煮酒言规 | 第124期 | 互联网广告投放合规

-问：微信在自己的平台上投放各个品牌的广告，微信把一些“脱敏”个人信息给到品牌方，微信和品牌方之间的数据传输协议是共享还是委托？（之所以会出现委托的可能性是，微信在DPA中的措辞是为了完成品牌方的目的，微信会对数据进行123等的处理。）类似朋友圈里面的广告。

-答1：品牌方一般不跟微信签吧 都通过广告公司签。

-答2：是不是公司的数据和广告平台的数据进行匹配，打标、人群放大再触达的场景啊。

-答3：1、先分清几个角色：网络平台：微信。广告经营者：腾讯广告+代理+各自制作团队。广告主：品牌方。
2、场景。直投 还是 通过广告代理公司都会有直接签署协议的情况。你说的场景是标准朋友圈广告投放，还是定制人群包广告呢，还是其它啥？

-答4：给的一般是广告曝光、点击的设备级ID，那这部分用户的告知同意一般只可能发生在平台，所以是平台委托广告主或者合作方做后链路归因。广告主或者合作方，比如电商平台才有广告后链路转化数据。

-答5：我感觉是共享吧。因为数据提供给广告方后，广告方基于什么目的处理这些信息是不可控的。如果说是委托，对于微信责任也比较重。

-答6：这类在我们行业一般按照委托处理。不可控是一回事。我要你只能做归因是另一码事。如果是数据提供做不了各方共识，主要做不到主管部门认为的单独同意。核心利益了。所以可以通过安全岛 双方数据进去 归因后的统计级数据出来。

-答7：但这种场景主管部门还是认为是提供了个人信息的。

-答8：建议先把其他场景的合规先做好吧，这类广告数据一般是设备标识符，也不涉及用户敏感行为，平台做好推荐的用户体验优先。

-答9：再请教一下，那些广告监测工具SDK，在这个场景里，通常会和谁签（微信/广告主or三方）？也是受托方的角色吗？

-答10：监测公司一方面要和媒体要对接，至于具体广告投放时候的委托，那是广告主来选了，选择媒体同意接入的监测方。监测是有sdk方式在做，但经常遇到的广告监测一般不是sdk，秒针啥的也没sdk吧，印象里。可以理解为业务合作是广告主选监测公司，数据合作是媒体和监测公司。

-答11：你说媒体是黑话了，就是网络平台淘抖快。

-答12：业务上叫监测代码。阿里妈妈，巨量引擎。都是行业内大佬级平台。

-答13：广告归因这个场景也很值得往下聊。有些平台被主管部门要求改oaid单独同意，因为归因涉及到广告业务基础核心，的确很难实现，所以暂且模糊了整改期限。  但如果性质上主管部门按数据提供理解，那在不涉及单独同意的情况下，Oaid传输有没有好的方案呀？

-答14：这块感觉很复杂，互联网广告有什么好的书或者文章推荐吗？

-答15：腾讯广告法务老大写过一本，王喆：《重新认识：互联网广告的法律规制》。

-答16：好方案的话，模糊点说，可能解决了某个问题，但是其他问题又会起来，或者业务会有大影响了。安全层面，设备标识符，广告行为，平台的人群画像，安全层面对用户的影响比其他业务场景小很多，流通领域的合规重点我个人觉得还是什么样的广告场景可以流动什么数据，做什么用途的行业自律和最佳实践的共识，广告最大的问题还是用户是有感知的，保护用户的隐私感。

-答17：确实有个比较关键的点是，品牌方是否拿了自己的用户数据去和微信撞库得倒更多的潜客信息；还是品牌方仅给了微信群体画像/甚至不给任何画像或标签，微信根据随机投放后品牌广告的点击量给品牌方反馈潜客信息。我比较关心的是后者，也就是最开始的个人信息来源是微信自己的这种。这部分用户同时可能同时是品牌方的潜客，但不一定后续一定和品牌方建立联系。
在这种情形下，微信要求和品牌方签订以品牌方为委托方，微信为受托方的DPA，是不是对于品牌方来说义务有点重？（当然确实理解微信至今没有加过共享的单独同意，似乎其他platform（淘宝、天猫之类）也没有。不知道是哪个环节认知/执法上的问题。但很明确的是加州CPRA要求网站对于共享个人信息给【广告方】是明确要求有单独开关。GDPR中对于cookies需要分层opt- in我弱弱的理解也是针对online behavior data。不懂为啥国内没做。。。）

-答18：平台的人群标签是平台核心资产和竞争力，浏览器和平台本身也不大一样。

-答19：品牌方不给种子包，仅给画像；微信基于自己的数据进一步丰富了客户画像？or微信给到了潜在客户群（即明确的特定的人）。