Q：广告主要求广告发布者回传用户个人设备ID，是否涉嫌违反《个人信息保护法》？

A：在广告领域，个人设备ID，指Android 平台的 IMEI/OAID，iOS 平台的IDFA/IDFV，从2018年开始，第三方监测公司如AdMaster、国双及秒针均按MMA 标准开启了对设备ID 的回传，且作为数据质量的重要考核标准。

因为众所周知的原因，最初回传到监测公司DMP 平台的设备信息，多数为机器生成的虚拟ID，而监测公司也仅作回传率的判断。伴随广告主对数据质量要求的提升，监测公司也逐步开始了对设备ID 真实性的验证，到2021年，更发展到计算设备ID 与地域、UA等信息的关系，可触发设备ID 关联异常。

早期的回传规则，IMEI MD5 加密，IDFA 明文，随着Android 和 iOS 版本的升级，OAID/IDFV 成为主流，但仍然沿用之前的规则，OAID MD5 加密，IDFV 明文。2021年11月1日，《个人信息保护法》（以下简称《个保法》）实施，监测公司迅速调整策略，Android 和 iOS 设备ID 均支持MD5 加密回传。

根据《个保法》第四条规定：

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

我们判定个人设备ID 接受《个保法》管辖，即使MD5 加密，也只是符合“去标识化”的标准，未达到“匿名化”的要求。参看谷歌对“匿名化”的解释：

匿名化是一种数据处理技术，可移除或修改个人身份信息；经过匿名化处理的数据无法用来与任何个人关联到一起。匿名化也是 Google 在践行保护用户隐私之承诺的过程中的一项关键举措。

根据信息安全技术 个人信息安全规范（标准号：GB/T 35273-2020），IMEI/OAID，IDFA/IDFV 属于个人常用设备信息，不属于敏感个人信息。

《个保法》第十三条规定：

符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

《个保法》第十四条规定：

基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。

《个保法》第五十一条规定：

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（三）采取相应的加密、去标识化等安全技术措施；

因此，判断回传个人设备ID 是否合法，关键点有二：

1. 是否取得个人同意；
2. 是否履行个人信息处理者的义务，采取相应的加密、去标识化措施。

故只要广告发布者在隐私政策里，征得用户“知情-同意”，符合合法、正当、必要、诚信原则，诸如：

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。本隐私政策中涉及的个人信息包括：……个人常用设备信息……

我们收集您的个人信息的最终目的是为了向您提供更好的服务、产品，优化并丰富您的用户体验，这些个人信息是能够单独或者与其他信息结合识别您的个人身份的信息。

以上个人信息均是您自愿提供。您有权拒绝提供，但如果您拒绝提供某些个人信息，您将可能无法使用我们提供的服务、产品，或者可能对您使用服务或产品造成一定的影响。

同时，回传用户个人设备ID 给第三方监测时进行了MD5 加密，就不违反《个人信息保护法》。

最后，我们也要注意敏感个人信息处理，和数量巨大的个人信息处理。

根据《个保法》第二十八条规定：

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

广告业务一旦涉及敏感个人信息，要提高警惕，严格依法进行。

根据《个保法》第五十二条规定：

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

如果回传个人信息数量巨大，广告发布者和广告主必须指定和公示负责人，相信在这个条款的震慑之下，大规模回传的要求可以得到一定程度的遏制。