一个做在线医疗咨询的团队,为了”追踪得更精准”,在回传转化数据给巨量引擎时,把每个转化用户的手机号和微信号也一起传了过去。他们的想法是:”传得越多,模型学得越准。”
三个月后,他们的广告账户被永久封禁。原因:违反了巨量引擎的《广告数据回传隐私保护规则》——回传事件中不得包含用户个人身份信息。账户被封只是一个方面——更严重的后果是:这些用户的个人信息在未经明确同意的情况下被传输给了第三方平台(广告平台在法律上被视为独立的第三方数据处理者),可能违反了《个人信息保护法》。如果被用户投诉或监管注意到——面临的是法律风险。
回传不是一个纯粹的技术操作——它涉及用户的个人信息在多个平台之间的传输。每一条回传数据的背后,是用户对品牌的信任——相信自己的信息不会被滥用。但很多投手对回传的合规认知几乎为零。
回传数据的合规边界——什么能传、什么绝对不能传
| 数据类型 | 能否回传给广告平台 | 说明 |
|---|---|---|
| 事件类型(如”加粉成功””有效开口””成交”) | ✅ 可以 | 事件类型本身不包含用户个人信息——只是告知平台”发生了一个转化” |
| 转化值/金额(如”成交金额500元”) | ✅ 可以(需脱敏) | 成交金额可以作为回传参数帮助模型优化ROI。但金额数据要做脱敏处理——不要精确到分(”成交金额=500.00″→传”成交金额=500″或”成交金额区间=3,代表300-600元”)。避免可以反推出单个用户消费习惯 |
| 广告点击ID(click_id) | ✅ 必须传 | 这是回传的核心——让广告平台知道”哪个点击产生了转化”。Click_id是广告平台生成的,不包含用户个人信息 |
| 手机号 | ❌ 绝对不能 | 明文手机号、MD5/SHA256哈希的手机号——都不能传给广告平台(除非你使用了平台官方提供的”数据接入”方案且用户做了显式授权)。直接把手机号塞在回传事件的自定义参数里——违规+高风险 |
| 微信号/QQ号/邮箱 | ❌ 绝对不能 | 跟手机号同理——属于用户个人身份信息。不得在回传事件中传输 |
| 用户姓名/身份证号/地址 | ❌ 绝对不能 | 这是敏感个人信息——传输这些信息的后果比手机号更严重 |
| 设备号(IMEI/IDFA/OAID等) | ⚠️ 谨慎——仅在使用了平台官方设备匹配方案且合规的情况下 | 设备号可以用于辅助匹配,但必须通过平台官方提供的API和方案——不能自己把设备号塞在回传参数里 |
在叮咚外链后台配置合规回传
- 叮咚外链的回传系统默认不对广告平台传输任何用户的个人身份信息。回传数据仅包含:事件类型、事件时间、click_id、转化值(可选)。如果你的业务需要额外传参数→一定先确认该参数不包含用户个人信息
- 回传设置→合规检查→开启”回传数据脱敏”。系统自动检测回传数据中是否包含手机号/微信号/身份证号等敏感格式的数据——如果检测到→自动阻止传输+通知管理员。这是一个”安全阀”——防止有人误配置把敏感信息传了出去
- 检查用户授权。根据《个人信息保护法》的要求——你在收集和使用用户个人信息时需要用户的知情同意。在活码落地页和欢迎语中明确告知用户:”你的转化行为数据(不含个人身份信息)将被用于优化我们的广告服务——以向你展示更有价值的广告内容。”——虽然回传本身不包含个人信息,但”数据被传输给第三方”这个行为的透明度本身也是一种合规要求
- 对接法务/数据保护官。如果你的业务涉及健康、金融、未成年人等敏感领域——回传合规方案应该由法务审核,而不是由投手自己决定。投手对回传的理解集中在”提升模型效果”——但合规视角的关注点是”这个数据传输行为是否符合法律要求”
- 定期审计回传日志。每月检查一次——回传数据中是否有不该出现的字段、是否有异常的”自定义参数”被添加了进去。回传配置可能在多次操作中被意外修改——月度审计是防止”配置失误埋了三个月才发现”的最后一道防线
一个清洗动作省下的麻烦
那个医疗团队在账户被封后,紧急做了三件事:
- 立即停止所有包含个人信息的回传→把回传数据清洗为只含事件类型+click_id的干净数据
- 向巨量引擎提交申诉——提供整改后的回传配置截图+合规承诺书。经过两个月努力,账户被解封(但有永久的不良记录)
- 内部建立了”回传配置审批”制度——任何回传配置的变更,需要投手主管+数据保护负责人双审批
合规不是”限制你投放效率”的紧箍咒。合规是让你不会因为一个看似”聪明”的技术操作而在一夜间丢了整个账户、甚至面临法律风险。跟账户封禁和用户隐私诉讼相比——合规的成本可以忽略不计。
回传数据少传不会害死人——但传了不该传的东西会。回传的每一个字段、每一次传输——都要回答一个问题:”如果用户站在我身后看着我传这些数据——ta会点头还是摇头?”
产品咨询 / 免费体验:访问 didolink.com 了解更多