在大数据和移动互联网年代,为分析用户的群体分布特征和多样化、个性化需求,绝大部分网络运营者和网络产品、服务提供者在业务活动中均会使用用户画像(user profiling)。何为“用户画像”?在具备强制执行效力的、与数据收集和处理相关的法律法规中均未提及该概念,而国家标准《个人信息安全规范》(标准号:GB/T 35273-2017)将其定义为“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。”《个人信息安全规范》为推荐性国家标准,属于国家鼓励采用的标准,并不具有强制执行效力,监管部门不能直接援引该文件作为直接的执法依据。但是,国家互联网信息办公室网络安全协调局在约谈“支付宝年度账单事件”当事企业负责人时,该局负责人明确指出:“支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神……应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生”[1]。可见,在事关全民个人信息安全的热点事件中,习惯于扩张权力边界的行政部门将推荐性标准作为强制性标准适用一般并不会受到舆论以及肇事企业的质疑。为此,杨春宝律师团队认为,在实践中,无论对执法机关还是企业而言,《个人信息安全规范》关于用户画像的规定都具有指引性和参照性作用。
《个人信息安全规范》的内容参考了外国关于个人信息保护的相关立法,其中也包括欧盟《通用数据保护条例》(GeneralData Protection Regulation,GDPR于2018年5月25日正式施行)。GDPR不仅适用于欧盟企业,对于在欧盟内设有分支机构的数据控制者或数据处理者,只要个人数据处理活动发生在分支机构开展活动的场景中,即使实际的数据处理活动不在欧盟内发生,也应适用GDPR;而对于未在欧盟内设立分支机构的数据控制者或数据处理者,只要为欧盟内的数据主体提供商品或服务(无论是否支付对价),或监控欧盟内数据主体的行为,均应适用GDPR。因此,对于在欧盟设有分支机构、开展跨境业务、进行全球化运营的中国企业,尤其是构成《网络安全法》下的网络运营者和网络产品、服务提供者而言,均应关注是否可能适用GDPR,关注GDPR关于用户画像的规定[2]。杨春宝律师团队拟通过比较分析GDPR与《个人信息安全规范》关于用户画像的相关规定,以期为相关企业合规使用用户画像提供有益参考。
一、基于用户画像收集的与自然人相关的数据构成个人数据/个人信息[3]
GDPR将“个人数据”定义为“与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人,是指借助标识符,例如姓名、身份标识、位置数据、网上标识符,或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素,可被直接或间接识别出的个人。”虽然GDPR对用户画像定义为“通过自动化方式处理个人数据的活动”,但其在第2条“适用范围”中规定:“本条例适用于个人数据的全自动或部分自动处理,以及形成或旨在形成用户画像的非自动个人数据处理。”也就是说,在GDPR语境下,不仅用户画像自身是“处理个人数据的活动”,而且“形成或旨在形成用户画像”的活动亦属于个人数据处理,因此,基于用户画像收集的与自然人相关的数据构成个人数据。
而根据《个人信息安全规范》,一方面,该文件在《网络安全法》基础上规定“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,……判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,则由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。”基于用户画像收集的与自然人相关的数据显然符合前述特征;另一方面,在《个人信息安全规范》附录A“个人信息举例”中,也列举了例如网站浏览记录、软件使用记录、点击记录、行踪轨迹等基于用户画像所收集的信息。为此,杨春宝律师团队认为,基于用户画像收集的与自然人相关的数据构成《网络安全法》及《个人信息安全规范》所定义的个人信息。企业使用用户画像时应当严格遵守《网络安全法》及《个人信息安全规范》关于个人信息保护的规定,尽力防范合规风险。
二、合规使用用户画像应当注意的问题
1、GDPR相关规定分析
根据GDPR的规定,使用用户画像如果对数据主体产生法律上的影响或者其他重大影响,应符合以下条件之一:(1)用户画像对于数据主体与数据控制者的合同签订或合同履行是必要的;(2)用户画像是欧盟或成员国的法律所授权的,数据控制者是用户画像的主体,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;(3)基于数据主体的明确同意。即使符合上述第(1)种和第(3)种情形,数据控制者也应当采取适当措施保障数据主体的权利、自由与正当利益,以及数据主体对数据控制者进行人工干涉,以便表达其观点和对用户画像进行异议的基本权利。如果使用用户画像对与自然人相关的个人因素进行系统性与全面性的评价,则数据控制者应当在处理之前评估计划的处理进程对个人数据保护的影响。
就上述三种使用用户画像的情形,由欧盟或成员国的法律授权使用的情形较为特定,而在大数据业务模式中,大多数情形下使用用户画像也很难说对于数据主体与数据控制者的合同签订或合同履行是必要的,因此,在绝大多数情形下,需要取得数据主体对使用用户画像的明确同意。对此,GDPR的要求主要包括:
首先,应当告知数据主体存在用户画像并提供相关逻辑、包括此类处理对于数据主体产生的预期后果的有效信息。
其次,应当明确告知数据主体享有对用户画像的反对权。如果数据主体表示反对,数据控制者须立即停止针对这部分个人数据的处理行为,除非数据控制者能够证明,相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或抗辩法律性主张。此外,数据主体有权随时反对为了直接营销目的而处理个人数据,包括反对和直接营销相关的用户画像。
第三,针对特殊类型个人数据,例如性取向、性生活、宗教信仰、政治信仰等敏感数据,除非数据主体明确同意基于一个或多个特定目的而授权处理其个人数据(但成员国可以通过立法明确规定即便数据主体同意,也禁止基于特殊类型个人数据的用户画像),或对数据的处理对实现实质性的公共利益是必要的,并且已经采取了保护数据主体权利、自由与正当利益的措施,用户画像不应基于特殊类型个人数据。
2、《个人信息安全规范》相关规定分析
《个人信息安全规范》将用户画像区分为直接用户画像与间接用户画像:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像;使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。《个人信息安全规范》要求个人信息控制者制定的隐私政策中应包含收集、使用个人信息的目的以及目的所涵盖的各个业务功能,其中明确列出应包含将个人信息用于形成直接用户画像及其用途。除目的所必需外,个人信息控制者在使用个人信息时,应消除明确身份指向性,避免精确定位到特定个人。比如:为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。
3、比较分析
对比GDPR与《个人信息安全规范》关于使用用户画像的相关规定,我们可以看到,GDPR的合规要求更为严格、规定更为具体,GDPR要求在符合处理个人数据的一般规定的基础上,还需符合对用户画像的特别规定。这些要求正在极大地实质影响大数据业务模式,此前曝出的超过5000万Facebook用户的个人数据被剑桥分析公司未经许可处理,并用于有针对性地推送信息和发布竞选广告以影响美国选民的选择的事件,即暴露出使用用户画像对个人数据违法处理与滥用的问题。在我国,用户画像也被大量使用,尤其是我国网络支付与网络购物得到广泛普及的现实情况下,用户被收集并处理的个人信息数量更大、维度也更广。而《网络安全法》及相关法律法规及配套规则中并未明确规范“用户画像”,作为推荐性国家标准,《个人信息安全规范》既没有强制执行力,其关于用户画像的具体规定也比较少,并且也比较原则性。
在国家互联网信息办公室于2018年5月9日发布的《数字中国建设发展报告(2017年)》中提到:“根据有关机构测算,2017年我国大数据核心产业规模为234亿元,同比增长39%。大数据应用正在从互联网、电信、金融、交通、医疗等领域向传统领域拓展。我国大型互联网企业在海量数据采集、存储和处理等方面能力跻身国际前列。”杨春宝律师团队相信,在飞速增长的大数据产业中,特别是在电子商务和网络支付行业的大数据分析中,通过用户画像收集的信息不仅数量庞大,而且具有巨大的经济价值。随着GDPR与《个人信息安全规范》的施行,用户画像的收集、使用及与第三方共享过程中的合规问题就显得特别突出,值得广大跨境运营企业,特别是网络运营者和网络产品、服务提供者予以特别关注。
[1]参见http://www.cac.gov.cn/2018-01/10/c_1122234687.htm
[2]GDPR将“用户画像”定义为“通过自动化方式处理个人数据的活动,用于评估、分析以及预测个人的特定方面,可能包括工作表现、经济状况、位置、健康状况、个人偏好、可信赖度或者行为表现等”。
[3]GDPR使用“personal data”即“个人数据”的表达,而在包括《网络安全法》、《个人信息安全规范》在内的我国相关法律及标准体系中则使用“个人信息”的表达。