该来的,还是来了。
苹果在4月27日凌晨发布的iOS 14.5,将默认关闭IDFA权限。
IDFA(广告标识符)可以帮助开发者获取用户信息,更好地展示个性化广告。以往IDFA都是默认开启状态,但在iOS 14.5版本中,开发者需要用户的授权同意才能使用这一标识符。
在去年6月举办的开发者大会上,苹果就宣布要把IDFA设置为默认关闭状态。但由于引发了开发者强烈的反对声浪,苹果随后宣布推迟IDFA新政策至2021年,并最终在近期落地实施。
它的冲击有多大?Facebook指出其广告联盟收入将锐减50%以上;中国广告协会旗下的《现代广告》杂志则估算中国将有接近2000亿元的互联网广告业务受到影响。用“灾难”来形容它给数字广告行业带来的冲击,并不为过。
为什么IDFA的默认关闭会对广告行业产生如此冲击?这意味着,开发者能合规使用的数据变得极为有限——以色列移动归因与营销分析平台AppsFlyer的监测数据显示,目前仅有41%的iOS用户点击授权同意。
另外,苹果似乎对数字广告行业也持有偏强硬的立场。例如在请求用户授权数据时,苹果使用了“跟踪”这样的字眼。“跟踪”二字在中文语境中有明显的负面意味,用户自然也望而却步,不愿意授权IDFA给开发者使用。
从舆论的反响来看,大众对IDFA的落地普遍抱有好感,认为它将有助于保护个人数据隐私。尤其是在2018年曝出Facebook剑桥分析门事件之后,全球对互联网巨头的数据监管也在逐步收紧。在这一背景下,IDFA的默认关闭迎合了人们的诉求和情绪。
然而,当我们解读IDFA默认关闭这一行业事件时,如果仅从个人隐私保护这个单一视角审视,可能过于简单粗暴。其实,这一议题背后还潜藏着更多复杂的讨论维度,需要从更多元的视角展开解读,方能抽丝剥茧将事情回归原貌。
维度一:IDFA默认关闭=保护隐私?并不尽然
18世纪的英国哲学家休谟,在《人性论》中首次提到事实与价值的不同。在他看来,所有判断可以划分为两类:事实判断或价值判断。前者是后者的前提,只有回答清楚“是不是”的问题才能做出“应不应该”的正确抉择。
在评价苹果IDFA政策调整时,人们也面临类似情况。由于广告行业的术语存在一定的理解门槛,我们往往跳过事实判断,不明就里地给出带有价值判断的回答,这就容易造成误解。
比如一个与人们现有理解大相径庭的事实是:我们认为关闭IDFA能够保护隐私,但实际上,IDFA的开启正是为了保护隐私。
正如前面所说的那样,数字广告的定向和归因均依赖数据——前者解决的是“将合适的广告分发给可能感兴趣的受众”,后者解决的问题是“将广告收入准确回馈给对应的应用开发者”。在这个过程中,广告业需要以受众个体为单位,重新整合复杂而离散的数据。
在IDFA之前,这一目标有各种解决方案,比如电话号码、身份证号、会员账号、媒体平台账号等。除此之外,与浏览器绑定的Cookie和与设备绑定的Device ID(例如IMEI、UDID、Android ID等)也能将数据与受众个体联系起来。
方案虽多,但都存在比较高的隐私风险,毕竟身份证、电话号码都是非常敏感的隐私信息。苹果在2012年9月推出了IDFA,它能够很好地规避隐私风险:不同于UDID等设备标识符的唯一确定特征,IDFA随机生成值且可以根据用户意愿更换,这显著增强了用户隐私的保护强度。
一直以来,IDFA被认为较好地平衡了商业诉求和用户隐私之间的关系,因此被全行业普遍使用。而现在,保护隐私的IDFA却因为“保护隐私”而默认关闭了,事情的走向是否明智?
问题的答案取决于,新政策在多大程度上提升了隐私保护水平。
一方面,IDFA本身就是为了保护用户隐私而诞生的,此次新政对隐私保护的提升空间其实相对有限;另一方面,容易为人忽视的是,IDFA的默认关闭还有可能形成反作用,催生灰黑产等非法数据交易问题。
事实上,对于互联网行业如何合规使用数据,海内外已经出台大量法律法规。例如今年3月,国家网信办等四部门就详细罗列了不同类型应用的“必要个人信息”范围,在个人数据上突出体现了明显的“最小化使用原则”。
对于中国广告业而言,合规合法成为了企业的生命线,从业者需要严格遵循合规要求使用数据;而对于一小撮本就不打算合规使用数据的行业蛀虫,除非禁止所有个体ID的使用,否则单靠IDFA的政策调整也无法堵住潜藏的漏洞。相反,如果IDFA这类合法数据获得渠道效率低下,反而会在归因刚需的倒逼下刺激非法数据交易市场壮大的可能性,增加潜在的隐私泄露风险。
所以,即便单从隐私保护这个维度审视,IDFA的默认关闭也不一定能起到作用,它的效力远未达到原本预想的乐观程度;与此同时,人们更需要看紧自己的数据,高度警惕和预防灰黑产的出现。
维度二:谁是笑到最后的大赢家?
在苹果iOS 14.5的隐私新规下,中小开发者受到的打击尤为严重,Facebook前后堪称戏剧性的态度变化说明了一切。
在苹果于去年宣布调整IDFA政策后不久,Facebook成为了激烈反对声浪中最受瞩目的扛旗者。它甚至在2020年12月不惜砸下重金于《纽约时报》《华尔街日报》等多个美国大报上刊登广告,标题清晰明了:“为了遍布各地的小公司,我们决定站在苹果的对立面”。而在今年3月中旬,扎克伯格却明显改变了此前的悲观论述,他提到苹果隐私政策更改可能会让Facebook处于更强的地位。
对于Facebook、BAT等互联网巨头,苹果隐私政策调整的整体影响相对可控。它们不仅拥有自己的账号体系,而且还能够覆盖近乎全量的用户和场景,这让它们在自有生态内依然能够正常开展广告业务。
然而,那些用户基础薄弱且严重依赖广告收入的中小开发者们就没有这么幸运了——根据福布斯提到的数据,广告为游戏应用程序提供了63%的收入,为非游戏应用程序提供66%的收入。
IDFA政策调整实质上提升了巨头们的竞争力,其对互联网产业影响的复杂性由此可见一斑。
纵览苹果几轮数据隐私策略的调整,“加速收紧”是形容这一进程的合适注脚。2013年5月,其明确禁止获取UDID数据的应用上市;同年9月,获取MAC地址和OpenUDID等替代方案也被堵死;而到今年,隐私政策的大调整又让IDFA名存实亡。在民意强烈支持隐私保护的背景下,苹果顺势拥有了更大的话语权并开始制定游戏规则,即使新的游戏规则在行业内受到质疑。
比如,苹果推出了SKAdNetwork等归因方案,作为IDFA的官方替代方案。但从实际应用情况来看,离完全满足开发者的归因需求仍有较大差距。
除了中小开发者遭遇困境,巨头们的垄断地位得到强化以外,苹果自身对广告业务展现的企图心也受到关注。
英国《金融时报》在4月22日发布消息指出,两名知情人士透露苹果计划扩大广告业务。App Store早在2016年9月底就上线了搜索竞价广告,苹果自有的新闻和股票等应用也有展示广告位,它们构成了苹果广告收入的主要来源。虽然在公司整体营收中的占比仍然较少,但苹果在削弱开发者广告变现能力的同时仍力图扩大自身的广告业务,这种反差也备受质疑。
广告营销行业的意见领袖宋星在《苹果IDFA新政落地,谁是大赢家》中就提到,媒体、广告主、服务商乃至消费者都不是真正意义上的赢家,“在IDFA新政中,唯一的受益者看起来只有苹果自己”。
如果愿意跳脱隐私保护这个单一框架,从商业变现的不同角度重新审视,你会看到整个事件中的利益纠葛尤其复杂。从Facebook、Epic Games、广大中小开发者再到苹果自己,这越发像一场没有硝烟但极度激烈的商业战争。
维度三:用户的数据到底属于谁?
大多数时候,人们把数据权利简单等同于隐私权,但这忽略了它本身的复杂性。尤其是在隐私保护和互联网发展被塑造为“鱼与熊掌不可兼得”的当下,对数据权利的讨论更难得出客观结论。
事实上,数据权利是个庞杂的议题,它不只包括隐私权,还涵盖所有权、使用权、财产权乃至数据主权等不同层面。
数据到底归谁所有,用户、手机厂商还是互联网公司?所有权和使用权以何种方式分割?不同主体能够在何种程度上使用数据?数据产生出的商业利益应该在不同主体间如何分配?受众自身能否直接享受经济利益?什么样的数据能或者不能跨境流通?任何一个问题单拎出来都涉及到众多主体,所以我们也应该从更宏观的视角去审视这个本就复杂的议题。
但眼下的现实是,强势的互联网或科技企业正在成为定义数据权利的主体。2019年,美国众议院司法反垄断委员会主席David Cicilline提到,他担心科技公司利用保护隐私作为反竞争行为的借口。“越来越大的风险是,如果美国没有强有力的隐私保护法案,平台将利用自己作为事实上私人监管者的角色,将自己放在更为有利的位置上”,他这样警告道。
这对全球都是一个重要的议题。我国政府也正在加快推进立法进程,包括《个人信息保护法》《数据安全法》等都已经进入二审程序,从法律条文安排的变更中能够窥探出我国在相关议题上的基本立法精神。
值得注意的是,与《数据安全法(一审稿)》相比,《数据安全法(二审稿)》新增了第十条内容,它要求“行业组织需要按照章程制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”,这明确了行业组织应该在数据安全保护中发挥更大的作用。
另外,《数据安全法(二审稿)》第四十九条也新增了将处罚“排除、限制竞争,或者损害个人、组织合作权益的”等行为的内容,明确了隐私保护需要建立在公平竞争的框架下。
而当苹果宣布IDFA政策调整后,中国广告协会曾牵头联合国内多家互联网公司和广告主等推出了名为CAID(China Anonymization ID)的替代方案,寻求在合规前提下部分降低隐私政策变动给国内广告业带来的剧烈影响。但随后不久,那些接入CAID SDK的开发者就收到了苹果的官方邮件,其中明确提到拒绝这一替代方案,并要求开发者在14天内必须完成技术调整,否则将被苹果下架。
不论欧盟GDPR、美国CCPA还是国内已经施行的《网络安全法》、正在立法进程中的《数据安全法》和《个人信息保护法》,这些立法条文之间至少有两点共通性:
其一,它们均强调隐私保护和数字经济发展兼重、不偏颇一方的观点,也就是明确隐私权和发展权都极为重要。即便以立法严厉著称的欧盟GDPR也在开头专门提到“不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动”;
其二,它们都显示出不能让科技公司以优势地位抢占数据权利定义权的倾向,因为这无法根除“运动员兼裁判员”的隐患。具体来看,本国的行政和社会力量才是定义本土数据权利的合适人选:一方面,当数据已然成为数字经济发展的能源时,数据主权的重要性就不容忽视,无论欧美还是中国的数据权利立法都对数据跨境流通提出了严苛的审批要求,背后的目的在于确保本国对重要数据的掌握;另一方面,行政和社会力量相较于商业主体拥有更为超然的地位,它们更有动机和余地从社会整体福利的视角协调隐私保护和数据使用之间的关系,这样才能确保市场竞争的真正公平和长久发展。
一次看似简单的隐私政策调整,背后却在全球互联网生态中衍生出了巨大争议,这充分说明数据权利在当前的高度敏感性和不确定。究其原因,是因为摆在众人面前的是一条无人涉足之路。无论苹果、Facebook还是其他利益攸关者,大家都必须在“牵一发动全身”的系统中小心翼翼地探索可能性和平衡各方利益关系。
但人们也应该对未来的发展感到乐观。随着全球各国数据权利立法的纷纷落地,一些不甚明了甚至饱受争议的问题有望在未来几年获得明确回答。但万变不离其宗的一个本质是:隐私需要得到保护,数字经济的车轮也必然将在合规的前提下滚滚向前。