T/CAAAD 007-2020 移动互联网广告标识技术规范

　　团 体 标 准

T/CAAAD 003—2020

移动互联网广告标识技术规范

Technical specification for mobile Internet advertising identification

2020- 12-10 发布 2021- 01-01 实施

中国广告协会 发布

前 言

本标准按照 GB/T 1.1-2009给出的规则起草。

本标准由中国广告协会提出并归口。

本标准起草单位：中国广告协会互联网广告委员会、中国信息通信研究院、中国广告协会媒体评估委员会、公安部第三研究所、中国网络安全审查技术与认证中心、深圳市腾讯计算机系统有限公司、北京国双科技有限公司、普华永道中天会计师事务所、阿里巴巴网络技术有限公司、小米科技有限责任公司、利欧集团数字科技有限公司、秒针信息技术有限公司、上海尼尔森市场研究有限公司、北京巨量引擎网络技术有限公司、友盟同欣(北京)科技公司、OPPO广东移动通信有限公司、百度在线网络技术(北京)有限公司、维沃移动通信有限公司、华为终端有限公司、上海数据交易中心、德勤中国、广州宝洁有限公司、内蒙古伊利实业集团股份有限公司、北京大学电子商务法研究中心、华东政法大学、上海交通大学、北京邮电大学、西南政法大学、中央民族大学、上海外国语大学。

本标准主要起草人：张国华、杨正军、陈婉莹、霍焰、崔妍、朱岩、王北云、胡永涛、张剑、黄晓林、张亚男、武杨、倪平、吴充、姜敏、姚栋、郭英男、周崧弢、刘力泉、王其武、田申、松涛、付艳艳、孙启堂、张栋、欧阳书馨、申翔宇、薛梓源、王泳帅、孙立业、薛军、高富平、周辉、何渊、崔聪聪、牟萍、朱芸阳、顾明毅。

引 言

在移动互联网广告活动中，标识是移动互联网广告运行的基础性数据，广泛应用在广告主、媒体平台、第三方监测公司、代理公司等市场主体数字营销业务的全链条，服务于验证广告投放的精准性、甄别流量真实性，更是广告主投放广告的结算依据。但与此同时，我国还未有专门用于广告的移动互联网广告标识，多数是使用高个人信息属性的移动设备标识或由操作系统等提供的各类标识符，既存在用户个人信息泄露风险，在使用上也存在众多限制。因此，有必要定义既符合个人信息保护、数据安全法律法规要求，同时能够满足广告行业需求的移动互联网广告标识。

本规范旨在定义移动互联网广告标识，并规范其生成与服务原则、功能要求以及安全要求等，同时提出几种不同的实现方案，方便我国移动互联网广告产业各相关方参考使用。

移动互联网广告标识技术规范

1 范围

本标准规定了移动互联网广告标识定义，一般原则，特性，功能要求以及服务要求等，同时提出几种不同的实现方案。

本标准适用于希望开展移动互联网广告标识生成活动的相关方依照使用，移动互联网广告业务的其他参与方也可进行参考。

2 术语和定义

2.1 术语和定义

下列术语和定义适用于本文件。

2.1.1

标识符 Identifier

用来标识某个实体的一个符号，在不同的应用环境下有不同的含义，通常由字母和数字以及其它字符构成。

2.1.2

移动互联网广告标识 Mobile Internet Advertising Identifier

应用于移动互联网广告业务的一类非永久性标识符，能够标记、识别移动互联网广告服务对象，可以在保障用户隐私的前提下，通过此标识在移动互联网广告业务中建立广告数据基础级服务，促进数据流通。

2.1.3

广告主 Advertiser

为推销商品或者服务，自行或者委托他人设计、制作、发布互联网广告的自然人、法人或者其他组织。

2.1.4

移动互联网广告媒体平台 Mobile Internet Advertising Media Platform

为广告主或者广告主委托的广告经营者通过移动智能终端、移动应用软件或其他移动互联网载体发布互联网广告的法人。

2.1.5

广告监测平台 Advertising Monitoring Platform

为监测和衡量广告投放效果，确保广告数据真实性，为移动智能终端或移动应用软件提供广告相关的数据监测与数据支持的法人。

2.1.6

移动智能终端 Smart Mobile Terminal

具有操作系统，能使用无线移动通信技术实现互联网接入，通过内置、下载、安装应用软件和数字内容为用户提供服务的终端产品。

2.1.7

移动应用软件 Mobile Application

移动应用软件包括移动智能终端预置应用软件，以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。

2.1.8

匿名化 Anonymization

通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。

注：个人信息经匿名化处理后所得的信息不属于个人信息。

2.2 缩略语

下列缩略语适用于本文件。

3 移动互联网广告标识概述

移动互联网广告标识一般通过多参数与随机数经过一定算法生成，具有可标识性。移动互联网广告标识可由数字、字母和特殊符号构成。

移动互联网广告标识的生成方可以是终端操作系统、第三方服务平台等能提供共性服务的主体，应用方可以是广告主、移动互联网广告媒体平台、广告监测平台等广告产业链主体，获取方式主要是以移动应用软件或SDK为媒介并经用户交互授权获取。

图一 移动互联网广告标识流程图

生成方获取和使用生成标识所需参数、应用方获取和使用移动互联网广告标识应遵守相关国家法律法规与对应标准。

4 移动互联网广告标识一般原则

4.1 有效使用原则

移动互联网广告标识应能满足广告产业对本标识所需能力要求，能有效标记、识别移动互联网广告服务对象，提供无关个人信息的广告数据基础级服务。

4.2 信息安全和隐私保护原则

移动互联网广告标识生成与服务过程满足信息安全要求、保障用户隐私，生成过程不侵害用户个人信息安全，服务过程无法逆推出任何用户设备信息、个人数据。

4.3 保障产业利益原则

移动互联网广告标识在制定与生成服务过程中充分考虑产业相关方利益，保障服务稳定安全，公开透明。

5 移动互联网广告标识的特性

5.1 有限唯一性

不同设备上获取到的移动互联网广告标识应不相同，由于参数与算法的局限性允许在满足有效使用原则的情况下有一定的重复。

5.2 阶段一致性

同一设备上不同时间获取到的移动互联网广告标识应保持一致，由于参数与算法的局限性以及标识的可重置性仅是在一段时间内保持一致。

5.3 连接性

不同应用在同一时间同一设备上获取的移动互联网广告标识应相同。

5.4 可开关性

移动互联网广告标识应通过有效方式，允许用户进行开启或关闭。

5.5 可重置性

移动互联网广告标识应通过有效、合规的方式，允许用户进行重置，重置后的移动互联网广告标识不可关联到重置前的移动互联网广告标识。

5.6 匿名性

移动互联网广告标识应不与任何个人信息相关联，包括生成参数、服务过程等。

5.7 稳定性

移动互联网广告标识生成后应具有稳定的服务能力。

6 移动互联网广告标识功能要求

6.1 移动互联网广告标识的生成

移动互联网广告标识可通过多参数与随机数经过一定算法生成，所选参数应在一段时间内保持稳定，使用算法应最大程度保障不同设备获取的移动互联网广告标识不相同。

移动互联网广告标识可由数字、字母和特殊符号构成，特殊符号应避免使用互联网地址中保留字符。

6.2 移动互联网广告标识的重置

移动互联网广告标识应具有重置机制，用户可以选择重置移动互联网广告标识。

移动互联网广告标识重置应方便用户获取和使用，不同渠道从进入渠道开始重置目录不应超过四层，如通过操作系统重置从进入设置起算、通过移动应用软件或其他程序从启动程序起算、通过网站从进入网站主页起算等。

发生下述事件时，移动互联网广告标识也可能重置：

(1) 终端设备恢复出厂设置时，移动互联网广告标识可能重置;

(2) 参数值改变或算法更新后，移动互联网广告标识可能重置。

重置后生成新的移动互联网广告标识，且移动应用软件只能获取新的移动互联网广告标识。

6.3 移动互联网广告标识的开启\关闭受控机制

移动互联网广告标识应具有开启\关闭受控机制，用户可以选择开启\关闭移动互联网广告标识的获取。

移动互联网广告标识开启\关闭应方便用户获取和使用，不同渠道从进入渠道开始开关目录不应超过四层，如通过操作系统开启\关闭从进入设置起算、通过移动应用软件或其他程序从启动程序起算、通过网站从进入网站主页起算等。

关闭移动互联网广告标识，可选以下实现方案：

(1) 向用户显示为关闭移动互联网广告标识，移动应用软件无法获取移动互联网广告标识，或获取到的移动互联网广告标识的返回值为空(或全0);

(2) 向用户显示为禁止广告跟踪，移动应用软件可获取到移动互联网广告标识以及禁止跟踪标签。

宜选择第一种方案，如选择第二种方案将由移动应用软件履行合规要求，应建立流程制度，不应将获取到的移动互联网广告标识用于广告跟踪、个性化广告推荐等，并自留证据以备审计。

移动互联网广告标识关闭后，可在一定周期内保留原标识相关数据，当用户重新开启时恢复原标识相关数据。

6.4 移动互联网广告标识的更新机制

移动互联网广告标识生成算法应具有更新能力，可定期进行更新。

移动互联网广告标识宜设定有效期限，以避免一次生成可永久使用，有效期限的限定可通过生成算法更新实现。

移动互联网广告标识生成算法更新时应告知相关应用方，并提供过渡期。

7 移动互联网广告标识安全要求

7.1 算法参数安全

移动互联网广告标识生成参数应避免使用个人信息，在保障安全与隐私合规的前提下可以使用被列为个人信息的设备信息，但只能在匿名化处理后本地生成。

移动互联网广告标识通过第三方平台生成时不宜直接传输未经安全处理(例如哈希化处理等)的原始数据参数。

移动互联网广告标识生成参数的数据类型、数据和频率应为生成标识所需获取的最小必要范围。

移动互联网广告标识服务过程应无法逆推出任何用户设备信息、个人数据，不应与用户不能主动重置的设备标识符进行关联。

7.2 业务安全

生成方如在提供移动互联网广告标识生成及相关业务时，需保障业务安全，如需要移动应用软件嵌入代码、脚本、接口、算法模型、SDK等模块时，应保证不引入新的安全问题，并向嵌入方告知数据处理、安全机制、隐私条款等情况。

7.3 访问控制

生成方在应用方通过移动应用软件请求移动互联网广告标识时，应对移动应用软件采取合适的手段进行身份验证，并验证其请求符合策略规定，才可将结果返回给应用方。

7.4 存储安全

移动互联网广告标识存储应确保完整性和保密性，不可被其它非法实体访问或篡改。证书、密钥等安全数据需要加密存储。

7.5 防篡改攻击

移动互联网广告标识生成过程应对程序的完整性、参数内容的完整性和有效性进行检查，以防御篡改攻击。

8 移动互联网广告标识服务要求

8.1 保障数据安全

在未获得其他参与方(包括用户)同意的情况下，移动互联网广告标识生成方应保障不超出双方的约定对从其他参与方处获取的数据进行存储和使用，或将数据提供给其他第三方，确保其他参与方的合法利益。

移动互联网广告标识生成方如将获取到的生成参数及标识本身用于自身业务，也应遵守相关国家法律法规与对应标准。

8.2 运维服务稳定可持续

移动互联网广告标识应由具备一定能力的主体提供相关服务，运维过程应保障服务的稳定性和可持续性。

8.3 生成过程透明

移动互联网广告标识生成方应保障广告标识生成的中立性和可监督性，如对广告标识信息享有合法权益的相关方需要可向服务方索取自身广告标识与相关数据的应用情况。

附 录 A

(资料性附录)

基于第三方平台服务的移动互联网广告标识实现方案

A.1 总体思路

基于第三方平台实现的的移动互联网广告标识实现方案共涉及三类实体，包括终端设备、开发者和服务端。

其实现流程为：客户端侧通过采集具有一定终端标识能力的非用户隐私参数，发送到服务器侧，由服务器生成广告标识，下发给客户端。服务端提供方案供用户对设备的广告ID进行开关、重置操作，保护用户隐私。

图1 技术框架

A.2 设备参数

客户端从终端设备中采集所需参数后向服务端上报，通过服务端生成、下发广告标识。选取不属于用户隐私的参数，且上报过程严格遵守法律法规要求，参数示例如下表所示。

A.3 数据交互

整体数据交互图如下，媒体方和广告主按照各自需要接入广告平台、第三方监测或者直接对接服务端提供的SDK和API，媒体方和广告主获取到广告标识后，进行广告归因计算。

图2 数据交互流程

其中分成1-7具体场景如下：

① 媒体方通过服务端接入广告标识服务API，转发从终端采集到的API所需的参数，获得对应广告标识。

② 媒体方直接嵌入广告平台提供的SDK，由广告平台SDK采集所需设备参数，上报到后台服务端，通过识别API获得广告标识。

③ 媒体方直接嵌入统一设备识别服务提供的SDK，由该SDK采集所需设备参数，上报到识别服务，获得广告标识。

④ 广告主侧直接嵌入广告平台提供的SDK，由广告平台SDK采集所需设备参数，上报到后台服务端，通过识别API获得广告标识。

⑤ 广告主侧通过服务端接入统一设备标识服务API，转发从终端采集到的API所需的参数，获得对应广告标识，然后上报给广告平台。

⑥ 广告主侧嵌入第三方监测SDK进行数据上报，由第三方监测平台通过API获取广告标识，然后与各大广告平台进行信息互通。

⑦ 广告主侧直接使用统一设备标识服务提供的SDK，由该SDK采集所需设备参数，返回广告标识。

A.4 标识管理

为尊重用户的知情权、选择权，保障用户设备、个人的数据安全、隐私安全，提供开关和重置的选项。

由服务端提供统一的管理入口，通过APP、小程序、网页等形式，用户可以对自身设备的广告标识进行开关、重置操作。一旦设置，全网生效。

A.5 安全

通过以下几个方面进行安全保障：

API接入方必须为经过授权的合法调用方，每个接入方在接入时需经过授权;

服务端网关层对于调用方须有频次，量级的监控，支持识别并屏蔽危险调用;

服务端支持水平扩容能力，应对大规模业务需求。

附 录 B

(资料性附录)

基于终端实现的移动互联网广告标识实现方案

B.1 概述

基于终端实现的移动互联网广告标识实现方案共涉及三类实体，包括开发者、开发者开发的应用软件、移动智能终端设备的操作系统。

开发者通过开发的应用软件获取由移动智能终端设备的操作系统生成得移动互联网广告标识。

B.2 生成

移动互联网广告标识由移动智能设备实现，在系统首次启动后生成。

移动互联网广告标识生成参数中可包含设备硬件参数、随机数等。

B.3 特性

具有以下特性：

(1) 可关闭性：移动互联网广告标识可以被用户关闭。

(2) 连接性：移动互联网广告标识可以链接所有应用数据。

B.4 重置

发生下述事件时，移动互联网广告标识重置：

(1) 用户在系统设置中手动重置，移动互联网广告标识将重置;

(2) 移动智能终端恢复出厂设置时，移动互联网广告标识将重置;

(3) 移动互联网广告标识自身可定期重置。

重置后生成新的移动互联网广告标识，且应用只能获取新的移动互联网广告标识，无法关联到旧的移动互联网广告标识。

B.5 开启\关闭受控机制

移动智能终端应提供移动互联网广告标识的开启\关闭受控机制，用户可以选择在系统设置中关闭移动互联网广告标识;关闭后，应用获取到的移动互联网广告标识的返回值为空(或全0)。

B.6 获取接口

a) 移动互联网广告标识状态获取接口

该接口用于获取移动智能终端是否支持移动互联网广告标识，确认支持后，可以继续获取所需标识符。

public static boolean isSupported()

b) 移动互联网广告标识获取接口

public static String getID(Context context)