本文首发于无讼APP,未经作者许可禁止转载。
你知道吗,我现在几乎都看不到新闻了,我看到的都是新闻APP认为我想看的。
——冯唐《搜神记》
一、程序化广告中的用户识别与用户画像
刚在淘宝买了个数据线,咸鱼就来问:“有闲置的数据线?快来卖二手”。喜茶爱好者出现在某广场,打开网页就会发现附近的喜茶广告扑面而来……。这种个性化精准推荐,行业内称为程序化精准广告。在程序化广告购买模式下,广告主可以通过DSP(需求方平台)投放到Ad Exchange(广告交易平台)或SSP(供应方平台)中的众多媒体,除了对用户属性进行精准定向之外,还可通过DMP(数据管理平台)和PCP(程序化创意平台)的个性化创意制作,实现“千人千面”的创意展示。
在PC端,不同系统的数据都是基于自己域名种下的cookie来标识用户,在上述程序化广告购买模式图中,用户流向轨迹是网站到Adx/SSP到DSP再到广告主官网,每个平台都需为PC用户打上cookie来进行标识,但不同平台对cookie的命名规则都不同,例如对于同一用户,DSP平台可能命名为123,SSP平台可能命名为ABC。目前,因移动设备号ID是固定的,且能在不同APP共享,移动设备识别不存在上述问题,而PC端主要是通过cookie映射技术来打通Adx与DSP、DSP与DMP、Adx与DMP的cookieID,以便识别出其为同一个用户。
“形象一点说:就是王五在A的网站名字叫‘张三’、在B网站的名字叫‘李四’,cookie映射的目的是让A网站同B网站交换一下关于王五的名片,这样A网站上的‘张三’访问B网站的时候,B网站就知道本网站的‘李四’回来了。”[1]于是乎,DSP平台就能此跨越不同网站识别用户并根据“4W1H”模型(who、when、where、what、how)来进行用户画像,而且随着识别技术发展,会衍生出更多的信息数据,多重来源的用户数据进行不断累积分析,最终形成更为完整的用户画像,使人们无处遁形。
“雁过留声,人过留痕”,这些通过cookie机制获取的每一个用户标签最终烙印成了具有商业价值的用户画像。因此,在析清cookie机制下程序化精准广告个人信息保护机制的设置之前,明确用户画像究竟为何物及其法律属性、权益归属尤为重要。
二、欧盟语境下用户画像的法律问题
目前,数据治理的全球意识仍然难以协调,因此本部分主要从极富代表意义的欧盟的《一般数据保护条例》中的法律规制进行探讨。GDPR的重大修订之一就是在《关于个人数据处理保护与自由流动指令》(95/46/EC,简称《95指令》规定的”免受自动化决策“的基础上增加了用户画像(profiling)。
GDPR在第2条“适用范围”中规定:“本条例适用于个人数据的全自动或部分自动处理,以及形成或旨在形成用户画像的非自动个人数据处理。也就是说,在GDPR语境下,基于用户画像收集的与自然人相关的数据皆构成个人数据,同时上述适用范围也显现了GDPR立法者监管视角的改变。早在GDPR之前,欧盟公布的《隐私和电子通讯指令》(EPD)以及EPD修订的数个版本中,监管者局限于cookie技术本身,反复讨论cookie技术运用的过程,而从GDPR创新地引入用户画像概念可以看出监管思路的改变。根据GDPR,用户画像是指对个人数据进行任何任何自动化处理,包括利用个人数据评估与自然人有关的特定方面,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置或行踪相关的分析和预测。[2]可见,GDPR立法者不再局限于cookie技术运用的细节,而是从cookie等其它技术收集的数据结果进行规制。易言之,不管数据控制者是使用cookie技术还是利用向网页埋入代码形式抑或是利用单点登录等其它技术方案,则需要遵循GDPR对用户画像的规定。
在用户画像问题上,GDPR从数据控制者和数据主体两个视角出发,规定了从收集到使用的整个过程。与对数据控制者义务的规定相比,GDPR对数据主体权利的规定的体系相对而言比较清晰,因此本部分着重从数据主体的角度进行分析。就GDPR构建的个人数据保护体系而言,“知情权”的重要性与数据主体的“同意”一样至关重要,因为数据主体只有被清楚告知他们所同意的是什么,同意才有意义。[3]因此,在规定企业取得数据主体的明确同意来进行数据画像之余,GDPR虽没有直接使用知情权(right to information)一词,但多个条款都涉及数据主体的知情权,例如GDPR第12条至第14条是关于透明性的原则,规定了数据控制者收集个人数据时应提供的信息,例如是否采用了自动化决策机制,包括数据画像所涉及的逻辑程序以及对数据主体处理过程中的重要意义和预期结果。另外,GDPR第三章第二节还规定访问权(right of access)从另一角度来加强数据主体的“知情权”。根据访问权,数据主体有权自发、主动向数据控制者要求提供是否存在自动化决策(包括用户画像),决策逻辑等信息的权利。相对于知情权,访问权是特定数据主体主动向数据控制者申请披露相关信息,而“知情权”是基于数据控制者的主动披露。
在数据控制者对数据主体的数据进行利用的问题上,GDPR赋予数据主体修改权(right to rectification)、删除权及被遗忘权(right to erasure or right to be forgotten)、限制处理权(right to restriction of processing)来对数据控制者控制之下的数据进行干预。上述三种权利是相互关联的,修改权利是对错误信息的修改,限制处理权是根据数据主体的要求将可删除的信息进行限制处理,两者都是删除权的缓和形式。[4]在上述三种权利之外,GDPR新设了一种权利类型即可携带权,可携带权进一步增强了个人的信息控制权,但也有观点认为,该权利要求信息控制者按照个人的要求提供通用机读格式的信息,这就需要信息控制者按照以后的具体根式要求作出调整,该权利使得个人转移信息的难度大大降低,必然会增强各个信息控制者之间的市场竞争程度。[5]而最令人关注的是被遗忘权,被遗忘权所就用户画像来说,针对的情况是某段时间收集分析的用户画像可能是客观的,价值也相对较高,但随着时间的推移,过去的数据画像已经不能代表将来,利用价值也随之减弱,此时应赋予数据主体要求将该数据予以删除的权利,但具体到个案仍需进行利益之间的衡量。
而在用户救济方面,GDPR则赋予用户撤回同意和拒绝的权利。基于用户同意基础采集的数据,GDPR第7.3款规定了用户可撤回的权利。而对于不经数据主体同意即可使用个人数据的情况下,则赋予数据主体一项对抗数据控制者使用的权利即拒绝权。概言之,当对数据的处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要(包含数据画像)以及追求第三方合法利益之必要(包含基于此的数据画像),数据主体有权予以反对,但数据控制者证明处理数据的合法依据优于数据主体的利益、权利和自由,或者为法律诉讼所必要时,可以继续处理该等数据。其次,若数据处理适用于直销的目的,则数据主体可以随时拒绝此类数据处理行为。
权利和义务总是相伴随的,GDPR从数据主体权利角度进行规定,对数据控制者的义务大多不再重复规定。数据控制者的核心义务主要是在取得数据主体的明确同意后,确保数据安全。GDPR对于数据处理风险一般性的规定,“用大白话说就是,你要干什么事,就要考虑会对外界造成什么风险;为了降低这些风险,需要提出与面临风险相称的保护措施;这些保护措施还必须经常评估和更新,以适应风险态势的变化。”[6]而对于高风险的数据处理行为,GDPR在第35条专门规定了数据控制者应当开展数据保护影响评估(data protection impact assessment)。该条第三款就规定了基于自动化数据处理,包括数字画像,对数据主体个人方面开展系统和广泛的评估,且评估对个人能产生法律效力,或类似重大的影响,数据影响评估就被特别要求。
三、中国语境下用户画像的法律问题
2018年5月1日前,我国对用户画像的监管要求一直处于灰色地带,随着2018年5月1日开始实施的GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)的实施,用户画像的合法授权才初步明确。虽然《个人信息安全规范》性质上属于推荐性国家标准不具有法律强制力,但微信、淘宝、支付宝、新浪微博等APP的《隐私保护政策》,均参照了《个人信息安全规范》的附录D《隐私政策模板》,实践层面上企业可将其作为合规指引。
《个人信息安全规范》不仅对用户画像”(user profiling)作了清晰的定义,也对用户画像的使用限制及信息系统自动决策约束机制做了相关规定。《个人信息安全规范》第3.7款对“用户画像”(user profiling)作了清晰的定义,即通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。《个人信息安全规范》将用户画像区分为直接用户画像与间接用户画像:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像;使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。《个人信息安全规范》要求个人信息控制者制定的隐私政策中应包含收集、使用个人信息的目的以及目的所涵盖的各个业务功能,其中明确列出应包含将个人信息用于形成直接用户画像及其用途。除目的所必需外,个人信息控制者在使用个人信息时,应消除明确身份指向性,避免精确定位到特定个人。比如:为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。
经验世界中的问题从来不会因法律的阙如而消失,当一些新商业元素运转时,就会产生这个领域的个性问题。为了紧跟行业发展热点,吸收监管执法中的一些实践经验,2018年5月1日生效的《个人信息安全规范》进行了首次修订,于2019年2月1日形成了《信息安全技术个人信息安全规范(草案)》(以下简称《规范(草案)》)征求意见。2019年6月25日对《规范(草案)》又进行了再一次的完善并形成了《信息安全技术 个人信息安全规范(征求意见稿)》(以下简称《规范(征求意见稿)》),再次对外公开征求意见。
随着《个人信息安全规范》从《规范(草案)》到《规范(征求意见稿)》的变化,对用户画像的法律规制也更具体、清晰。虽相比GDPR的合规要求,我国的
规定相比欧宽松,也尚存模糊地方,但在用户画像法律规制上也在积极探索,输出相关规则。例如《规范(征求意见稿)》除了新增用户画像的使用限制来更好地规制使用用户画像过程中可能产生的违反公序良俗和法律法规等情形之外,还新增对信息系统自动决策的安全影响评估要求和涉及申诉的决策结果的人工复核要求。新增此项要求的主要原因在于信息系统自动决策的基础之一是收集与分析大量的个人信息,通过引入安全影响评估并采取相应安全措施,一定程度可降低个人信息的安全风险。另外在《规范(草案)》要求提供申诉方法的基础上,《规范(征求意见稿)》进一步对涉及申诉的决策结果增加人工复核的要求,这对保护数据主体的个人信息利益更进一步。下图是笔者归纳的我国目前涉及用户画像的相关规定。
四、司法案例下用户画像的法律权益归属
目前,我国司法实践上直接因用户画像发生相关法律争议的案件还不是很多,本部分通过安徽美景信息科技有限公司与淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷这一典型案例来评析用户画像的法律权益归属问题。淘宝公司系阿里巴巴卖家端“生意参谋”零售电商数据产品的开发者和运营者。“生意参谋”数据产品分为市场行情标准版与市场行情专业版等基本版本。市场行情专业版具有“买家、卖家人群画像”等七大板块。美景公司通过其开发运营的“咕咕互助平台”软件、“咕咕生意参谋众筹”网站实施了分享、公用、出租“生意参谋”账户等行为并从中牟利,并且主张淘宝公司未经淘宝商户及淘宝软件用户同意,私自抓取淘宝商户或淘宝软件、天猫用户的相关信息,侵犯了用户个人隐私以及商户经营秘密,具有违法性,因此淘宝公司诉美景公司停止不正当竞争行为并赔偿损失。
本案中一审法院归纳的争议焦点之一便是淘宝公司对于“生意参谋”数据产品是否享有合法权益,享有何种法定权益。对此,法院在回应争议焦点之前提出一个争点分论即在明确淘宝公司对数据产品是否享有合法权益之前应析清其作为网络运营者与相关网络用户对于网络用户信息、原始网络数据、数据产品的权利边界。
对于该争点分论,一审法院在事实论据以及法律论据方面的阐述并不多,主要集中于论证方面。一审法院认为网络用户信息通常情况下并不当然具有直接的经济价值,在无法律规定或合同特别约定的情况下,网络用户对于其提供于网络运营者的单个用户信息尚无独立的财产权或财产性权。而原始网络数据,网络运营者虽然在此转换过程中付出了一定劳动,但原始网络数据的内容仍未脱离原网络用户信息范围,故网络运营者对于原始网络数据仍应受制于网络用户对于其所提供的用户信息的控制,不能享有独立的权利,本案中,“生意参谋”数据产品中的数据内容系淘宝公司的劳动成果,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据,应当归淘宝公司所享有。
综上,一审法院对于淘宝公司诉称其对涉案“生意参谋”数据产品享有竞争性财产权益的诉讼主张予以支持,但对于淘宝公司诉称其对涉案“生意参谋”数据产品享有财产所有权的诉讼主张,一审法院认为财产所有权作为一项绝对权利,若赋予网络运营者享有网络大数据产品财产所有权,则意味不特定多数人将因此承担相应的义务。是否赋予网络运营者享有网络大数据产品财产所有权,事关民事法律制度的确定,限于我国法律目前对于数据产品的权利保护尚未作出具体规定,基于“物权法定”原则,故对淘宝公司该项诉讼主张,一审法院不予确认。
一般来说,论据充分,论证就相对简单,论据单薄,论证就相对复杂。本案一审法院的审判逻辑层次就属于后一种情况,这一定程度上说明了法律规制的相对缺失及现目前有关的法律规定无法直接援引的司法尴尬。下图为笔者整理的一审法院的审判逻辑层次图。
而二审法院则根据《反不正当竞争法》第二条第二款规定,认为只要其可以给经营者带来营业收入,或者属于带来潜在营业收入的交易机会或竞争优势,即构成竞争法意义上的无名权益,因此,淘宝公司对“生意参谋”数据产品享有竞争法意义上的无名权益。随着“互联网2.0”时代的到来,用户从信息的接受者变为制造者,这导致信息量级的又一次剧涨,[7]由此催生了一系列新类型案件和新法律法规,而裁判案例和法律的相继发布必然也在一定程度上重塑商业模式,这个交互过程仍在进行,用户画像商业模式和法律上的故事还处于”未完待续“的状态。
编辑/daicy
参 考 文 献
[1] 吴俊:《程序化广告实战》,机械工业出版社2017年版,第72页。
[2]京东法律研究院:《欧盟数据宪章》--<一般数据保护条例GDPR评述及实务指引》,法律出版社2018年版,第26页。
[3]竞天公诚网络安全与数据隐私团队:《如何保障数据主体的知情权?》,载https://law.wkinfo.com.cn/focus/detail/MTIwMjA%3D?module=cyber-security,最后访问日期:2019年8月27日。
[4]京东法律研究院:《欧盟数据宪章》--<一般数据保护条例GDPR评述及实务指引》,法律出版社2018年版,第61页。
[5]刘云:《欧洲个人信息保护法的发展历程及其改革创新》,载《暨南学报》2017年第2期。
[6]洪延青:《解锁GDPR的正确姿势:风险路径》,载https://mp.weixin.qq.com/s?src=11×tamp=1567089776&ver=1820&signature=7iMgMaL3c*ZK40I8E8bi8j*AkWuAgSC7sT9k-yqGHEgDaflwug2HtS06KM0fMGMwmTSkGTp2S091C6HgASxSXuJfiq6595B89fBX01VJomQ1SlBs*QT*j-2vQ6A0bvKn&new=1,最后访问日期:2019年8月27日。