保护个人信息图画「用户画像的基本流程」
今天给大家普及一下保护个人信息图画「用户画像的基本流程」相关知识,最近很多在问保护个人信息图画「用户画像的基本流程」,希望能帮助到您。
作者:杜佳璐(中国人民大学法学院硕士研究生)
来源:《上海法学研究》集刊2020年第15卷——数字经济法治文集
内容摘要:随着大数据技术的不断发展,互联网企业利用特定算法对网络空间中的用户信息片段加以整合、分析,就可推导出该用户的消费习惯、水平、爱好和需求,并以此为基础构建出其“画像”。用户画像是一柄双刃剑。如何在企业的有序发展和个人权利保护之间寻得一个平衡点,成为亟待解决的问题。本文从比较中外关于用户画像的法律规定出发,发现目前普遍存在着个人信息权利义务界限模糊、相关规制机制仍待完善的问题,提出了从个人权利的赋予与限制、企业义务的承担与限制着手,分别加以不同规制,以求平衡保护的建议。希望能在最大化利用大数据技术、最大化享受数据价值的同时,保护好用户的个人信息权益,以追求保护与利用两头强化的双赢局面。
关键词:用户画像 个人权利 企业义务 平衡保护 个人信息保护法
一、引言
随着互联网的发展,电子商务方兴未艾,人们越来越习惯于在网上购买物品、进行支付,这极大地便利了人们的生活。在利用网络进行各种交易活动的过程中,必然会产生大量信息,如地址、手机号码、姓名等,这些信息单独来看可能并没有什么太大价值,但在大数据技术的处理下,它们却可以成为商家进行用户画像的素材。互联网企业利用特定算法对网络空间中的用户的信息片段加以整合、分析,就可推导出该用户的消费习惯、水平、爱好和需求,并以此为基础构建出其“画像”。这一行为有好的方面,它可以为用户提供更为精准的个性化服务,更好地满足其需求,也可以为企业推广节约成本、提高效率;但也有坏的一面,用户画像所带来的个人信息泄露、侵权等相关问题;企业进行价格歧视、利用大数据“杀熟”问题。
二、用户画像规制现状
(一)用户画像保护之困境
关于用户画像的性质,学界现在还未形成统一的意见。作为经过算法匿名化处理而形成的数据,它以最为浅显和贴近生活的话语将用户的属性、行为与期待的数据转化联结起来。根据最新公布的个人信息保护法(草案)之规定,我国不将用户画像作为个人信息加以保护。
这可能是基于以下考虑:当用户的行为信息——用户画像被纳入个人信息范围时,会带来个人信息保护范围过宽的问题,在这样的情况下,大量的企业的行为都可能被划入违法的范畴,将会带来普遍的侵权和大量的诉讼。同时,用户画像往往都是经过脱敏处理的信息,一般不会直接识别到个人。如果法律将这样的信息也作为个人信息加以保护,那么企业可能会考虑放弃匿名化的努力以减少成本,而这反倒给用户造成损害。
但不将用户画像作为个人信息保护,也带来了一些问题。用户行为信息本身就是识别个体的方式,通过行为来筛选个体,这本身就是一种“识别”。根据这种观点,网站对个体进行用户画像,向个体推送广告,本身就是一种筛选或识别个体的活动。个人信息保护的要义不一定是侵犯传统意义上的隐私,还在于规制风险。即使消费者的行为信息属于匿名信息,但此类信息一旦泄露,还是可能给公民个体带来很多风险。
(二)用户画像使用之不当
1.大数据杀熟
“杀熟”的具体表现形式是:就设备而言,Android系统和iOS系统在同一收费服务中的定价不同;就新老用户而言,同一应用同一服务的注册用户与未注册用户定价不同;就使用频率而言,同一应用同一服务的高频用户与低频用户定价不同。
大数据“杀熟”早已不是新鲜事了。早在2000年,美国的Amazon公司就被用户反映说采用差别定价的手段。该用户称,在删除了浏览器的cookies之后,其浏览过的DVD商品价格下降了3.5美元。A-mazon的CEO贝索斯不得不出面为此引发的巨大争议道歉。另外,同样来自美国的旅游订票网站Orbitz也出现了这样的情况。在其他条件不变的情况下,用Apple电脑在Orbitz上搜索房间,价格就比使用其他品牌的电脑高。
国内也存在不少“杀熟”的情况。有许多网友称,在使用滴滴打车时,老用户、Apple手机的用户所支付的价格会比新用户、其他品牌手机用户更高。旅游APP飞猪也会针对不同的用户报出不同的机票价格,甚至对同一用户,搜索时的价格和实际下单时的价格也存在数百元的差别。此外,天猫超市、京东、去哪儿、饿了么、美团、大众点评等多个不同类型的软件,都不约而同地存在“杀熟”现象。
2.价格歧视
价格歧视(pricediscrimination)实质上是一种价格差异,通常指商品或服务的提供者在向不同的接受者提供相同等级、相同质量的商品或服务时,在接受者之间实行不同的销售价格或收费标准。
一级价格歧视又称完全价格歧视(perfectdiscrimination),即销售者为每一位顾客及其所购买的每一单位商品制定不同的价格,因此获取所有的消费者剩余。二级价格歧视(second-degree price dis-crimination),即销售者对购买者偏好的多样性有所了解,但是不能观察到每一位特定顾客的特性。其对不同的消费数量段规定不同的价格。三级价格歧视(third-degree price discrimination),即垄断厂商对不同市场的不同消费者实行不同的价格,在实行高价格的市场上获得超额利润。
三级价格歧视是最普遍的价格歧视。同样的银行服务,贵宾区的价格比大厅的服务价格高;持学生证可以半价购买火车票等都是三级价格歧视的例子。在传统的消费市场上,一级价格歧视几乎是不可能出现的,因为它要求同一个产品,对不同的人定不同的价格,而在以往的情景下,商家几乎无法得知每一位顾客愿意为这一产品最高支付多少钱。
但大数据技术的发展使得一级价格歧视成为可能。互联网企业通过对海量数据进行收集和分类,最终得出用户画像。通过对用户画像的精准分析,企业可以得出用户的购买意愿、购买习惯和支付能力等信息,最终进行个性化推荐和展示以及区别定价。借助计算机强大的计算能力,在越来越成熟的机器学习技术的帮助下,用户画像的准确度、精细度将越来越高,企业就可以定出越来越接近用户所能承受的极限价格。
(三)反映的问题
有学者认为,价格歧视行为会产生两种不利后果:一是对企业之间的正常竞争产生损害;二是对消费者构成剥削。
不管是大数据“杀熟”,还是价格歧视,归根到底都是互联网企业对用户画像的利用所引发的结果。用户画像是通过收集、汇聚、分析个人信息,对某特定自然人的个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
作为个人信息和数据汇总、加工、分析的产物,用户画像必然需要从个人信息保护的角度加以审视。互联网企业收集用户个人信息往往通过两种方式:一是注册信息与使用信息,即用户在使用企业相关产品、服务过程中,企业收集用户信息;二是企业通过数据库“对撞”共享用户信息。
在第一种方式中,存在饱受诟病的APP强制索取权限问题。用户常常会遇到一旦拒绝给APP某些权限,就会被拒绝使用的情况,即“要么接受条款,要么放弃服务”。这实际上是企业剥夺用户选择权的表现。在第二种方式中,企业之间数据库的共享虽然有减轻企业在信息收集方面的人力、财力投入,为用户提供个性化服务的好处,但在现行法律并不完善,用户处于弱势地位的情况下,却存在侵犯用户隐私权的问题,引发用户对自己个人信息泄露、遭到侵害的担忧。
在信息时代的背景下,不是所有的价格歧视行为都要受到禁止。保险公司对于风险等级较高的客户,如有酒驾、违章或者重大疾病史的客户,设置比普通客户更高的保险费,这是合理的。但价格歧视行为本身仍然存在损害竞争和侵害消费者权益的可能,因此法律有必要对其加以规制。
(四)目前的不同保护路径
法律既不能直接将匿名化的用户行为信息视为非个人信息,也不能将此类信息等同于可直接识别的个人信息。虽然不同学者对于个人信息的定性问题持不同见解,但从其研究成果中可以看出他们都已经意识到在大数据技术的时代背景下要对用户的个人信息数据采取一定的方式进行保护,规范对这些数据的采集和处理过程,并在用户的合理权利受到侵害时提供一定的救济。
1.人格权
即将生效的民法典将个人信息作为人格权加以保护。民法典第四编人格权编第110条规定,自然人的个人信息受法律保护。
2.财产权
齐爱民认为:个人信息更多地体现了一种财产利益,是大数据控制人的数据资产,个人信息保护法关于本人权利的规定,应当采取所有权模式,视其为一种用户的信息财产权客体。
另有研究也认为,当今时代,用户的个人信息具有巨大的潜在经济价值,因而具有非常明显的财产属性,如果仅仅将其视作一般人格权或是隐私权来处理,无法体现个人信息的经济价值,而且在用户信息数据受到损害需要获得救济时其损失也将难以认定,从而无法充分保障和救济其权利。
3.人格权 财产权
一方面,用户在网络平台所留下的使用痕迹,涉及到个人的兴趣爱好、消费能力、经济水平等一系列较为私密的个人信息,这些信息具有强烈的符号属性和象征意义,因此其具有人格权的属性。另一方面,用户浏览数据作为个人信息的一种,在大数据时代的商业活动中发挥着重要作用和价值。通过分析这类数据信息,可以描绘出不同用户的不同特征,从而判断和预测该用户的不同商业需求。用户浏览数据这一特定个人信息具有明显的财产属性。
三、国内外相关立法
(一)欧盟
具有数据宪章地位的一般数据保护条例(以下简称GDPR)第21条第2款、第3款和第22条第1款对用户画像和自动化决策行为作出了明确的规定。
GDPR规定了反自动化决策权:“数据主体有权反对此类决策:完全依靠自动化处理——包括用户画像对数据主体作出具有法律影响或类似重大影响的决策。”GDPR将用户画像作为典型的自动化决策类型进行特别举例强调,具体指任何以评估个人的特定方面为目的,对个人数据进行自动化处理的形式,包括对工作表现能力、经济状况、信用状况、健康状态、个人喜好、忠诚度、地理位置、消费趋向等进行分析和预测。
GDPR虽然没有明确表态因用户画像与自动化决策所产生的价格差异是否属于对数据主体产生的“重大影响”,但其赋予了数据主体在遭遇与直接营销相关的用户画像时直接反对的权利,并且这项反对权应当被明确地提请数据主体注意。GDPR也规定,数据控制者在实施自动化处理对用户个人进行精准评价时,应采取适当的措施来保障数据主体的权益。
因此,用户画像以及自动化决策行为的合法与否,在很大程度上来源于数据主体是否同意。这就要求数据控制者在获取个人数据时,应当告知数据主体有关自动决策机制,包括数据画像及有关的逻辑程序和有意义的信息,以及此类决策对数据主体的意义和预期影响。
以上,GDPR对用户画像的规制主要包括用户知情同意、享有反对权和免受自动化决策影响权。虽然以直接营销为目的的数据处理可能被认为是合法的,但该数据处理行为应当考虑到用户对数据处理的目的有合理预期。
(二)美国
2018年6月28日美国加州政府快速通过了消费者隐私保护法案(以下简称CCPA)。CCPA旨在加强消费者隐私权和数据安全保护,被认为是美国国内最严格的消费者数据隐私保护立法,已于2020年1月1日正式生效。
CCPA规定企业不得因消费者行使告知、删除、修正等权利,而对消费者进行价格歧视,该价格差异是合理的除外。企业可以为个人信息的收集、出售或者删除提供财务激励,包括向消费者支付赔偿金。企业还可以以不同的价格、费率、水平或质量向消费者提供者商品或服务,如果价格或差异与消费者通过提供其数据而产生的价值直接相关。同样的,只有当消费者根据第1798.135节(该节明确规定了财务激励计划的实质性条款并可以由消费者随时撤销)在事先选择同意的情况下,企业才可以将消费者纳入财务激励计划中。
2020年11月3日,加州投票通过了2020年加州隐私权法(以下简称CPRA),CPRA修正并扩展了加州里程碑式的CCPA,为加州居民确立了新的数据隐私权,对企业和服务提供商施加了新的义务和责任。与CCPA相比,CPRA在财务激励计划方面更为严格,除了要求企业取得消费者的同意之外,还要求企业至少等待12个月,才能再次要求消费者加入此类计划。
(三)加拿大
1983年,加拿大颁布隐私法,规范联邦政府收集、使用和披露个人信息的行为。2000年,个人信息保护和电子文档法案(以下简称PIPEDA)通过,该法案规定了私人或者企业在进行商业活动时使用个信息的范围与准则。
作为加拿大最主要的联邦法规之一,PIPEDA一直是隐私权的保障。加拿大所有企业在从事商业活动的过程中收集、使用和披露个人信息时,均受到个人信息保护和电子文档法案制约。
(四)日本
个人信息保护法于2005年4月施行,2017年5月30日修订,对个人信息保护作出全面规定。 该法规定了处理个人信息的企业应当遵守的义务等。个人信息处理经营者遵守的基本规则。 个人信息处理经营者应在特定利用目的的范围内利用个人信息;在特定的利用范围之外予以利用时,以及向第三方提供个人数据(指构成个人信息数据库等的信息)时,应当事先取得本人的同意。而且,个人信息处理经营者应当采取安全管理个人数据所需的必要且恰当的措施。
(五)新加坡
新加坡议会通过了个人数据保护法的修正案,该修正案不仅加强了对消费者的保护,同时也支持企业对个人数据合法利用,即权利保护和数据利用并重。
(六)中国
在个人信息保护法出台以前,对于用户画像和个性化推荐行为的相关规定散见于网络安全法、电子商务法、消费者权益保护法、信息安全技术个人信息安全规范等法律法规和国家标准中。此外,消费者权益保护法第14条规定了消费者个人信息依法得到保护的权利;第29条规定了经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
但现有立法往往流于笼统,可操作性欠缺。企业常通过默示授权、强迫授权等方式来使用户同意其条款,以为其信息收集和处理行为提供合法性;个性化定价也难以纳入“发送商业信息”的范畴。
尽管2019年的《App违法违规收集使用个人信息行为认定方法》对未公开收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息和违反必要原则,收集与其提供的服务无关的个人信息等行为作出了具体的规定,填补了一些空白,但其毕竟只是一个部门规章。
借助个人信息保护法(草案)进入征求意见阶段的契机,寻找有效的规制路径,在大数据时代电子商务蓬勃发展的情况下是当务之急。
四、用户画像规制的可能进路
(一)个人信息分级保护
正如程啸教授所言:个人信息的保护不是为了保护而保护,关键在于给背后的东西予以保护。用户画像作为一种技术工具,需要保护的客体是它背后人们因为它所可能受损的权益。 用户画像的恰当使用可以为消费者提供便利、也会给企业带来更高的收益。基于此,有必要对其进行分类保护,以促进数据利用。
个人信息保护法(草案)将个人信息划分为敏感个人信息和非敏感个人信息。相对于《个人信息安全规范》第3.2条而言,个人信息保护法(草案)对敏感个人信息的定义划分似乎更为严格、范围有所限缩。本条对“敏感个人信息”的举例中,未列举“身份证件号码、通信记录和内容、财产信息、征信信息、住所信息、交易信息”,也未强调对“个人名誉”的影响。可能跟本条规定将“危害”限定到了“严重”的程度有关,因为在当今社会,数据泄露事件频频发生,前述信息在网络中进行交易屡见报端,而对个人人身、财产权益造成“严重”危害的却少见。
个人信息保护法(草案)将个人信息分级的做法,为用户画像的规制提供了思路。当企业在收集个人敏感信息进行用户画像时,应当受到比收集非敏感信息更为严格的限制。当敏感信息发生数据泄露时,企业应当承担更重的责任。
(二)个人权利的赋予
个人信息保护法(草案)第25条作出了与GDPR第22条类似的规定,即规定了反自动化决策权,强调自动化决策的透明和处理结果的公平合理,并为个人提供了救济途径。
用户拥有拒绝被算法自动化处理的权利。企业在收集用户信息时,应当遵循“告知 同意”原则,履行告知义务,告知其收集用户信息的范围、时间、用途等,并取得用户同意。
用户也应有权对自动化处理的决策提出质疑。当用户认为自动化决策对其产生了不利影响,如按歧视性的标签向其提供有差别的产品或服务等,可以提出异议,要求企业解释自动化决策的算法或者处理依据。
最后,用户应有就遭受的损失向企业提出赔偿请求等救济的权利。
(三)企业义务的承担
个人信息保护法(草案)第54条为个人信息处理者设立了事前风险评估义务,本条明确规定了需要进行事前风险评估的个人信息处理活动类别,并提出了风险评估报告和处理情况记录应当至少保存三年的具体要求。
此外,笔者认为还应当对企业(即个人信息处理者)附加事后补救义务。当企业的自动化决策行为对用户造成了损害时,企业可以设置人工介入手段,对决策的过程进行公开、对决策结果进行分析,使自动化决策的错误或偏差有机会得到纠正。
(四)人格权益和财产权益平衡保护
在数据执法领域,强监管和严格的法律责任是一个世界趋势。在欧盟,GDPR不仅设计了罚款等处罚机制,还包括了警告、训斥等强制措施,而最高罚款更是高达2000万欧元或者企业上年度4%的全球营业收入。在美国,监管机构试图用严厉的事后罚款来倒逼企业实现对个人信息的全面保护。
个人信息保护法(草案)第62条、第63条规定了个人信息处理者违法的法律责任。从法条来看,第62条第2款大幅提高了罚款上限金额,第63条规定了将违法行为记入档案的信用惩戒,有利于更好地对企业起到警示作用。
但在对违法者科以严格的法律责任时,也应该注意不要矫枉过正。应该区分企业的规模、种类以及违法行为的危害性,从而确定罚款的多少,避免因为过重的惩罚阻碍行业的发展。
法律责任的设置是一个追求平衡的过程。一方面,法律必须具有足够的震慑力,但另一方面,又不能随意加重责任。过于严苛的法律会对产业的发展造成巨大威胁。
结语
在互联网经济蓬勃发展的时代背景下,互联网企业越来越多地倾向于利用大数据技术收集用户信息,从而得出用户画像,进行精准的广告投放和商品营销。这种行为一方面节约了企业的广告成本、提高了产品的推广效率,便利了消费者,使其能快速获得想要的商品信息;另一方面也带来了大数据“杀熟”、价格歧视的问题,并且还往往伴随着消费者个人信息的泄露和被侵权的问题。如何在企业的有序发展和消费者权利保护之间寻得一个平衡点,成为如今亟待解决的问题。本文从比较中外关于用户画像的法律规定出发,发现目前普遍存在着个人信息界限模糊、相关规制机制仍待完善的问题,提出了从个人权利的赋予与限制、企业义务的承担与限制着手,分别加以不同规制,以求平衡保护的建议。希望能在最大化利用大数据技术、最大化享受数据价值的同时,保护好用户的个人信息权益,以追求保护与利用两头强化的双赢局面。