、privacy policy的信息，还有3个档次的授权级别可选。

另外，还有更详细的隐私权说明：

美中不足的是，我最终没有找到取消授权的地方。

4. 线下场景

上面3种都是基于线上场景，但如果品牌有线下门店应该如何处理？

在线下，热情、丝滑的服务、整洁、舒适的环境，可以大大提高信任感，想要在线下拿到消费者的合法授权，需要有一套完整的操作流程。

当一个消费者走进门店，决定随便逛一逛时，并不是最佳的「主动授权」时机，但却可以接受「被动授权」。

比如，我们经常看到出于「公共安全」需要，企业在公共场所安装图像采集、个人身份识别的设备，同时设置显著的提示（这是必须的），例如一些银行会在玻璃门上张贴「您已进入监控区域」的提示信息。此时，如果消费者拒绝授权，则应选择离开此区域，否则默认为同意。

但是，需要注意，通过识别设备收集个人图像、身份识别信息，在没有取得用户主动同意的情况下，只能用于维护公共安全这一目的。

不论是315曝光的「万店掌」通过人脸跟踪消费者行为，还是售楼处通过人脸判断消费者渠道来源，都属于违法行为，PIPL发布后，对这种商业模式是毁灭性的。

「主动授权」通常是导购驱动的，不论是通过扫描店内二维码自助注册，还是店员提供PAD确认信息后签字，通常是消费者与导购互动过程中，在外表、行为、沟通等方面，达到了关键时刻（Moment Of Truth），也就是满意、超预期的时刻。

此时，导购顺利邀请消费者授权个人信息，比如手机号、邮箱、家庭住址、微信号等，获取产品促销信息、或申请售后服务。当然，也要提供便利的方式取消授权，或变更授权，比如通过会员小程序。

实际上，我们的导购表现的越专业，越合规，越能获得消费者的尊重和理解，再加上一套完整的线上线下丝滑体验，获取信任和忠诚度并不难。

通过将若干个关键时刻数字化，还可以看到一个从始至终的完整漏斗，不断优化「零方数据」获取的标准流程。

三、未来发展趋势

随着场景增多，用户的隐私授权将会是一个越来越复杂的过程，合法的收集信息、处理信息、应用信息是政策的红线，没有品牌可以免责。

一个专业管理多渠道用户授权和偏好的系统（Consent Management）将是「刚需」，不仅是日渐趋近的政策压力，也来自于品牌发展的内在要求，这将为 Consent Management软件服务带来红利。

从数据处理角度看，致力于实现数据「可用不可见」，破解数据保护与应用矛盾的「隐私保护计算Privacy-Preserving Computation」也将迎来快速发展。

目前，隐私保护计算市场正面临一片蓝海，从隐私计算总体竞争格局来看，蚂蚁集团、微众银行等金融行业具备一定技术和市场积累，在竞争中具有先发优势，而像锘崴科技、瑞莱智慧等企业，凭借顶尖科研团队，也能够在市场竞争不充分时占领一席之地。

隐私保护计算不是某一个具体技术，由密码学、人工智能、安全硬件等许多领域交叉融合而成。从技术原理上看，隐私计算主要分为密码学和安全硬件两大领域。密码学技术目前以多方安全计算为代表，同态加密还在研发早期，安全硬件领域主要指可信执行环境。

此外，应用于算法的联邦学习技术，也是基于密码学技术，但与其他密码学应用技术重叠越来越多，大有替代可能。

（1）联邦学习（FL）：在保障大数据交换时的信息安全、保护终端数据和个人数据隐私、保证合法合规的前提下，在多参与方或多计算结点之间开展高效率的机器学习；

（2）同态加密（HE）：对密文进行特定的代数运算后得到仍然是加密的结果，将其解密所得到的结果与明文计算的运算结果一样；

（3）多方安全计算（MPC）：在保障隐私的前提下，多个参与方各自输入信息，并得到一个运算结果。多方安全计算的实现包含多个关键的底层密码学协议或框架，主要包括不经意传输、混淆电路、秘密分享等；

（4）可信执行环境（TEE）：基于硬件防护能力的隔离执行环境中计算，实现数据安全和隐私保护功能。

不过，隐私保护计算技术并不能彻底解决法律问题。他的应用场景是保障企业在数据共享和流通过程中的隐私安全性。

也就是说，隐私保护计算的核心价值在于，即使不对外提供数据，也能实现数据的流动与共享，完成算法模型训练，赋能品牌。

以上，就是营销数据闭环专题的完结篇，再回顾下整个系列，从数据收集、数据治理、数据管理、数据洞察、效果评估到数据合规，通过7篇把品牌如果建立营销数据闭环进行了讲解，由于水平有限，肯定存在错误，如果发现，欢迎与我联系指正。

本文由 @刘生 原创发布于人人都是产品经理。未经许可，禁止转载。

题图来自Unsplash，基于CC0协议。