Convertlab黄杰|企业客户数据的同意与偏好管理

编者按

随着数字化、智能化技术的蓬勃发展，海量数据不断地产生，无论是新兴还是传统行业的企业，都希望能够不断累积数字资产，并且通过对数据的深度挖掘和精准分析，实现更高的商业价值。

在本届《2022数据合规与安全论坛》中，的产品负责人黄杰围绕“企业客户数据的同意与偏好管理”这一主题为我们分析企业经营中，如何支持数据使用的合规开展。下文为黄杰先生在论坛现场的精彩演讲内容。

演讲嘉宾

产品负责人

黄杰

企业客户数据的同意与偏好管理

大家好，我是的产品负责人 黄杰 ，我今天的演讲主题是——企业客户数据的同意与偏好管理。

我更多会从系统层面去讲企业在做一些经营的时候，怎么去支撑它数据使用的合规开展。

大趋势洞察

先简单介绍一下大环境，各个国家其实都有自己的个人保护的法规。比较重要的可能是像2018年5月份时，欧盟颁布了GDPR;之后我们国内从17年6月份开始，颁布了一个网安法，然后到2020年10月份的个人信息安全规范，21年9月份数安法，再到去年11月，颁布了《个保法》。个保法是非常接近于欧盟的那个GDPR。我们可以看到国内的数据安全合规是越来越严格。

《个保法》解读

简单讲解一下《个保法》里面一些重要的原则：

第一个是明确了个人信息的处理原则，其实大家都知道现在处理原则就是要求所有的企业在采集个人相关信息时要基于用户的同意，包括你要告知用户你的企业主体，你是出于什么样的应用目的，需要采集他的哪些数据，做怎样的一些行为。

还明确了个人的权利，包括用户的知情权，删除权，他可以主动申请更正、删除的权利，还有携带的一些权利。

明确了个人信息跨境传输的规范，包括企业应该做安全的自评估，还应该去寻找专业的机构，做专业的认证等等。

还有未成年人个人信息处理原则，包括获取监护人的同意。

还有个人信息处理者的义务，这就是企业在开展的数据活动时，应该尽的义务，包括数据的分类分级，数据存储的加密，去标识化、匿名化等等，最后是一个法律责任，就是告知企业在开展数据活动时，如果有不合规的情况，可能会面临诉讼或处罚。

合规要求正在逐步落实

当我们可以看到其实国内最近开始陆陆续续开展落实法规的活动，有些企业可能受到了审查、受到了监管，包括数据出境的问题、app的授权问题、捆绑式授权、大数据杀熟、差异化定价等等。国内在落实这样的法规的过程中，监管越来越严格。

对于企业经营来说，之前企业有个比较火的话题，就是客户数据管理平台或者说CDP或者说数据中台，当时很多企业都会特别关注的就是怎么去发现更多的客户数据，利用好他的一方三方等等的数据，包括社交数据、交易数据、行为数据，甚至LBS的数据。那之后因为数据合规要求越来越严格，更多的时候企业会关注用户的权利，包括用户有知晓的权利、同意的权利、授权的权利、拒绝的权利，他有访问他自己数据的权利，他也有删除他的数据，甚至把数据携带走的权利。

突破口在哪里

国外做了一个调查，当我们去问用户最在意什么的时候，70%的用户认为信任比以往任何时候都更重要，当我们去问用户就他对企业产品的付费意愿时，73%的用户愿意为提供完全透明度的产品支付更多的费用，那我们可以看到消费者更愿意跟企业建立信任的、透明的关系。当企业真的给了用户更多透明度，70%的用户将同意企业收集自己的数据。其实真实的开展同意管理、授权管理，更多的权利给到消费者、用户时，这个数字会更高。如果企业给予用户更多的掌控权，这个掌控权就是说用户可以在未来的某个时刻查看自己的数据、导出自己的数据，更正或者删除，那这时75%的用户将同意企业收集自己的数据。所以我们会发现其实企业需要去做一些透明度的管理。

将「透明度管理」作为年度关键策略

“透明度管理”是我们2022年的年度关键策略，那么怎么去做透明度管理呢？透明度从哪里来？

我们认为是从用户的同意授权与偏好信息中来。所以我们第一个要做，第二个要做。

是基于用户的同意去采集他的数据处理，处理他的数据，是了解用户的一些偏好、喜好来做更精准的营销动作。所以我们提出来的整体解决方案就是CPM，就是同意和偏好管理的解决方案。

什么是同意和偏好管理

同意：我们日常生活中企业开展哪些行为是在做这样类似的事情？比如说企业在面向消费者、面向用户时有很多数字化的渠道，可能会有app、小程序，国内小程序比较多，还有一些网站网页，这些数字化的渠道触点用户去访问时，理论上企业如果采集用户的一些行为，那么企业应该向他发出授权邀请，当用户授权之后你才能采集这些行为，用户授权后你才能使用他的数据，才能合规地开展对应的广告投放也好，精准化推送也好。

接着是偏好：在很多app还有一些应用里企业会有个性化设置，允许用户做个性化的偏好设置，它可能是广告投放的个性化设置，系统推送的个性化设置，还有可能是系统交互的个性化设置，那这些也相当是某种程度的授权，让它可以了解用户真实的偏好。

所以我们会把这样的系统关联到同意管理，同意管理，针对用户的同意授权进行管理，具体的同意内容包括用户有哪些同意项，又包括同意采集，同意企业数据采、数据画像、营销开展、数据分析、删除、共享公开等等。

偏好管理，针对用户的偏好进行管理，具体的偏好内容包括：沟通时间偏好，沟通频次偏好，渠道偏好，内容偏好等等。企业根据用户的偏好，他可能希望企业在哪个时间点做沟通，以怎样的频次，不需要他频繁的**扰我，希望它只通过邮件，不需要它通过电话，短信。内容偏好，我可能只订阅了你的一些新品的一些服务，但是我不希望你频繁推送一些莫名其妙的优惠券给我，诸如此类的。

那么可以看到同意管理解决的是风险的问题，偏好管理解决的是增长的问题。

CPM已历经海外多年发展

但因为它涉及到用户精准的画像,所以CPM这样的业务管理的系统和流程，在国外已经是很多企业的共识。它60%受访的英国营销人认为CPM对他们至关重要，54%受访的大型企业已经实施了某种形式的同意和偏好管理。美国也有众多行业在法律的严格约束下，可以基于CPM获得90%以上的同意率。当企业开展的数据行为都需要基于用户同意的话，那么企业会关注一个点，就是我怎么尽可能的提高用户对我的同意，就是我开展某项数据的一个工作。

90%受访的英国企业，他为了CPM的产品分配了相关的一些预算。

CPM，是如何工作的？

那我们可以看一下CPM是如何工作的。

举个简单的例子，假如说有个用户去访问一个网站，最开始的时候他在网站里可能只是访问，但他没有去做任何的动作，那这个时候对于我的CPM系统来说，我是没有采集到它的一些同意信息的，我的数据管理平台也没有采集到他的资料信息。然后3月3号假如说他在这个网站上做了一些留资的动作，比如说他留下了他的手机号码，当然可能他也做了一些访问行为，也有一些其他的动作，在这个时候他做了授权同意，他同意网站采集他的一些访问行为，并且他同意了我把这个手机号给到你，然后用于你做一些营销等等，那这个时候CPM记录的是什么呢？

CPM系统记录的是同意的这样一条记录的状态，他在什么时间点在网站做了一个怎样的同意，他的隐私条款是什么，当时基于怎样的应用目的，然后我们采集到这样的一个信息。但是他的具体资料其实存储在另外一个叫客户数据管理平台的地方，这个平台就存储了他的具体的手机号。然后用户也有可能在未来的某个时间点，3月10号可能啊，这个用户觉得企业拿着他的数据，他觉得不妥或者怎么样，他拒绝掉了，他删除了、取消了、撤销了他的同意，那这个时候CPM系统会更新这样的一个同意的状态，因为它需要实时地关注用户的授权状态，然后对于客户数据管理平台来说，因为他撤销了这个同意，它需要实时的去做什么事情呢？它需要把对应的数据就那条手机号码去做删除或者匿名化的操作。

那么，CPM是什么？

那我们看一下CPM到底是什么？这里我们简单用这样一个流程来简单讲述一下，一个企业开展这样的数据合规流程，它应该做哪几步？

第一步是采集授权信息。你要有一个系统去采集用户在什么时间点基于什么样的隐私条款，业务目的是什么？然后用户做了怎样的授权动作，是授权还是拒绝授权还是怎样？

第二步是把信息录入到系统里，要有最明细的状态。第三步我们可以去开展一些A/B ，去做一些测试，然后去提升我们同意率。是样式的问题还是用词还是弹窗的位置等等，哪些会影响他同意率的提升。之后我们去做一些分析、优化。

最后是这些同意数据的采集，偏好数据的采集，它不仅是说在CPM系统里去做这样的分析，它其实更多的是去支撑其他的一些业务系统的开展，比如说你可能会有一个数字化营销的系统，MA的系统，可能会有一个客户数据管理平台， CDP系统，在这些系统中你在做的数据处理工作和营销的工作都需要依赖于当时用户的同意的状态。

业务流程

1.采集授权信息

那我们可以看一下，第一个，采集授权的信息。这里我举了一个例子，坦白讲国内还有很多网站其实做的不算特别合规，因为理论上大部分网站它都在通过采集你的一些信息，你的行为信息，你的点击信息，还有你的提交表单的动作。其实首次进入网站的时候应该在底部有个，这个是展示说我有一个的隐私条款，会告诉你我们会基于怎样的去采集你什么样的信息，然后你可以在里面点击详细设置。不同的他做了怎样的采集动作，服务于怎样的企业的怎样的应用目的，他设置完成之后还要有这样的悬浮窗在底部，允许用户做二次的授权或者撤销授权。这是我们对自己的官网做了这样的改造，我们会在底部留下这样的一个，允许自定设置也可以直接同意所有，你可以在里面点开来，对某一项拒绝同意，在下次某个时间点你想拒绝，也可以再回到这样的悬浮窗去进行二次的设置。

那这样的话就要求有一个系统，它可以去配置整个交互界面，在系统里面可以配置样式，配置你网站里面所有的，可以自动化地做一些事，如果他拒绝同意，那你可以做到那个是拦截的，是不会工作的。

举个例子，小程序，因为我们不是所有企业都有自己的app，更多的可能是一些小程序，在这样的小程序里，我们在首次访问时可能需要有个弹窗来说你是同意还是拒绝，当然现在国内大部分的app也好，小程序也好，可能只是通过一个隐私声明，下面同意和拒绝两个按钮来做这样的授权，但更合规的做法以后可能会是有更多细项，允许用户同做部分同意，这要做更精细化的管理。另外在小程序里还会有它的隐私中心，在隐私中心里是允许用户去做更精细化设置的，我可以设置我的一些隐私偏好。那么我们在系统里也可以配置这样的授权同意的交互界面，去采集他的同意状态，他当时做了哪些同意？隐私中心，包括初次访问时的隐私弹窗，两个都是可以设置的。

采集到这些同意信息后接着就是要记录这些授权信息。

2.记录授权信息

那我们会把他的ID可能是他的一个，可能是他的 ID，可能是他的user ID，我们会进入到系统里面，把每一个在不同渠道，不同的场景ID，不同的隐私条款进行更新迭代，把基于你不同业务目的的同意状态都记录下来。因为用户可能是同意再拒绝，在未来某时候又同意，有一个历史状态的变更，那么这整个历史状态的变更我们也会完整的记录。

3. A/B

接着是做一些A/B ，以刚才的小程序弹窗来说，我们可以去做哪些测试呢？第一个是位置测试，然后还有个内容就是我的用词，在里面显示的文本的长短或者说样式，关键的同意按钮做醒目的调整，诸如此类还可以做一些其他的测试，总的来说就是要找到怎样的一个组合，可以提升用户访问时的同意率，然后做一些数据分析和优化。

4.数据分析与优化

我们会去监控用户在你的网站也好，你的数字化渠道，小程序app，或者搞一些活动的H5页面表单，它整个的同意率的趋势。

我们也可以做一些自定义的分析，自助式的分析，那你可以基于不同的维度、不同的指标来查看整个的同意率的效果。

5.与其他业务系统集成

最后是与其他业务系统做集成。

这里举个例子，上面是客户，下面可能是企业其他的一些系统平台，比如说是企业的客户数据平台，那客户在左侧可以看到，他的数据被客户数据平台采集的时候，它需要先经过客户的同意授权，统一采集之后，数据被正常的采集到了客户数据平台CDP。那客户数据平台可能将数据传大牌企业的广告投放平台，还有企业可能会有自己的自动化的营销平台，它也可以把数据传过来，那当然了，如果它跟第三方有合作，那它可能会把部分数据传给第三方，但是如果共享给第三方，其实又要基于用户的授权同意。接着广告投放平台又可以基于这些数据去做广告投放，那做广告投放时，应该第一个拥有客户的同意网络投放的授权，另外一个是客户当时向企业表达过他的广告偏好，那应该是去他的广告偏好去做具体的授权投放。

自动化营销平台也是一样的，就是你在做营销触达、发短信、发邮件、做一些营销动作时，应该基于他当时的同意营销授权，你才能去做这样的营销，而不能做一些**扰。另外他当时可能声明了他的一些营销偏好，那这时你也要在系统里记录这样的营销偏好，真正执行时是遵照用户的意愿去做具体的营销动作。那可以看到整个CPM中间红色的这一块，其实就是管理用户整个的同意授权和他的偏好状态，然后下面才是真正的数据平台，它的系统业务开展时要基于这样的同意授权，还有他的个人偏好。

那可以看到这是系统的完整架构，它最左侧是企业的各个数字化渠道的触点，它可能包括app，网站，小程序，它可能通过短信，邮件来做一些营销，可能还有一些活动表单，H5页面等等，那么这些数字化渠道触点就可以采集到同意的信息，同意的信息将集中在CPM这个系统里去做管理。它最终是赋能到企业的其他系统里去支撑它的一些营销、数据管理等等。

CPM：四大板块

这样一套系统，我们最终会拆解成四大板块：

用户交互，就是跟用户交互的前端的触点，它的一些数据的采集；核心服务是对他的同意状态，还有历史变更记录，他的业务对象的管理；还有用户请求的管理服务，用户请求管理管理的是未来的某个时刻，用户可以向企业发出请求，说我要查看数据，我要导出，我要更正，我要去删除等等，还有一些分析报表。管理服务是整个系统标准的一些底层的用户权限的管理；最后是集成服务，是跟其他的业务系统开展集成工作。所以CPM其实不是单独的一个系统来支撑所有的业务，它其实是做了这样的一个同意和偏好的管理，最终它其实是支撑其他的一些业务系统的开展。

CPM的长期价值

那我们可以看一下CPM有哪些具体的价值。我这里把个人数据在企业的完整的一个生命周期大概画出来了，一般来说企业采集个人数据，它可能会经过各个渠道采集数据，可能做一些加工，存储，最后使用，使用的时候可能是一些统计分析，广告投放，营销个性化推荐等等，然后再次传输可能传输给内部的系统，也可能是传输给第三方。最后是他未来某一个时刻根据用户的要求或者说企业本身的生命周期，它会存在一些删除和匿名化的操作。那么可以看到所有数据加工处理的过程，都需要基于用户的授权同意，再进行合法合规的操作。另外，当用户对企业发出一些请求，包括前面讲的下载、更正、删除，那这个时候企业也要根据他的请求做出合理的响应。

那假如说现在用户发出一个请求，企业应该怎么快速去响应这样的请求？

那首先是CPM接收到用户的请求，接着它会把这个请求传到内部相关的业务系统。比如说CDP就是客户数据平台，这个时候客户数据平台假如说又发生了数据向下游传输，那他还要把这个请求传到下游的系统，他们要做什么事情呢？

他们要做的假如说，用户请求是删除他的个人数据或者某一些个人数据，这个时候下游的系统处理好删除的动作之后，再次回传它的处理结果，回传给CDP再回传给CPM，下游其他的也是一样的，比如说如果你传给了营销自动化的平台，它处理完，他的应用系统里面也把这个数据删除掉，并且告知CPM，我们数据已经处理好了。在这样的CPM里面所有的数据都被正确的处理，整个的结果最后再回传给用户，告知用户你的数据被正确的响应和处理。

那整个来说企业它经营是发生了一些变化，从原来的粗放式的经营变成一种更精细化的经营，这其实对企业来说也是一种挑战。我这里面去简单列了一下，比如说数据采集，它原来是直接抓取，可能会有一些未经过用户的授权同意；数据存储原来是明文存储统一存放，现在可能要做分类分级，然后加密存储、匿名化、数据分析、消息推送、广告投放、个性化推荐，原来的话可能是直接群发，直接去推送，直接做广告投放，那现在要看用户是否同意推送，他是否撤销了同意，他是不是允许对用户进行个性化推送，用户是不是之前声明了他的一些特殊的偏好，你都要去响应，然后推送符合他偏好的内容。可以看到以前企业是关注客户的数量，我希望获取更多的数据，那么以后会更关注客户的质量，会追求长期效益的最大化，希望跟用户建立一个健康互信的客户关系。

关于

最后我们简单讲一下我们这家公司。我们是一体化营销云解决方案的提供商。从15年开始到现在有六年半的时间，之前开始做的其实是前面讲到的几个业务系统，一个是数字化营销平台，第二是客户数据管理平台。

但是从去年开始我们也意识到数据安全的重要性，数据合规的重要性，所以我们就做了刚才讲的那个CPM这样的一个系统，其实这样的业务系统其实在国外已经是比较盛行的了，很多企业都已经采用了，然后我们是希望通过这个更好的去支撑企业开展数据营销或者说数据的管理工作。

这个简单快速讲一下，这是我们的现在的一个产品矩阵，里面相关的企业内部的一些业务系统都会有覆盖，包括放在最前面的一个CPM，就是我们要去管理你的同意和偏好，然后内部有数据客户数据平台，还有比较大的一块，也是我们当时第一款产品就是数字化营销的工具。然后还有广告投放的一些工具，内容管理的工具，还有销售赋能的工具，还有一些其他的开放的平台，还有一些做数据采集和分析的工具，包括最后隐私计算的部分，也在我们产品里面。

然后，可能比较幸运，我们在去年入围了 Wave，成为亚太地区最重要的十家全渠道营销的管理厂商。

OK，时间有限，我们之前整理了一下同意偏好的白皮书，如果感兴趣的话可以扫码下载，我们这个产品现在是可以开放申请试用的，如果大家感兴趣，可以扫码申请试用。

如何获取

扫/码/获/取

数据安全合规11问

CPM产品介绍

试用产品