《个保法》正式施行4个月，专门给B2B市场部的参考答案终于来了！

荟聚2022-3-4 11:53

从 2021 年 11 月 1 日至今，《中华人民共和国个人信息保护法》（下文简称《个保法》）已经正式施行 4 个月。这意味着，“数据合规”这道考题，已经摆在国内企业面前足足 4 个月了。营销人可能会发现，自己正在面临一场从组织架构到营销实践的由内而外的变革：突破口在哪里？应该从何处着手？侧重点该如何倾斜？

如果你感到工作无从下手，可以通过本文来了解一下我们提供给你的“参考答案”。

首先，让我们简单回顾一下这次“大考”的背景。

01 中国企业，正在面临新的难题：数据合规

《个保法》的正式施行，标志着中国继欧洲 GDPR、美国 CCPA 等隐私法之后，迈入了加速立法保护消费者数字权利的新纪元。

这是一个不可逆的大浪潮，海外自相关法案施行后，就从未放松过自己的戒尺，各种监管处罚案例层出不穷，比如：全球知名移动社交即时通讯应用某 W，就因信息处理、隐私政策等方式违反了 GDPR，而被罚款 2.2 亿欧元。

而国内的行动力也超出想象，并且执法力度同样严格，我们看到：

2021 年 7 月，国内知名的手机打车软件平台某 D，就因与数据出境相关的信息安全问题，被国家网络安全审查办公室依据《网络安全审查办法》进行了停止新用户注册、应用上线下架相关 App 的相关处罚；

2021 年 12 月，国内知名兴趣社交类 App 某 D、K 歌类 App 某 C 等 5 款应用因存在超范围、高频词索取权限、非服务场景所必须收集用户个人信息、欺骗误导用户下载等违规行为，被依据《个保法》、《网络安全法》等相关法律要求进行了应用市场的下架处理；

同样是 2021 年 12 月，某知名新能源汽车品牌某 X 因非法采集人脸数据，被上海市徐汇区市场监督管理局罚款 10 万元； ……

以上种种，都在警示着企业：现在，只要你正在进行数字化营销，有数字化的营销渠道，那么你就已经处在《个保法》的监管之下，可能正在面临巨大的违规风险了。

02 解题思路，从“信任”中来

即便法规日益趋严，诸多惩罚案例纷纷给企业敲响警钟，但并不意味着企业再也无法合规收集到个人数据。毕竟数字营销的大浪潮不可逆转，而人的数据是驱动增长的根本。

那么，从现在起，人的数据要从哪里来呢？

从“信任”中来。

我们在调研过程中发现了三个有趣的 【~70%】

第一个：70%的消费者表示，信任品牌，变得比以往任何时候更加重要。

第二个：70%的消费者表示，如果企业明确告知他们，自己的数据将如何使用（即，被企业给予更多透明），他们将同意数据收集。

第三个：75% 的消费者表示，如果他们可以掌握自己的数据被如何使用（即，被企业给予更多掌控权），他们将同意数据收集。

由此，我们可以发现突破口在哪里：用户愈加关注品牌能否在个人隐私保护的方面提供令人信任的举措。而当企业做到了这些、满足了用户的隐私诉求，用户仍然会信任你，个人数据仍可以合规收集到。

那么，这些“令人信服”的举措是什么呢？或者说，是否有产品化的解决方案，帮助企业去给到用户更多透明、更多掌控权？

在 GDPR、CCPA 等法案已经施行了多年的海外，企业已经形成普遍共识，那就是在法律合规的框架下，进行个人数据的同意与偏好管理。这套管理流程，已经被固化为一套成熟的产品化解决方案，那就是同意与偏好管理，Consent & Preference Management，简称 CPM。

03CPM 同意与偏好管理，为 B2B 企业的数据合规把好第一关

CPM 是帮助企业完成数据安全合规收集、处理、管理的一套系统。具体我们可以从两个层面来理解：

「同意管理 Consent Management」：针对用户的同意授权进行管理。具备了同意管理能力的企业，在用户使用企业提供的相关产品或服务时，即可明确声明他们愿意与企业共享哪些个人数据，用于何种用途，企业也会说明清楚收集、处理并存储这些数据后，将用于何种业务目的。

「偏好管理 Preference Management」：针对用户的偏好进行管理。在偏好管理能力的支撑下，用户可以向企业表达其希望企业通过什么渠道、在什么时间、以怎样的沟通频率、与他们沟通什么内容，而企业应当按照用户的偏好选择，去动态调整营销策略。

在海外，CPM 的专业解决方案已经随着 GDPR、CCPA 的管辖深入，有了长足的发展。不同的调研报告都显示出，海外企业及其相关负责人对于 CPM 的认知、接受程度，已经达到了非常普及的水平，如：

超过 60%的受访英国营销人员，认为 CPM 对他们至关重要；
90%受访的英国企业，为 CPM 产品分配了不同出口的预算；
54%受访的大型英国企业，已经实施了某种形式的同意与偏好管理
……

我们把视线拉回国内，如今面临同样监管环境的国内企业，当然同样也可以通过本土化的 CPM 产品解决方案去实现高效率的同意与偏好管理。

强调本土化是因为，CPM 的应用场景，势必要与企业的各个营销沟通、触达渠道做充分的结合，才能保证用户的同意与偏好信息可以在全渠道都做到合规适配。而我们都知道，营销渠道在国内是有着很强的壁垒的，一定是具备本土基因的产品，才能构建出更为适合国内企业需求的解决方案。

在 2022 年 1 月 20 日，Convertlab 作为国内领跑的营销科技公司，就率先发布了国内首个具备完整能力架构设计的同意与偏好管理系统解决方案，即 Convertlab CPM。

Convertlab CPM 是一款中心化的、可独立、易集成的综合解决方案，通过用户交互、核心服务、管理服务、集成服务 4 个大模块，提供完整的同意与偏好管理能力，可以帮助企业从数字化建设的底座层面实现安全合规。

在用户交互层：系统帮助企业在网页端展开针对 Cookie 的同意收集工具；在 APP/小程序端配置 SDK 来进行同意与偏好收集；同时，企业也可以面向不同的用户提供不同的创意内容（即 A/B 测试的能力），来进行同意与偏好收集效果的智能优化。
在核心服务层：系统提供存储数据、处理数据、规则适配等能力。用户的每一条同意或不同意、细致的偏好信息，都将记录在这里。同时，这些信息也会呈现为分析报表，为企业的运营管理者提供同意数、同意率的整体概览。
在管理服务层：系统将提供用户与权限的管理。同时 SSO 单点登录、系统和操作日志、数据加密和匿名化的能力，也在这里提供。
在集成服务成：系统主要提供的是将收集到的同意与偏好信息与各个营销系统进行集成的能力。如，与 CDP 系统集成，辅助在标签计算、圈群、数据分析的时候，做必要的过滤；与 MA 系统集成，辅助在用户进行沟通触达前，基于同意与偏好数据进行恰当、合适的发送或限制。

对于 B2B 企业来说，CPM 管理的核心将主要集中在【获客管理】阶段，在“流量”尚未正式成为线索、甚至成为 MQL 之前，B2B 企业的营销人员就应当设立起一道“合规大门”，而 CPM 就是这道大门的“守门人”：只有经过了 CPM“守门人”的询问、明确提供了同意授权的“流量”才可以进入系统的线索池中，这时候的数据才能为后续一系列的培育及转化动作所用。

这套“守门”的业务流程应当成为 B2B 营销人第一个需要考虑的问题，我们可以试着对其进行一次梳理：

增量流量，可理解为通过各种获客手段（如，广告投放、SEM、会展表单收集）所收集的流量。“合规大门”首先要对这批流量进行一次过滤；
授权同意的流量，可以进入市场部的“合规流量池”了。这时候，又应当区分“已成交客户”和“未成交客户”；
“未成交客户”，即意味着市场部需要在一定时间内持对其进行沟通触达，直到完成销售转化。那么在这个阶段，就需要充分考虑该“未成交客户”对个性化沟通的授权情况以及偏好信息；
“已成交客户”，一般来说都是已经做过个人信息同意授权、经历了多次沟通的客户，我们可以理解为其信息是已经过过滤的合规数据了。

有了这套业务流程的对照，接下来的 To Do 就一目了然了：“守门人”最应当守护的，一定是会大量获取或管理增量流量的场景。而众多的流量入口中，网站不仅是企业的门面、是为客户传递第一印象的重要场景，更是监管方最容易关注到的场景（相信有过《广告法》合规管理经验的市场小伙伴对此都不会陌生）。

因此，我们想重点为各位解析一下网站应该如何做好《个保法》的合规管理升级。

很多企业都会在自己的网站上或多或少会配置各类 Cookie。过去，恐怕绝大部分企业都没有对 Cookie 配置进行合规性处理。而现在， B2B 企业在网站合规管理方面的重头戏，就应当是 Cookie 的合规管理。

Convertlab CPM 的 Cookie Consent 能力，就可以很好的帮 B2B 企业低代码、轻量级的快速完成网站的合规性升级配置。

04B2B 市场部最应关注的 CPM 能力：Cookie Consent

Cookie Consent 的主要目的是在企业需要的网站上，允许运营人员通过 CPM 系统的帮助，自主的完成网页前端的 Cookie 获取授权同意采集页面配置。由此，企业的受众在浏览该网站时，可通过该采集页面，提交自己的同意与偏好信息。这些信息，都将记录在 CPM 系统中，运营人员可随时登录 CPM 系统，掌握企业合规获取的用户数量等情况。

基于《个保法》的原则，可以提炼出 Cookie Consent 的管理要点：

1.明示同意原则：务必清晰、明确的向受众呈现出企业使用的 Cookie 类型有哪些、分别用于何种目的。

2.自愿同意原则：务必提供给受众“拒绝”的权利，即在页面上提供相应的按钮，允许用户提交“不允许”。当然，每一个 Cookie 类型，都应当允许用户单独拒绝。

3.修改的原则：务必提供给受众随时修改的权利，即给到受众明确的途径，让他们有机会在后续随时修改自己的决定。

那么，满足这样一套 Cookie Consent 管理的界面会是什么样呢？又应该如何轻松、快速、不过度依赖开发人员就可以配置出来呢？现在我们来为你拆解一下，给你一个更为直观的理解：

Step1：配置基础信息

在这一步，先进行一些基本配置，比如，Cookie 同意主题的名称，该名称主要用于内部进行不同网站的区分管理。

Step 2：配置初始界面

初始界面，一般呈现在网站的首页，用于对首次访问、未进行 Cookie 授权的用户，以弹窗、Banner 等形式，进行提示与授权请求，通过提供按钮，让用户选择“同意”，或“不同意”。

在 Convertlab CPM 的系统后台，你可以配置这个初始界面的标题、简述使用 Cookie 的目的、一键同意或拒绝的按钮。重要的是，你可以结合自身网站的 UI 风格，对这套界面进行色彩样式的灵活配置，以达到“原生”的效果。

Step3：详细配置

接下来，你需要明确、全面地列举所有的授权选项，并允许用户分别进行选择。比如：用于数据分析的 Cookie、用于受众洞察的 Cookie、用于个性化广告的 Cookie……CPM 系统提供配置窗口，方便你把这些 Cookie 的具体用途都明确的展现出来，甚至进一步详细的罗列出这些 Cookie 的存续时间乃至具体提供方，如，腾讯广告、巨量引擎…用户可以通过你提供的信息，来判断是否要开启、关闭某些、或拒绝全部的 Cookie。

Step4：配置悬浮窗

除了以上几个要素之外，你也需要在首页配置一个长期的“入口”，供用户可随时进行设置的修改，例如一个在页面角落的“悬浮窗”。

通过以上 4 个步骤的解析，相信你已经可以初步理解该如何利用 Convertlab CPM 进行 Cookie Consent 的配置了。有了 Cookie Consent 的保护，不仅可以通过产品的能力帮助你在与用户交流的第一线做到《个保法》的合规，有效规避违规风险，同时，相信你也会因为这一套专业的问询界面与流程，而在用户的心中树立起更为透明、可信的品牌形象。

05CPM 之外，你还要做好哪些准备？

企业的合规管理之路是任重道远的，不仅仅体现在对外层面，企业内部的管理升级，以及后续长久的运营管理都是给到 B2B 企业各位 Marketer 的紧要课题。

对此，我们也总结了一些合规升级的策略建议，希望可以对你有所启发。

成立 DPO 数据保护官

DPO 即 Data Protection Officer，数据保护官。DPO 应当实时关注法规与政策，严格遵照法律建立企业内的管理标准，对现存的个人信息保护违规环节进行合规的治理，帮助企业持续打造公开、透明、值得信赖的品牌形象。

根据《个人信息安全规范》的规定，达到特定条件的企业，应当设置专职个人信息保护负责人和个人信息保护工作机构。“特定条件”具体所指：

从业人员规模大于 200 人
处理超过 100 万人的个人信息
预计在 12 个月内处理超过 100 万人的个人信息
处理超过 10 万人的个人敏感信息

完善合规管理制度与内部管理流程，进行体系化的产出与工作记录

在 DPO 的指导下，相关的团队应当逐步进行体系的规范化变革、制度的规范化变革。此处有重点：针对组织结构、业务流程、应急管理等的升级举措，应尽量做到有计划、有培训、有记录。只有这样，才能在面对未来可能发生的合规审计的时候，有备无患。

同意率的优化提升，任重而道远

在进行了规范化的同意与偏好管理后，企业虽然可以有效规避法律风险，但对于市场营销团队的同学来说，却多了一个新的课题需要思考：用户选择“不同意”导致数据资产“缩水”的风险升高了。怎么办？要如何提高同意授权率呢？

对这个课题，Convertlab 也总结了一些 Tips，希望可以帮到你。

选择最佳时机（MoT），索取同意授权

其实，你不需要在用户一登录网站，就开始询问其是否同意你所需要的全部的同意与偏好选项。试试随着用户浏览、互动行为的深入，选择一个最佳时机，询问用户的意愿：

点击 Banner 后，询问是否允许进行个性化推荐；
填写表单时，询问是否允许存储并应用手机号用于日常短信通知。

提供动态内容，适用不同人群

把同意与偏好收集也当做是个性化的沟通行为。把做精准营销的经验复制于此，基于对人群的洞察，提供不同的沟通内容：

对不同性别的用户，提供不同色彩的授权询问界面。

活用 A/B 测试，持续优化沟通策略

利用 CPM 提供的 A/B 测试功能，通过产品化的手段，精细的判断出何种内容、样式、时机的「同意与偏好授权沟通」，最能激发用户点击“同意”的欲望。

设置授权周期，提醒到期再次授权

对用户收集的授权，一定是有时效性的。企业当然希望尽可能长时间的、甚至是永久获得用户的授权，但对于某些有明确时效要求的授权需求，一定要设置好授权周期，做好到期提醒。在授权到期前，及时向用户再次发送授权，做到无缝衔接。

END 结语

《个保法》的施行，意味着精准营销将进入一个全新的纪元。中国迈进了数字营销生态的一座全新的里程碑。企业都将在更为严格的法律框架下展开数字营销。私域流量的狂欢可能仍会到来，但它势必将变得更为理性、更具人性。它将剥去一些激进的色彩，替换为更加开放、透明与互信的底色。

我们相信，在 Convertlab CPM 的帮助下，B2B 企业一定可以在这场变革中，跑得更快、做得更扎实，表现得更加值得用户信赖。