在大數(shù)據(jù)和移動互聯(lián)網(wǎng)年代，為分析用戶的群體分布特征和多樣化、個性化需求，絕大部分網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者在業(yè)務(wù)活動中均會使用用戶畫像（user profiling）。何為“用戶畫像”？在具備強制執(zhí)行效力的、與數(shù)據(jù)收集和處理相關(guān)的法律法規(guī)中均未提及該概念，而國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》（標(biāo)準(zhǔn)號：GB/T 35273-2017）將其定義為“通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面做出分析或預(yù)測，形成其個人特征模型的過程。”《個人信息安全規(guī)范》為推薦性國家標(biāo)準(zhǔn)，屬于國家鼓勵采用的標(biāo)準(zhǔn)，并不具有強制執(zhí)行效力，監(jiān)管部門不能直接援引該文件作為直接的執(zhí)法依據(jù)。但是，國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局在約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人時，該局負(fù)責(zé)人明確指出：“支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發(fā)布的《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)的精神……應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全法的要求，加強對支付寶平臺的全面排查，進行專項整頓，切實采取有效措施，防止類似事件再次發(fā)生”[1]。可見，在事關(guān)全民個人信息安全的熱點事件中，習(xí)慣于擴張權(quán)力邊界的行政部門將推薦性標(biāo)準(zhǔn)作為強制性標(biāo)準(zhǔn)適用一般并不會受到輿論以及肇事企業(yè)的質(zhì)疑。為此，楊春寶律師團隊認(rèn)為，在實踐中，無論對執(zhí)法機關(guān)還是企業(yè)而言，《個人信息安全規(guī)范》關(guān)于用戶畫像的規(guī)定都具有指引性和參照性作用。

《個人信息安全規(guī)范》的內(nèi)容參考了外國關(guān)于個人信息保護的相關(guān)立法，其中也包括歐盟《通用數(shù)據(jù)保護條例》（GeneralData Protection Regulation，GDPR于2018年5月25日正式施行）。GDPR不僅適用于歐盟企業(yè)，對于在歐盟內(nèi)設(shè)有分支機構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要個人數(shù)據(jù)處理活動發(fā)生在分支機構(gòu)開展活動的場景中，即使實際的數(shù)據(jù)處理活動不在歐盟內(nèi)發(fā)生，也應(yīng)適用GDPR；而對于未在歐盟內(nèi)設(shè)立分支機構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)（無論是否支付對價），或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的行為，均應(yīng)適用GDPR。因此，對于在歐盟設(shè)有分支機構(gòu)、開展跨境業(yè)務(wù)、進行全球化運營的中國企業(yè)，尤其是構(gòu)成《網(wǎng)絡(luò)安全法》下的網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者而言，均應(yīng)關(guān)注是否可能適用GDPR，關(guān)注GDPR關(guān)于用戶畫像的規(guī)定[2]。楊春寶律師團隊擬通過比較分析GDPR與《個人信息安全規(guī)范》關(guān)于用戶畫像的相關(guān)規(guī)定，以期為相關(guān)企業(yè)合規(guī)使用用戶畫像提供有益參考。

一、基于用戶畫像收集的與自然人相關(guān)的數(shù)據(jù)構(gòu)成個人數(shù)據(jù)/個人信息[3]

GDPR將“個人數(shù)據(jù)”定義為“與一個確定的或可識別的自然人相關(guān)的任何信息。可被識別的自然人,是指借助標(biāo)識符，例如姓名、身份標(biāo)識、位置數(shù)據(jù)、網(wǎng)上標(biāo)識符，或借助與該個人生理、心理、基因、精神、經(jīng)濟、文化或社會身份特定相關(guān)的一個或多個因素，可被直接或間接識別出的個人。”雖然GDPR對用戶畫像定義為“通過自動化方式處理個人數(shù)據(jù)的活動”，但其在第2條“適用范圍”中規(guī)定：“本條例適用于個人數(shù)據(jù)的全自動或部分自動處理，以及形成或旨在形成用戶畫像的非自動個人數(shù)據(jù)處理。”也就是說，在GDPR語境下，不僅用戶畫像自身是“處理個人數(shù)據(jù)的活動”，而且“形成或旨在形成用戶畫像”的活動亦屬于個人數(shù)據(jù)處理，因此，基于用戶畫像收集的與自然人相關(guān)的數(shù)據(jù)構(gòu)成個人數(shù)據(jù)。

而根據(jù)《個人信息安全規(guī)范》，一方面，該文件在《網(wǎng)絡(luò)安全法》基礎(chǔ)上規(guī)定“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，……判定某項信息是否屬于個人信息，應(yīng)考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應(yīng)有助于識別出特定個人。二是關(guān)聯(lián)，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應(yīng)判定為個人信息。”基于用戶畫像收集的與自然人相關(guān)的數(shù)據(jù)顯然符合前述特征；另一方面，在《個人信息安全規(guī)范》附錄A“個人信息舉例”中，也列舉了例如網(wǎng)站瀏覽記錄、軟件使用記錄、點擊記錄、行蹤軌跡等基于用戶畫像所收集的信息。為此，楊春寶律師團隊認(rèn)為，基于用戶畫像收集的與自然人相關(guān)的數(shù)據(jù)構(gòu)成《網(wǎng)絡(luò)安全法》及《個人信息安全規(guī)范》所定義的個人信息。企業(yè)使用用戶畫像時應(yīng)當(dāng)嚴(yán)格遵守《網(wǎng)絡(luò)安全法》及《個人信息安全規(guī)范》關(guān)于個人信息保護的規(guī)定，盡力防范合規(guī)風(fēng)險。

二、合規(guī)使用用戶畫像應(yīng)當(dāng)注意的問題

1、GDPR相關(guān)規(guī)定分析

根據(jù)GDPR的規(guī)定，使用用戶畫像如果對數(shù)據(jù)主體產(chǎn)生法律上的影響或者其他重大影響，應(yīng)符合以下條件之一：（1）用戶畫像對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的；（2）用戶畫像是歐盟或成員國的法律所授權(quán)的，數(shù)據(jù)控制者是用戶畫像的主體，并且已經(jīng)制定了恰當(dāng)?shù)拇胧┍ＷC數(shù)據(jù)主體的權(quán)利、自由與正當(dāng)利益；（3）基于數(shù)據(jù)主體的明確同意。即使符合上述第（1）種和第（3）種情形，數(shù)據(jù)控制者也應(yīng)當(dāng)采取適當(dāng)措施保障數(shù)據(jù)主體的權(quán)利、自由與正當(dāng)利益，以及數(shù)據(jù)主體對數(shù)據(jù)控制者進行人工干涉，以便表達(dá)其觀點和對用戶畫像進行異議的基本權(quán)利。如果使用用戶畫像對與自然人相關(guān)的個人因素進行系統(tǒng)性與全面性的評價，則數(shù)據(jù)控制者應(yīng)當(dāng)在處理之前評估計劃的處理進程對個人數(shù)據(jù)保護的影響。

就上述三種使用用戶畫像的情形，由歐盟或成員國的法律授權(quán)使用的情形較為特定，而在大數(shù)據(jù)業(yè)務(wù)模式中，大多數(shù)情形下使用用戶畫像也很難說對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的，因此，在絕大多數(shù)情形下，需要取得數(shù)據(jù)主體對使用用戶畫像的明確同意。對此，GDPR的要求主要包括：

首先，應(yīng)當(dāng)告知數(shù)據(jù)主體存在用戶畫像并提供相關(guān)邏輯、包括此類處理對于數(shù)據(jù)主體產(chǎn)生的預(yù)期后果的有效信息。

其次，應(yīng)當(dāng)明確告知數(shù)據(jù)主體享有對用戶畫像的反對權(quán)。如果數(shù)據(jù)主體表示反對，數(shù)據(jù)控制者須立即停止針對這部分個人數(shù)據(jù)的處理行為，除非數(shù)據(jù)控制者能夠證明，相比數(shù)據(jù)主體的利益、權(quán)利和自由，具有壓倒性的正當(dāng)理由需要進行處理，或者處理是為了提起、行使或抗辯法律性主張。此外，數(shù)據(jù)主體有權(quán)隨時反對為了直接營銷目的而處理個人數(shù)據(jù)，包括反對和直接營銷相關(guān)的用戶畫像。

第三，針對特殊類型個人數(shù)據(jù)，例如性取向、性生活、宗教信仰、政治信仰等敏感數(shù)據(jù)，除非數(shù)據(jù)主體明確同意基于一個或多個特定目的而授權(quán)處理其個人數(shù)據(jù)（但成員國可以通過立法明確規(guī)定即便數(shù)據(jù)主體同意，也禁止基于特殊類型個人數(shù)據(jù)的用戶畫像），或?qū)?shù)據(jù)的處理對實現(xiàn)實質(zhì)性的公共利益是必要的，并且已經(jīng)采取了保護數(shù)據(jù)主體權(quán)利、自由與正當(dāng)利益的措施，用戶畫像不應(yīng)基于特殊類型個人數(shù)據(jù)。

2、《個人信息安全規(guī)范》相關(guān)規(guī)定分析

《個人信息安全規(guī)范》將用戶畫像區(qū)分為直接用戶畫像與間接用戶畫像：直接使用特定自然人的個人信息，形成該自然人的特征模型，稱為直接用戶畫像；使用來源于特定自然人以外的個人信息，如其所在群體的數(shù)據(jù)，形成該自然人的特征模型，稱為間接用戶畫像。《個人信息安全規(guī)范》要求個人信息控制者制定的隱私政策中應(yīng)包含收集、使用個人信息的目的以及目的所涵蓋的各個業(yè)務(wù)功能，其中明確列出應(yīng)包含將個人信息用于形成直接用戶畫像及其用途。除目的所必需外，個人信息控制者在使用個人信息時，應(yīng)消除明確身份指向性，避免精確定位到特定個人。比如：為準(zhǔn)確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業(yè)廣告目的時，則宜使用間接用戶畫像。當(dāng)僅依據(jù)信息系統(tǒng)的自動決策而做出顯著影響個人信息主體權(quán)益的決定時（例如基于用戶畫像決定個人信用及貸款額度，或?qū)⒂脩舢嬒裼糜诿嬖嚭Y選），個人信息控制者應(yīng)向個人信息主體提供申訴方法。

3、比較分析

對比GDPR與《個人信息安全規(guī)范》關(guān)于使用用戶畫像的相關(guān)規(guī)定，我們可以看到，GDPR的合規(guī)要求更為嚴(yán)格、規(guī)定更為具體，GDPR要求在符合處理個人數(shù)據(jù)的一般規(guī)定的基礎(chǔ)上，還需符合對用戶畫像的特別規(guī)定。這些要求正在極大地實質(zhì)影響大數(shù)據(jù)業(yè)務(wù)模式，此前曝出的超過5000萬Facebook用戶的個人數(shù)據(jù)被劍橋分析公司未經(jīng)許可處理，并用于有針對性地推送信息和發(fā)布競選廣告以影響美國選民的選擇的事件，即暴露出使用用戶畫像對個人數(shù)據(jù)違法處理與濫用的問題。在我國，用戶畫像也被大量使用，尤其是我國網(wǎng)絡(luò)支付與網(wǎng)絡(luò)購物得到廣泛普及的現(xiàn)實情況下，用戶被收集并處理的個人信息數(shù)量更大、維度也更廣。而《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)及配套規(guī)則中并未明確規(guī)范“用戶畫像”，作為推薦性國家標(biāo)準(zhǔn)，《個人信息安全規(guī)范》既沒有強制執(zhí)行力，其關(guān)于用戶畫像的具體規(guī)定也比較少，并且也比較原則性。

在國家互聯(lián)網(wǎng)信息辦公室于2018年5月9日發(fā)布的《數(shù)字中國建設(shè)發(fā)展報告（2017年）》中提到：“根據(jù)有關(guān)機構(gòu)測算，2017年我國大數(shù)據(jù)核心產(chǎn)業(yè)規(guī)模為234億元，同比增長39%。大數(shù)據(jù)應(yīng)用正在從互聯(lián)網(wǎng)、電信、金融、交通、醫(yī)療等領(lǐng)域向傳統(tǒng)領(lǐng)域拓展。我國大型互聯(lián)網(wǎng)企業(yè)在海量數(shù)據(jù)采集、存儲和處理等方面能力躋身國際前列。”楊春寶律師團隊相信，在飛速增長的大數(shù)據(jù)產(chǎn)業(yè)中，特別是在電子商務(wù)和網(wǎng)絡(luò)支付行業(yè)的大數(shù)據(jù)分析中，通過用戶畫像收集的信息不僅數(shù)量龐大，而且具有巨大的經(jīng)濟價值。隨著GDPR與《個人信息安全規(guī)范》的施行，用戶畫像的收集、使用及與第三方共享過程中的合規(guī)問題就顯得特別突出，值得廣大跨境運營企業(yè)，特別是網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者予以特別關(guān)注。

[1]參見http://www.cac.gov.cn/2018-01/10/c_1122234687.htm

[2]GDPR將“用戶畫像”定義為“通過自動化方式處理個人數(shù)據(jù)的活動，用于評估、分析以及預(yù)測個人的特定方面，可能包括工作表現(xiàn)、經(jīng)濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現(xiàn)等”。

[3]GDPR使用“personal data”即“個人數(shù)據(jù)”的表達(dá)，而在包括《網(wǎng)絡(luò)安全法》、《個人信息安全規(guī)范》在內(nèi)的我國相關(guān)法律及標(biāo)準(zhǔn)體系中則使用“個人信息”的表達(dá)。