˙
新闻与出版物
【前沿思考】直接用户画像的权利归属研究
2020年03月18日 发布人:华诚小编

【前沿思考】直接用户画像的权利归属研究

 作者:张丹、刘晓霞 上海市华诚律师事务所律师  审校:侍孝祥 互联网法治研究院(杭州)秘书长、华东政法大学副教授


【摘要】

随着技术发展对数据的依赖逐渐加深,大数据的挖掘与应用也日益成为互联网行业的重要支柱。基于大数据而产生的用户画像由于涉及到用户个人信息,同时又系经相关企业投入技术及智力劳动加工而成,因而其权属的划分由于现行法规及监管的空白,而成为企业运行必然所面临的问题。用户画像内容的二元性构成,导致其必然存在不同倾向性的权属划分。而个人信息所存在的公共属性,以及欧盟和美国殊途同归对个人信息的规制进路,为我国的用户画像权属划分提供了借鉴。结合现有的相关法院判决,直接用户画像权利归属划分应充分考虑平衡个人、企业及具体信息性质的要素来进行具体划分,以更好地在保护信息主体利益的前提下推动互联网行业创新发展。

【正文】

一、概念特性及构成

(一)问题的提出

用户画像是一个为互联网企业及从业者所熟知的概念,主要是通过大数据的分析形成一定具有趋势化的分析结果而广泛用于市场营销、用户群体分析等商业化活动中。该类大数据分析的基础数据来源则是用户个人信息。根据分析对象的范围大小,用户画像又可进一步划分为群体画像和个体画像。而在监管及实践中,存在与前述分类近似的概念范畴——直接画像和间接画像。根据《信息安全技术-个人信息安全规范》(以下称“《个人信息安全规范》”)3.8“直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。”

随着对大数据公司业务运营监管趋严,个人信息的收集使用等法律规范的日益完善,用户画像业务中存在的权属问题也亟待解决。当然,用户画像之所以存在被纳入监管范畴的可能,其前提必然是牵涉到个人信息安全。由于上述概念中间接画像的信息颗粒度较大,无法与具体自然人进行关联,因此,用户画像的合规焦点自然聚集在个体画像或直接画像上。

一系列问题亦跟随个体画像业务合规与否浮出水面。个体画像是否属于个人信息?个体画像的所有权如何认定?运营者是否能够不经数据主体同意而对个体画像进行加工、转让或共享?数据主体主张个人数据控制权的时候,是否包含个体画像结果?本文试图通过对此进行法律分析提出具有实际可行价值的路径予以解决。因而本文将仅以直接画像作为分析及研究对象(以下称“用户画像”)。

(二)法律概念厘清

从当前法律范围内的定义来看,《个人信息安全规范》3.7将用户画像定义为“通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。”欧盟《一般数据保护条例》(以下称“GDPR”)4(4)条“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了分析及预测自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。

欧盟第29条数据保护工作组在《自动化个人决策和用户画像的指导原则》中明确,仅分类用户信息并不必然构成用户画像,是否构成用户画像主要需要考虑信息分类的目的。例如一个企业仅出于统计及获取大致客户概况的目的而根据年龄或性别对顾客进行分类,则不构成评估个人特征行为,因而不是用户画像。

因此,用户画像可以归结为以下两个特征:首先,该处理行为在收集用户信息的基础上进行;第二,根据目的及需要对数据主体的个人行为趋势进行预测或分析。而第二条是区分自动化决策和用户画像的重要标准。同时也是用户画像处理合规问题的根源所在。

(三)用户画像信息内容构成

通过对用户画像信息内容构成的分析,可以一窥用户画像的性质。29条数据保护工作组在《自动化个人决策和用户画像的指导原则》中指出用户画像过程主要涉及三个阶段,即数据采集;自动分析以识别关联性和将个人关联性加以应用对自然人当前特征及未来行为进行鉴定。

这其中原始数据的来源包括爬虫爬取、控制者自行采集及第三方提供。而原始数据包括静态信息数据和动态信息数据。其中静态信息数据指用户相对稳定信息,如人口属性、商业属性等;动态数据信息则包括用户不断变化的行为信息,例如行为痕迹或交户信息记录等。前文所述三个阶段中的后两阶段主要是运营者对原始数据通过进行融合、清洗及建模等手段处理并取得结果的过程。

因此用户画像信息可划分为两部分,即作为基础支撑的用户原始数据和运营者以技术加工而获取的关联到数据主体的分析预测结果。由于两类主体对用户画像的形成均产生了关联,因而在实践中常常牵涉到用户画像权属的争议。

二、实践矛盾及问题探讨

(一)市场运营与监管的固有矛盾

作为大数据业务主流产品之一,在实践中用户画像应用场景众多,通常被用于精准营销、信贷风控等场景,有些甚至被用以左右政治选举,并且其用途仍在被不断挖掘,因而该类信息极具商业价值。

从运营者内在驱动力来看,法律风险存在于各个环节。由于通常来说数据的体量与质量直接决定了用户画像的精准程度,因而运营者对数据的取得趋向于扩张而非抑制的特性与监管出于保护数据主体所要求的最小化原则产生了天然的矛盾。运营者以爬虫技术爬取数据的过程中,侵犯了其他运营者的权益,亦容易落入反不正当竞争法所规制的领域。此外,在获取数据的过程中未按照法律法规及监管的要求获取数据主体的授权,还会面临监管合规风险。而对其他运营者获得的用户画像结果进行违规使用的行为容易为运营者带来侵犯知识产权的负面法律后果。

从监管的角度来看,管控态度及倾向性难以明确。根据欧盟GDPR的要求,用户画像的合规须渗透前述三个阶段全过程。即运营者在数据采集、数据处理各个阶段均需符合GDPR所列相应规定。总体来说倾向于保护信息主体对个人信息的控制权。我国目前并无针对用户画像的明确监管要求。但结合已有个人信息监管要求以及已有的大数据产品案件判决,能看到两条路径:保护信息主体抑制运营者的路径,和维护运营者正当商业发展需求的路径。下文将对此作进一步分析。

(二)市场与监管的矛盾根源

出现上述矛盾的根源一方面在于大数据行业发展固有的对数据流通的渴求,即个人信息具有的公共属性层面必然导致其具有天然的流通特质。由于个人信息的功能在于对个人进行标识、识别以及描述等,但在此功能下,信息主体并不必然对该类信息享有排他支配权。在用户画像的过程中,信息主体虽然是原始数据收集的产生者,但该类基于此数据而得出的结果并不能因此被认定为由信息主体享有绝对排他支配权。在GDPR中,作为运营者投入大量工作建模并处理后的大数据产品,信息主体可以拥有一定程度的控制权,即要求运营者在各个处理阶段对信息主体承担一定的义务,以保障信息主体权益。但信息主体并不能因此主张对其用户画像获取收益的权利

此外隐私的过度保护容易导致信息封闭,不利于数据流通使用,从另一种程度上反而容易产生诸多社会风险,如难以进行征信判断及风险控制。而隐私保护规则本身就是个人信息收集和使用的规则,即社会作为共同体通过以法律、社会习惯等手段构筑出相对统一的查阅层级。

另一方面在于信息主体在用户画像这一过程中处于相对弱势的地位。用户画像的过程至少对信息主体存在以下三类风险:首先,用户画像的过程通常是不透明的,因而容易产生对信息主体不利的结果而不被信息主体感知。其次,数据在被收集后,运营者通常倾向于将数据沉淀并进行多种目的导向的加工,而信息主体同样难以感知。第三,在画像过程中,如果数据本身不准确或处理过程不准确,对信息主体容易产生具有偏见性的结果或预测,因而使得信息主体承受不公正或歧视性对待。同样是由于用户画像的过程复杂性和不透明性,增加了信息主体修正错误信息或进行维权的成本。且传统个人信息保护理论倾向于强调个人信息的私人属性,因此基于基本权利自治的需要,监管措施通常倾向于对信息主体赋予更多保护。

三、现有监管针对用户画像规制分析

目前GDPR已经对用户画像具有明确的保护要求。即要求控制者在画像过程中分两个阶段对信息主体承担一定的义务。首先在收集数据阶段,需要对信息主体进行充分告知,获取信息主体同意;在数据使用阶段需要向信息主体解释画像形成的过程;保障信息主体对数据进行访问的权利;保障信息主体的更正权、删除权等;保证信息主体自行决定是否接受画像的权利。而在对外共享画像的过程中,共享方和接收方都应充分向信息主体履行告知义务;共享方和接收方均应符合信息主体享有的为保障控制权所列出的各项要求。

当前我国基本形成了个人信息保护的监管框架。通过《个人信息安全规范》中对个人信息范畴的描述以及附录A中从信息到个人及从个人到信息两条路径的判断标准来看,用户画像毫无疑问落入个人信息概念范围内。因而从合规角度来看,运营者在进行用户画像的全过程中均应按照《网络安全法》、《个人信息安全规范》及各类行业要求和监管部门的规范性文件所列具体合规要求进行收集、处理、存储、共享等操作。从这个角度来看,监管体系更倾向于保护信息主体权益,而对运营者提出了较高的合规要求。

但由于用户画像具有不同于一般个人信息的特性,即通过运营者的进一步加工与处理,形成的分析结果或预测往往与运营者的技术投入与劳动存在密切关联。且这种分析结果或预测往往具有较大商业价值。因而在相关类型案件的法院判决中,体现出了维护运营者商业利益及保障其正当产品权益的趋势。例如在新浪诉脉脉案中法院确立了第三方应用通过开放平台如Open API模式获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。从一定程度上体现出对运营者权益的肯定。

在淘宝诉美景案中,法院判决分析了大数据产品权益性质。首先由于大数据产品带来了现实的经济收益和附带的竞争优势,因而属于民事上的财产权益;第二,该类产品是淘宝投入大量智力劳动之后形成的成果;此外,该类产品是与网络用户信息、原始网络数据无直接对应关系的衍生数据。因而应确认其财产权益归属于开发者所有。从该案中可以看出,法院在认定大数据产品相应的权益归属中,亦看重运营者所投入的智力劳动程度、与原始数据有无对应关系等因素。

四、个人信息保护路径比较分析

目前对个人信息保护具有较大影响力的两个主要路径分别来自欧洲与美国。尽管具有一定的分歧,但是其思路重合之处均强调一定程度的个人控制权。通过进行两条路径的大致对比分析,可以为用户画像信息权属划分提供一定的理论支撑。

(一)欧洲路径

欧洲对个人数据的保护基本可视为基于人权保护而赋予主体人格保护的延伸。欧盟在1995年发布的《个人数据保护指令》不仅提出了个人信息定义,且确立了保障基本人权及个人信息保护原则。德国1976年《联邦数据保护法》第一条规定:“本法制定的目的是保护个人隐私权使其不因个人资料的处理而受到侵害”。因此自保护基本人权而衍生出的隐私保护及个人信息保护思路,使得欧洲各国基本形成了以人权为基础进而保护数据主体自主控制权的路径。

但信息主体自主控制是否等同于主体对个人信息的自决权?较多关于信息自决权的解读通常会提及该概念首次由1983年的德国“人口普查案”判决而确立。但在该案中,法院并不认可数据主体可以对自己的信息享有绝对支配权。作为社会群体成员,对国家相应义务的履行需要承担一定程度的包容,即个人信息自决权应当为一定重大公共社会利益让渡出空间。

实际上,欧盟的数据保护法并未赋予数据主体对其信息的绝对控制权,而是通过为处理者添加一定的义务来保障数据主体对该类信息的利益,以平衡和保障数据主体基本权利中与个人信息相关的人格权利益。

(二)美国路径

美国尚无联邦层面针对个人信息保护的立法。仅有部分针对敏感信息处理及特别行业的关于隐私权相关的法律,诸如金融、保险及医疗信息,儿童信息等。此外,还有《联邦贸易委员会法案》对个人信息可能遭受的不正当或欺骗行为进行保护并对特定领域的商业行为进行监管。但总的来看,美国对个人信息保护的路径是在隐私权保护的基础上发展而来。由于隐私权属于个人所享有的不被打扰而独处的权利,因此被认定为是基于个人自由的公民权利而形成的,进而通过保障个人对隐私的控制逐步扩展到信息隐私权。

尽管美国在州层面已有个人数据保护法案(“California Consumer Protection Act”),但与GDPR相较,不仅监管直接干涉力度较小,而且设定了保护中小企业的适用门槛。该差别的存在,究其根本原因在于基于宪法第一修正案所保障的言论(信息)自由,整体社会的信息自由受阻将严重影响言论自由,因而同样在宪法层面的个人信息控制权与言论自由权需相互平衡。因此,基于个人隐私权而形成的个人信息保护路径也并未赋予数据主体对个人信息享有绝对权。

(三)小

对比欧洲与美国,尽管理论基础及发展方向有所不同。但在个人数据保护方面,二者的法律框架及监管部门均认可信息主体对于个人信息所享有的一定控制权(或自治权),并且对此提供法律保护。但同样的,二者也均未将个人信息所有权及与此类似的绝对权赋予信息主体。究其原因,从两者法律路径的发端可知,立法者均不是以将保护个人信息推至极端为目的,而仅出于保障信息主体与信息相关权益。同时,两者法律亦均为信息流通以及更重大的群体利益留有空间。

此外,如信息主体对个人信息享有绝对控制权亦存在实现不能的难题。在大数据技术日新月异的语境下,信息主体很难对所有个人信息行使绝对权。在当前扩张解释个人信息范畴的情况下,信息主体也难以通过有效渠道或技术主动对与其相关的所有个人信息一一进行利益维护。因此,在平衡大数据发展及群体利益需求的前提下,通过法律提供被动保护机制方为可行的解决方案。

五、建议

尽管当前我国的法律及监管体系尚未对此进行更细致的划分,但出于实际应用层面的考量,笔者认为在反思现有体系的基础上,重新思考国内的实际环境以及法益保护手段,并对用户画像的权属划分尽快作出更为合理的安排。

(一)考虑要素

基于上述对个人信息保护目的分析,笔者认为用户画像在进行权属划分上需要考虑如下四个方面:

1) 用户画像的目的

如前文所述,不同业务领域根据应用场景不同,对用户画像的需求目的以及计算维度各有不同。而由于信息的公共属性,在群体重大利益面前,信息主体的个人信息的利益层级相对较低。因而在一些以较为重要的公共服务为目的业务领域,需优先考虑运营者画像处理的精确程度。如征信业、医疗数据行业等,信息主体相应的一些控制权应适当进行限缩,如拒绝提供任何有效个人信息等行为不应为法律所鼓励。相应的,在对信息主体存在较高风险的领域或针对较为敏感信息的情形下,应赋予信息主体较多控制权,以保障其相应人格权益。如在进行儿童及个人隐私信息收集的行为中,信息主体应对此获得更多的控制权并对运营者施加更多保障义务以进行保护。

2) 画像结果与信息主体的关联程度

尽管当前法律语境下对个人信息的范围有扩大化的趋势,但是与信息主体的紧密程度仍然决定了该用户画像对信息主体所产生影响的大小。因此,如画像结果对信息主体基本权利影响不大,则运营者应当相应承担较少的法律义务,反之则相反。例如在网购产品过程中通过对具体用户的浏览偏好进行分析并进行仅针对该用户进行的精准推送,相比于信贷风控对贷款申请人所进行的个人逾期风险评估结果,后者应当承受更多保障信息主体权益的义务。

3) 运营者投入智力劳动的程度

由于用户画像通常是运营者采取信息融合、清洗、建模等技术手段所获取的劳动成果。因此若运营者投入较高成本及劳动,当然得以享有类似的知识产权。进而可以主张基于此类权利的财产权益及相关权益。这一点在淘宝诉美景案中也被法院所认可。而若本身运营者投入智力劳动程度不高,因此尽管具有一定的分析及预测性质,但该画像结果更多依靠的是用户原始信息,则运营者应当因此享有较小权益。例如视频网站运营者通过用户主动填写的登记信息对用户进行了年龄段或性别的简单划分而作出的个体用户观看爱好分析结果。该类画像若不与其他信息结合,难以被认定为具有知识产权特质。

(二)实际权属划分建议

综上所述,结合用户画像的内容构成及相应的主体在法律框架下应获得的相应权利,以及个人信息保护目的,笔者试提出如下权属划分思路:

在原始信息层面,信息主体视该信息所属敏感程度不同(由一般个人信息至敏感个人信息)而享有与敏感程度相对应严格程度的控制权,如访问权、反对权、修改权及删除权等。在画像结果层面,信息主体应对此享有出于保护该信息主体相应人格权或隐私权所对应的权利,如知情权、同意权、异议权等。而对运营者来说,根据其投入智力劳动的程度,其对画像结果亦应享有相应的财产权益。此外,在使用该画像结果的过程中,运营者应在信息主体的授权范围内进行使用,并且应当对超范围使用而产生的负面结果承担较重的责任。以此通过个人同意和设置数据使用底线相结合的模式,平衡运营者与数据主体的利益,规范大数据产品创新并实现数据及信息流通的优化。

六、结语

如何在维护社会群体利益并有效保障信息产业繁荣的前提下防止滥用个人信息是当前全球数据及个人信息安全所面临的问题。可以看到在不同路径选择中,欧盟与美国对个人信息安全的监管也逐渐趋同。我国个人信息保护制度尚在初步阶段,缺少案例及监管实践,因此应当充分结合我国实际情况形成具有实践价值的理论,并以此指导实际信息保护工作。笔者希望通过本文初步的分析及探索,为监管实践及后续进一步的研究和讨论贡献一份微薄之力。

参考文献

2019年10月24日征求意见稿。

Page 7, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

Page 7, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第94页。

Page16-19, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3期,第97页。

安徽美景信息科技有限公司、淘宝(中国)软件有限公司商业贿赂不正当竞争纠纷二审民事判决书,(2018)浙01民终7312号

谢琳:《个人信息立法保护的欧美经验与我国现状》,《网络空间法治化——互联网与国家治理年度报告(2015)》,商务印书馆2015年11月版,第30-46页。

杨芳:《个人信息自决理论及其检讨——兼论个人信息保护法之保护客体》,《比较法研究》2015年第6期,第26页。

该法第5节规定:“商业中或影响商业不公平的竞争方法,是非法的;商业中或影响商业不公平或欺骗性的行为及惯例,是非法的。”




本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin