數(shù)字法治：個(gè)性化推送中的個(gè)人信息保護(hù)問(wèn)題研究

2021-03-30 17:32:32 來(lái)源：中國(guó)周刊

作者：李一帆、中國(guó)應(yīng)用法學(xué)研究所博士后。

個(gè)性化推送作為互聯(lián)網(wǎng)時(shí)代商業(yè)中的常用營(yíng)銷方式，面臨侵犯?jìng)€(gè)人信息安全的質(zhì)疑。在個(gè)人信息保護(hù)糾紛案件中，司法需要對(duì)該行為的法律屬性進(jìn)行判斷。本文結(jié)合個(gè)性化推送在技術(shù)上的實(shí)現(xiàn)路徑，認(rèn)為正常限度內(nèi)的個(gè)性化推送可以被允許，但同時(shí)提議通過(guò)采取“數(shù)據(jù)隔離措施”以及“具象化限制措施”作為在司法糾紛中判斷個(gè)性化推送是否侵權(quán)的參考依據(jù)，以此為個(gè)性化推送行為厘清邊界。

一、問(wèn)題的提出

目前，世界已經(jīng)進(jìn)入數(shù)字時(shí)代，習(xí)近平總書記敏銳地察覺(jué)到這一個(gè)變化，提出要運(yùn)用大數(shù)據(jù)提升國(guó)家治理現(xiàn)代化水平。當(dāng)下，數(shù)據(jù)已經(jīng)成為一種資產(chǎn)，可以作為生產(chǎn)要素參與社會(huì)分配。云計(jì)算、大數(shù)據(jù)、人工智能，這些作為數(shù)字時(shí)代的通用技術(shù)，伴隨著具體應(yīng)用的更新和下沉，以具體產(chǎn)品的形式嵌入普通用戶的生活。但是面對(duì)新的技術(shù)產(chǎn)品，一般用戶很難對(duì)技術(shù)的實(shí)現(xiàn)過(guò)程有深入的了解，其直觀的使用感知構(gòu)成了對(duì)產(chǎn)品的認(rèn)知。由于技術(shù)的實(shí)現(xiàn)過(guò)程往往和用戶的認(rèn)知存在差別，因此在使用感知上引起用戶警覺(jué)的產(chǎn)品便更容易遭到質(zhì)疑。比如在個(gè)人信息保護(hù)層面，個(gè)性化推送便是這種由于用戶感知和實(shí)現(xiàn)過(guò)程不一致而導(dǎo)致用戶擔(dān)心自己個(gè)人信息被侵犯的典型技術(shù)應(yīng)用?！　∮脩艋谶@種擔(dān)憂的心理，起訴該類服務(wù)提供商的糾紛，始于2015年朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)一案。在該案中，爭(zhēng)議的主要內(nèi)容是基于cookie技術(shù)的精準(zhǔn)網(wǎng)絡(luò)廣告是否侵犯了公民個(gè)人隱私權(quán)。該案的裁判要旨在于：“cookie技術(shù)收集、利用的匿名網(wǎng)絡(luò)偏好信息雖具有隱私屬性，但不能與網(wǎng)絡(luò)用戶個(gè)人身份對(duì)應(yīng)識(shí)別，網(wǎng)絡(luò)服務(wù)提供者和社會(huì)公眾無(wú)法確定該偏好信息的歸屬主體，不符合個(gè)人隱私和個(gè)人信息的‘可識(shí)別性’要求，因而該行為不構(gòu)成侵犯隱私權(quán)。”時(shí)至今日，精準(zhǔn)廣告以“個(gè)性化推送”的形式，被廣泛用于移動(dòng)互聯(lián)網(wǎng)。個(gè)性化推送的技術(shù)和實(shí)現(xiàn)過(guò)程，相比該類糾紛發(fā)生時(shí)已經(jīng)產(chǎn)生了很大的改變。因而現(xiàn)在的個(gè)性化推送行為是否侵犯了公民個(gè)人信息，成為司法實(shí)踐中解決個(gè)人信息保護(hù)糾紛時(shí)必須面對(duì)的問(wèn)題?！　”疚膶?duì)個(gè)性化推送中的個(gè)人信息保護(hù)問(wèn)題進(jìn)行探討。首先，文章對(duì)個(gè)性化推送的數(shù)據(jù)收集、技術(shù)路徑和實(shí)現(xiàn)方式進(jìn)行介紹；其次，基于個(gè)性化推送的技術(shù)特點(diǎn)，通過(guò)基礎(chǔ)數(shù)據(jù)的屬性和用戶畫像中標(biāo)簽的屬性，分析個(gè)性化推送的數(shù)據(jù)應(yīng)用是否應(yīng)當(dāng)被歸類于侵犯公民個(gè)人信息的行為；最后，立足于平衡“保護(hù)公民個(gè)人信息”和“促進(jìn)技術(shù)進(jìn)步”的立場(chǎng)，文章建議通過(guò)“數(shù)據(jù)隔離措施”以及“具象化限制措施”這兩項(xiàng)由數(shù)據(jù)處理者承擔(dān)的義務(wù)，來(lái)協(xié)助司法人員對(duì)個(gè)性化推送行為進(jìn)行合理與否的判斷。同時(shí)，說(shuō)明這兩項(xiàng)措施也可以為數(shù)據(jù)處理者設(shè)定數(shù)據(jù)合理應(yīng)用的邊界。　　

二、個(gè)性化推送的技術(shù)邏輯

（一）起點(diǎn)：設(shè)備數(shù)據(jù)　　個(gè)性化推送是以設(shè)備數(shù)據(jù)為基礎(chǔ)，通過(guò)數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)實(shí)現(xiàn)的商業(yè)行為。在數(shù)據(jù)行業(yè)的實(shí)踐中，廣義的“數(shù)據(jù)”一般是指限定于計(jì)算機(jī)和網(wǎng)絡(luò)空間中的電子數(shù)據(jù)。在諸多數(shù)據(jù)中，根據(jù)數(shù)據(jù)的敏感程度進(jìn)行區(qū)分，數(shù)據(jù)可以被分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)。敏感數(shù)據(jù)通常是個(gè)人信息的數(shù)據(jù)化表現(xiàn)形式，比如《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱“《安全規(guī)范》”）的附錄中通過(guò)示例的方式列出了幾項(xiàng)個(gè)人敏感信息，其中包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡等。個(gè)人的非敏感數(shù)據(jù)，在數(shù)據(jù)處理者看來(lái)，通常是用戶所使用的個(gè)人常用設(shè)備所產(chǎn)生的數(shù)據(jù)，比如設(shè)備的硬件序列號(hào)、設(shè)備MAC地址、軟件列表、唯一設(shè)備識(shí)別碼（如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息）等。　　個(gè)性化推送需要運(yùn)用設(shè)備數(shù)據(jù)的原因在于用戶的行為、興趣、消費(fèi)傾向等具有商業(yè)價(jià)值的信息，具有動(dòng)態(tài)性和時(shí)效性的特點(diǎn)，會(huì)隨著時(shí)間不斷地改變和轉(zhuǎn)移。因此，對(duì)于用戶的描述需要不斷地進(jìn)行更新，才能更加精準(zhǔn)地表示用戶特征，避免滯后性。在諸多數(shù)據(jù)和信息種類中，設(shè)備數(shù)據(jù)相比于內(nèi)容較為固定的個(gè)人信息來(lái)講，更能直觀地反映這些變化。比如用戶卸載或者安裝了某些app、用戶在某個(gè)app的使用時(shí)間變長(zhǎng)、基于設(shè)備的位置數(shù)據(jù)獲知設(shè)備用戶經(jīng)常出入的場(chǎng)所變化等。因此，設(shè)備數(shù)據(jù)是個(gè)性化推送的起點(diǎn)。

（二）依據(jù)：用戶畫像　　用戶畫像是指根據(jù)用戶所產(chǎn)生的設(shè)備數(shù)據(jù)，數(shù)據(jù)處理者通過(guò)數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)，構(gòu)建出用戶在社交關(guān)系、偏好習(xí)慣和消費(fèi)行為等方面的標(biāo)簽化畫像。該技術(shù)的定位是一種“快速、精準(zhǔn)分析用戶行為模式、消費(fèi)習(xí)慣等商業(yè)信息的數(shù)據(jù)分析工具”，為企業(yè)進(jìn)行精準(zhǔn)營(yíng)銷提供便利?！栋踩?guī)范》對(duì)用戶畫像的定義是：“通過(guò)收集、匯聚、分析個(gè)人信息，對(duì)某特定自然人個(gè)人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個(gè)人喜好、信用、行為等方面作出分析或預(yù)測(cè)，形成其個(gè)人特征模型的過(guò)程?！?/span>　　隨著大數(shù)據(jù)技術(shù)的不斷推進(jìn)，用戶畫像的應(yīng)用越來(lái)越廣，在現(xiàn)有的具體應(yīng)用場(chǎng)景中，用戶感知度最高的就是依據(jù)用戶畫像實(shí)現(xiàn)的廣告精準(zhǔn)投放。在行業(yè)實(shí)踐中，通過(guò)用戶畫像進(jìn)行信息推送的模式之所以能夠成為主流，原因在于這種投放方式可以精準(zhǔn)地分配和使用廣告預(yù)算，提升廣告效果，同時(shí)，也使得消費(fèi)者可以獲取更為有效的商品信息。但是“精準(zhǔn)”的前提是廣告商需要對(duì)用戶群體進(jìn)行相應(yīng)的了解，對(duì)用戶的喜好進(jìn)行分析。然而，用戶對(duì)個(gè)性化推送產(chǎn)生侵犯自身個(gè)人信息安全的質(zhì)疑也恰恰來(lái)源于此。　　用戶畫像中最基本的元素是標(biāo)簽，而標(biāo)簽是通過(guò)設(shè)備數(shù)據(jù)實(shí)現(xiàn)的。首先，數(shù)據(jù)企業(yè)在開展進(jìn)一步的業(yè)務(wù)時(shí)，會(huì)通過(guò)設(shè)備的國(guó)際移動(dòng)設(shè)備識(shí)別碼（International Mobile Equipment Identity，簡(jiǎn)稱“IMEI號(hào)”）實(shí)現(xiàn)對(duì)每一部設(shè)備的標(biāo)識(shí)。作為業(yè)務(wù)基礎(chǔ)的數(shù)據(jù)通常是設(shè)備數(shù)據(jù)，其具體形式多為設(shè)備終端的日志信息。然后，信息處理者會(huì)通過(guò)算法搭建模型，對(duì)用戶實(shí)現(xiàn)特定領(lǐng)域的分析，該分析最終形成的反饋結(jié)果也是圍繞某一部設(shè)備而言的。如上所述，目前用戶畫像的形成一般是指對(duì)設(shè)備用戶進(jìn)行標(biāo)簽化的處理，而形成標(biāo)簽所依賴的基礎(chǔ)多為用戶的設(shè)備數(shù)據(jù)。例如，數(shù)據(jù)處理者可以對(duì)某一位設(shè)備用戶打上“生活在北京”“學(xué)生”“喜歡購(gòu)物”等標(biāo)簽，其中“生活在北京”的標(biāo)簽可以通過(guò)設(shè)備的位置數(shù)據(jù)達(dá)成；“學(xué)生”標(biāo)簽的形成可以是因?yàn)橛脩粼O(shè)備中安裝了處理高校事務(wù)的app，或是通過(guò)設(shè)備經(jīng)常連接的所在高校的Wi-Fi網(wǎng)絡(luò)ID來(lái)進(jìn)行初步的推算；“喜歡購(gòu)物”也可以是對(duì)某個(gè)購(gòu)物app的使用時(shí)長(zhǎng)進(jìn)行分析后得出的結(jié)果。此外，標(biāo)簽的內(nèi)容可以進(jìn)行自定義，種類很多，并且在標(biāo)簽數(shù)量上通常沒(méi)有限制。在用戶畫像的基礎(chǔ)上，廣告投放商就能夠通過(guò)標(biāo)簽的勾選，來(lái)選擇投放對(duì)象。比如，通過(guò)地理位置投放的信息和廣告，其實(shí)現(xiàn)方式就是勾選以位置信息為內(nèi)容的標(biāo)簽，然后該標(biāo)簽下的設(shè)備就會(huì)收到和設(shè)備用戶所在地理位置高度相關(guān)的廣告內(nèi)容。由此可見(jiàn)，用戶畫像是個(gè)性化推送的依據(jù)。

（三）結(jié)果的達(dá)成：用戶與設(shè)備之間的依賴關(guān)系　　從數(shù)據(jù)的應(yīng)用與個(gè)人的關(guān)系出發(fā)，目前業(yè)內(nèi)實(shí)踐中的大數(shù)據(jù)產(chǎn)品針對(duì)個(gè)人所要達(dá)成的幾個(gè)主要目的，包括識(shí)別用戶、追蹤用戶、用戶畫像的構(gòu)建、信息推送以及決策輔助。個(gè)性化推送最直接的商業(yè)目的，是通過(guò)廣告推送影響客戶的決策。在這個(gè)過(guò)程中，數(shù)據(jù)處理者以設(shè)備作為中介，通過(guò)“互聯(lián)網(wǎng)—設(shè)備—用戶”這一條邏輯來(lái)完成與用戶之間的交互。因此，用戶的設(shè)備在這個(gè)過(guò)程中起到了不可忽視的作用，這主要體現(xiàn)在如下兩個(gè)方面：第一，用戶畫像的構(gòu)建離不開設(shè)備數(shù)據(jù)的支撐。形成用戶畫像的過(guò)程離不開海量數(shù)據(jù)的支撐，這些數(shù)據(jù)通常是數(shù)據(jù)收集者從普通用戶的設(shè)備中獲取。第二，如果要和用戶形成互動(dòng)，對(duì)用戶決策施加影響，數(shù)據(jù)產(chǎn)品也需要一個(gè)“支點(diǎn)”，而設(shè)備恰好能夠起到這個(gè)支點(diǎn)的作用。因此，包括用戶畫像在內(nèi)的大部分?jǐn)?shù)據(jù)技術(shù)的應(yīng)用都是圍繞設(shè)備開展的，用戶畫像其實(shí)也可以稱之為用戶設(shè)備的畫像。　　在數(shù)據(jù)行業(yè)的運(yùn)作過(guò)程中，數(shù)據(jù)處理者利用的數(shù)據(jù)來(lái)自設(shè)備，最終的反饋結(jié)果也是推送到設(shè)備上，這樣的商業(yè)模式最終如果需要達(dá)到影響用戶選擇的效果，就必須依靠人和設(shè)備之間的“依賴關(guān)系”。正因?yàn)檫@種依賴關(guān)系的存在，設(shè)備的行蹤、設(shè)備的瀏覽軌跡、設(shè)備的畫像才能和某一個(gè)自然人建立聯(lián)系，被視為某個(gè)自然人的行蹤、軌跡或用戶畫像。為了讓所推送的信息盡可能影響用戶的決策，商業(yè)模式就會(huì)促使從業(yè)者們從不同的角度來(lái)加強(qiáng)用戶和設(shè)備之間的“依賴關(guān)系”。比如有些產(chǎn)品會(huì)在設(shè)計(jì)中通過(guò)提高產(chǎn)品力和關(guān)注度等方式來(lái)提高“用戶黏度”，從而來(lái)增加企業(yè)與用戶雙方彼此之間的使用數(shù)量或頻率；有的產(chǎn)品會(huì)通過(guò)推送與人的本能趣味相關(guān)聯(lián)的信息，讓用戶形成排他的“繭房效應(yīng)”來(lái)保持用戶對(duì)于app的依賴（增加使用設(shè)備的時(shí)間）。除了個(gè)人的選擇以外，目前的商業(yè)模式和社會(huì)運(yùn)作也傾向于將用戶和設(shè)備進(jìn)行綁定，從而提高信息的流通效率，加強(qiáng)社會(huì)管理。　　因此，由于用戶和設(shè)備之間的依賴關(guān)系，用戶設(shè)備的畫像被視為能夠反映用戶自身興趣的個(gè)人畫像（其邏輯如圖1所示）?！　。▓D略）　　圖1　個(gè)性化推送中的數(shù)據(jù)運(yùn)作流程　　綜上所述，通過(guò)“數(shù)據(jù)—用戶畫像—為設(shè)備推送信息”的邏輯，個(gè)性化推送完成了信息的精準(zhǔn)傳遞，從而達(dá)到了相應(yīng)的商業(yè)目的。

三、個(gè)性化推送的性質(zhì)判定

在個(gè)性化推送這一技術(shù)產(chǎn)品引發(fā)的個(gè)人信息保護(hù)糾紛中，司法實(shí)踐需要結(jié)合上述的技術(shù)邏輯，厘清幾個(gè)關(guān)鍵的問(wèn)題，從而對(duì)個(gè)性化推送是否構(gòu)成對(duì)公民個(gè)人信息的侵權(quán)進(jìn)行判定?！　?/span>

（一）設(shè)備數(shù)據(jù)是否屬于個(gè)人信息　　自《民法總則》第110條將隱私權(quán)作為民事主體的人格權(quán)予以保護(hù)，第111條加入個(gè)人信息受法律保護(hù)的宣誓性條款以來(lái)，關(guān)于公民個(gè)人的隱私、信息和數(shù)據(jù)之間的關(guān)系就成為學(xué)術(shù)界討論的熱點(diǎn)話題。這些討論的目的是對(duì)保護(hù)對(duì)象的范圍進(jìn)行界定，從而為數(shù)據(jù)權(quán)利的保護(hù)確定邏輯起點(diǎn)。在學(xué)術(shù)研究的層面，對(duì)于個(gè)人信息的概念、范圍和識(shí)別標(biāo)準(zhǔn)所進(jìn)行的探討也不斷增長(zhǎng)，關(guān)于個(gè)人信息的屬性和界定上也存在多種不同主張，甚至“信息和數(shù)據(jù)概念在目前的法律表述上一直是混用的”。在立法層面，不斷更新的法律文本逐漸形成了對(duì)個(gè)人信息進(jìn)行“概念+列舉”的定義方式。在數(shù)據(jù)行業(yè)的實(shí)踐中，隨著技術(shù)的不斷更新和進(jìn)步，在很多情況或者場(chǎng)景下，連界定哪些信息屬于個(gè)人信息都存在困難。　　除了關(guān)于個(gè)人信息的討論，個(gè)人數(shù)據(jù)和個(gè)人信息的關(guān)系同樣也沒(méi)有定論，“數(shù)據(jù)”“個(gè)人數(shù)據(jù)”“信息”“個(gè)人信息”和“個(gè)人隱私”等概念的界定以及其能否作為民事權(quán)利予以保護(hù)等可謂眾說(shuō)紛紜?？傮w上，涉及個(gè)人的“數(shù)據(jù)”和“信息”之間的關(guān)系，大致可以區(qū)分為信息包括數(shù)據(jù)型、數(shù)據(jù)包括信息型以及信息和數(shù)據(jù)并立型三種?！　≡谀壳暗乃痉▽?shí)踐中，法官對(duì)于個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)仍不統(tǒng)一，而緊抓“識(shí)別性”和“關(guān)聯(lián)性”對(duì)個(gè)人信息進(jìn)行判定是目前解決該類案件中的常見(jiàn)做法。在目前現(xiàn)有的法律規(guī)范中，《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案征求意見(jiàn)稿）》（以下簡(jiǎn)稱“《草案》”）作為最新的保護(hù)個(gè)人信息的專門性法律，其對(duì)于公民個(gè)人信息的定義將會(huì)對(duì)未來(lái)的各類涉?zhèn)€人信息活動(dòng)產(chǎn)生重要影響?！恫莅浮返?條規(guī)定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”可操作性更強(qiáng)的《安全規(guī)范》中，對(duì)于個(gè)人信息語(yǔ)義的確定，采用了概念加列舉的方式，在判斷上同樣使用“識(shí)別”與“關(guān)聯(lián)”兩種路徑。結(jié)合目前規(guī)范性文本中對(duì)個(gè)人信息的舉例不難發(fā)現(xiàn)，“識(shí)別性”是從靜態(tài)的角度來(lái)確定個(gè)人信息，而“關(guān)聯(lián)性”是從動(dòng)態(tài)的角度來(lái)確定個(gè)人信息的?！　≡O(shè)備數(shù)據(jù)是針對(duì)設(shè)備而言的，能夠體現(xiàn)硬件設(shè)備的信息和狀態(tài)。從“識(shí)別性”的角度來(lái)看，設(shè)備數(shù)據(jù)是針對(duì)某一部設(shè)備的識(shí)別，而并非針對(duì)自然人的識(shí)別；從“關(guān)聯(lián)性”的角度來(lái)看，設(shè)備數(shù)據(jù)所記載的動(dòng)態(tài)信息，是設(shè)備用戶在操作和活動(dòng)過(guò)程中，實(shí)現(xiàn)的對(duì)設(shè)備當(dāng)下狀態(tài)的記載，而并非針對(duì)某個(gè)自然人。因此，單從屬性來(lái)看，設(shè)備數(shù)據(jù)很難被歸類于個(gè)人信息。　　雖然單純的設(shè)備數(shù)據(jù)并不屬于個(gè)人信息，但是在數(shù)據(jù)挖掘和數(shù)據(jù)分析的技術(shù)加持下，這些設(shè)備數(shù)據(jù)也可能具備個(gè)人信息的屬性，最典型的就是用戶畫像中以位置為內(nèi)容的標(biāo)簽?！?/span>

（二）用戶畫像的標(biāo)簽是否屬于個(gè)人信息　　作為個(gè)性化推送依據(jù)的用戶畫像，通過(guò)標(biāo)簽體系來(lái)實(shí)現(xiàn)對(duì)某一個(gè)用戶的具象化，并且推送行為也是根據(jù)不同標(biāo)簽的組合來(lái)確定推送對(duì)象。因此對(duì)個(gè)性化推送的性質(zhì)進(jìn)行判斷，離不開對(duì)用戶畫像中數(shù)據(jù)處理者為用戶標(biāo)記的標(biāo)簽屬性的判斷?！　?duì)用戶畫像進(jìn)行細(xì)分，可以進(jìn)一步區(qū)分為直接用戶畫像和間接用戶畫像。直接用戶畫像是指直接使用特定自然人的個(gè)人信息所形成的用戶特征模型；間接用戶畫像是指通過(guò)來(lái)源于個(gè)人信息以外的數(shù)據(jù)（多為設(shè)備數(shù)據(jù)）所成的用戶特征模型。從實(shí)現(xiàn)手段上來(lái)看，通過(guò)使用直接用戶畫像進(jìn)行的信息推送，實(shí)質(zhì)上是直接運(yùn)用個(gè)人信息的行為，在目前的司法實(shí)踐中，會(huì)結(jié)合具體場(chǎng)景判斷使用行為是不是個(gè)人信息的“合理使用”。但是通過(guò)間接用戶畫像的標(biāo)簽所達(dá)成的個(gè)性化推送，則需要對(duì)標(biāo)簽的屬性和運(yùn)用進(jìn)行判斷?！　〉谝?，構(gòu)建間接用戶畫像的標(biāo)簽需要的原始數(shù)據(jù)多為設(shè)備數(shù)據(jù)。如上文所述，設(shè)備數(shù)據(jù)很難通過(guò)“識(shí)別性”與“關(guān)聯(lián)性”納入個(gè)人信息的范疇，因?yàn)樵O(shè)備數(shù)據(jù)所承載的內(nèi)容都是針對(duì)設(shè)備而言的。用戶雖然和設(shè)備之間存在“依賴關(guān)系”，但是這并不能將圍繞設(shè)備數(shù)據(jù)的應(yīng)用等同于個(gè)人信息的應(yīng)用。　　第二，結(jié)果相似并不代表內(nèi)容相同。雖然從結(jié)果上看，通過(guò)直接用戶畫像的信息推送和間接用戶畫像的信息推送呈現(xiàn)出高度一致性，但二者的實(shí)現(xiàn)邏輯是不同的，其中最核心的問(wèn)題在于用戶畫像中標(biāo)簽的形成過(guò)程。以位置標(biāo)簽為例，通過(guò)一些不需要用戶授權(quán)的非敏感設(shè)備數(shù)據(jù)，同樣可以形成以位置為內(nèi)容的標(biāo)簽。比如，目前在位置信息服務(wù)中應(yīng)用的技術(shù)包括了IP地址推算、Wi-Fi網(wǎng)絡(luò)ID計(jì)算、藍(lán)牙計(jì)算以及基站定位推算等方法。在IP地址推算上，“相關(guān)app經(jīng)營(yíng)者可以通過(guò)技術(shù)手段獲取用戶的IP地址，通過(guò)IP地址能夠確定地理位置，民用級(jí)的IP查詢至少能夠精確到城市位置”。此外，“應(yīng)用程序和網(wǎng)站也可以使用其他傳感器數(shù)據(jù)（不需要用戶許可）和網(wǎng)絡(luò)瀏覽器信息來(lái)獲取或推斷位置信息”。雖然這些數(shù)據(jù)和GPS數(shù)據(jù)相比，在精度上是有限的，但是這樣的精度足以滿足商用的需求。因此，運(yùn)用標(biāo)簽的結(jié)果和直接運(yùn)用個(gè)人信息相似，但標(biāo)簽的內(nèi)容和形成邏輯與個(gè)人信息的內(nèi)容是不同的?！　〉谌?，用戶畫像的使用過(guò)程中目的不在于確定具體的個(gè)人。行業(yè)實(shí)踐中，數(shù)據(jù)處理者的目的不是得知某一具體用戶的個(gè)人信息，其數(shù)據(jù)收集的限度通常止步于設(shè)備，之后會(huì)通過(guò)用戶和設(shè)備之間的“依賴關(guān)系”達(dá)成商業(yè)目的。此外，在個(gè)性化推送的實(shí)踐中，匿名化技術(shù)的應(yīng)用非常普遍，因而在通過(guò)間接用戶畫像進(jìn)行個(gè)性化推送的過(guò)程中，“依靠大數(shù)據(jù)分析的來(lái)源和使用的方向都是針對(duì)‘不可識(shí)別’的類型化的人，是針對(duì)一類人的數(shù)據(jù)結(jié)論發(fā)送的廣告，無(wú)論是發(fā)送者本身，或者是廣告主，在事先和事后都不知道接受廣告者到底是誰(shuí)。沒(méi)有達(dá)到可識(shí)別性的數(shù)據(jù)，當(dāng)然也就不存在侵害隱私的事實(shí)”。所以用戶畫像的實(shí)現(xiàn)過(guò)程中，不會(huì)針對(duì)某個(gè)用戶進(jìn)行特別的具象化。　　綜上，從總體來(lái)看，基于間接用戶畫像的個(gè)性化推送，為用戶發(fā)送符合個(gè)人習(xí)慣的信息內(nèi)容，不構(gòu)成對(duì)個(gè)人信息的侵犯。但是，在個(gè)人數(shù)據(jù)和個(gè)人信息之間的區(qū)分標(biāo)準(zhǔn)逐漸模糊化的當(dāng)下，間接用戶畫像所依據(jù)的設(shè)備數(shù)據(jù)，經(jīng)過(guò)大數(shù)據(jù)技術(shù)的加持，其所承載的內(nèi)容正逐漸趨近于個(gè)人信息，因此需要對(duì)個(gè)性化推送進(jìn)行一定的限制?！?/span>

四、個(gè)性化推送的限制措施

在個(gè)性化的推送過(guò)程中，信息投放方通過(guò)不同的標(biāo)簽搭配來(lái)確定推送對(duì)象。但是隨著數(shù)據(jù)應(yīng)用的不斷發(fā)展，場(chǎng)景的概念逐漸被重視，固定的標(biāo)簽組合在某些場(chǎng)景中所確定的推送群體，很可能因?yàn)槟繕?biāo)用戶數(shù)量過(guò)小而導(dǎo)致對(duì)于某個(gè)特定自然人的識(shí)別，過(guò)于精準(zhǔn)的個(gè)性化推送也不免讓用戶對(duì)個(gè)人信息的安全產(chǎn)生質(zhì)疑。這一事實(shí)會(huì)成為原告起訴的動(dòng)因，成為糾紛的起點(diǎn)，在糾紛的解決過(guò)程中，法官需要對(duì)該事實(shí)作出法律上的判斷。而數(shù)據(jù)處理者是否實(shí)施了相應(yīng)的限制措施，可以作為這一問(wèn)題的判斷標(biāo)準(zhǔn)?！　?/span>

（一）網(wǎng)絡(luò)實(shí)名制下的數(shù)據(jù)隔離措施　　數(shù)據(jù)隔離措施是指，數(shù)據(jù)處理者需要對(duì)個(gè)性化推送業(yè)務(wù)所收集到的數(shù)據(jù)進(jìn)行隔離，在個(gè)性化推送實(shí)現(xiàn)的全流程中，確保沒(méi)有個(gè)人信息的參與?！　∧壳埃覈?guó)從立法上確定了網(wǎng)絡(luò)實(shí)名制的實(shí)施，用戶在接入互聯(lián)網(wǎng)，或接受信息服務(wù)之前，均需要提供自己的實(shí)名信息。實(shí)名信息通常包括用戶的姓名和身份證件信息，用戶在注冊(cè)網(wǎng)絡(luò)服務(wù)賬號(hào)時(shí)通常也需要提供自己的手機(jī)號(hào)碼。以目前對(duì)個(gè)人信息的定義來(lái)看，這些信息均屬于個(gè)人信息的范疇。換言之，進(jìn)行個(gè)性化推送的數(shù)據(jù)處理者除了掌握用戶的設(shè)備信息外，通常也會(huì)掌握用戶的實(shí)名信息。但是，實(shí)名制的意義在于進(jìn)行網(wǎng)絡(luò)內(nèi)容的規(guī)制（content regulation），該制度的設(shè)立初衷是為了凈化網(wǎng)絡(luò)環(huán)境、防止非法信息的傳播。推行實(shí)名制的邏輯，是通過(guò)個(gè)人的行為與其身份建立的明確聯(lián)系，增加個(gè)人對(duì)網(wǎng)絡(luò)行為的自我審查（self-regulation）效果。通過(guò)這種自我審查的強(qiáng)化，實(shí)名制能夠達(dá)到減少傳播網(wǎng)絡(luò)違法信息行為的目的，提高誹謗他人、制造謠言、提供侵權(quán)文件等違法活動(dòng)的風(fēng)險(xiǎn)和成本?；谏鲜瞿康?，通過(guò)實(shí)名制所收集到的信息不應(yīng)當(dāng)用于數(shù)據(jù)處理者的商業(yè)行為?！　∫虼耍瑪?shù)據(jù)處理者應(yīng)當(dāng)采取相應(yīng)的措施，將“個(gè)人信息”和“設(shè)備數(shù)據(jù)”進(jìn)行隔離，并且隔離手段要應(yīng)用在個(gè)性化推送的全程。個(gè)性化推送的技術(shù)起點(diǎn)是對(duì)數(shù)據(jù)的收集。在所收集數(shù)據(jù)的基礎(chǔ)上，通過(guò)“數(shù)據(jù)分析—用戶畫像的形成—信息推送”的邏輯實(shí)現(xiàn)個(gè)性化信息推送。基于原始數(shù)據(jù)的不同，會(huì)分別形成“設(shè)備數(shù)據(jù)—數(shù)據(jù)分析技術(shù)—間接用戶畫像—個(gè)性化推送”以及“個(gè)人信息—直接用戶畫像—信息推送”這兩條路徑。因此，正常的商業(yè)行為和不當(dāng)使用用戶個(gè)人信息的分歧點(diǎn)，始于應(yīng)用數(shù)據(jù)的不同，相應(yīng)的措施要圍繞應(yīng)用的數(shù)據(jù)展開。即除了業(yè)內(nèi)常見(jiàn)的匿名化加密措施以外，數(shù)據(jù)處理者可以通過(guò)在設(shè)備數(shù)據(jù)與個(gè)人信息之間設(shè)立隔離措施，來(lái)達(dá)到兩條信息推送路徑之間的區(qū)分?！　≡O(shè)備數(shù)據(jù)和個(gè)人信息之間的隔離措施，能夠進(jìn)一步加強(qiáng)設(shè)備的防火墻功能。在目前數(shù)據(jù)行業(yè)的邏輯之下，設(shè)備作為數(shù)據(jù)行業(yè)和用戶生活世界的交匯點(diǎn)，同時(shí)也是用戶和數(shù)據(jù)行業(yè)之間的防火墻。如果突破了設(shè)備和用戶之間的關(guān)系，會(huì)對(duì)個(gè)人信息造成嚴(yán)重影響。比如，目前的防疫追蹤信息來(lái)源于被感染者的設(shè)備行蹤數(shù)據(jù)，而發(fā)生的多起侵犯新冠肺炎感染者個(gè)人信息的案件，其本質(zhì)均是防疫信息突破了設(shè)備數(shù)據(jù)和用戶之間的屏障，通過(guò)用戶和設(shè)備的依賴關(guān)系，使防疫收集到的設(shè)備追蹤信息和具體個(gè)人形成了一一對(duì)應(yīng)的關(guān)系。因此，從業(yè)務(wù)邏輯起點(diǎn)的數(shù)據(jù)入手，加入隔離措施，從而保證個(gè)性化推送業(yè)務(wù)遠(yuǎn)離個(gè)人信息?！　乃痉▽?shí)踐解決糾紛的角度出發(fā)，數(shù)據(jù)隔離措施能夠在糾紛過(guò)程中促進(jìn)雙方當(dāng)事人舉證證明責(zé)任的完成。目前，“隱私權(quán)、個(gè)人信息保護(hù)糾紛”作為新的案由條款，加入《民事案件案由規(guī)定》，可以預(yù)測(cè)未來(lái)關(guān)于個(gè)人信息保護(hù)的案件和糾紛將會(huì)大量涌現(xiàn)。大數(shù)據(jù)時(shí)代海量數(shù)據(jù)動(dòng)態(tài)變化，數(shù)據(jù)環(huán)境十分復(fù)雜，在數(shù)據(jù)收集、整理、傳輸、存儲(chǔ)等各個(gè)環(huán)節(jié)中都有數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，在目前的司法實(shí)踐中，關(guān)于個(gè)人信息侵害案件的裁判，法院在對(duì)“信息控制者是否泄露或使用了信息主體的個(gè)人信息”這一事實(shí)的證明上，通常會(huì)根據(jù)舉證證明責(zé)任的規(guī)定來(lái)進(jìn)行處理，情況多是原告只能證明損害事實(shí)，但無(wú)法證明誰(shuí)泄露或使用了個(gè)人信息，被法院駁回訴訟請(qǐng)求。比如在“謝某訴江蘇蘇寧易購(gòu)電子商務(wù)有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”中，法院認(rèn)為雖然原告主張被告網(wǎng)絡(luò)平臺(tái)存在漏洞，但無(wú)有效證據(jù)證明該事實(shí)，原告應(yīng)當(dāng)承擔(dān)舉證不能的不利后果；在“萬(wàn)存和訴中國(guó)南方航空股份有限公司航空旅客運(yùn)輸合同糾紛案”中，法院認(rèn)為原告要求被告承擔(dān)泄露其信息的侵權(quán)責(zé)任，卻不能提供證據(jù)證明系被告實(shí)施了泄露其信息的侵權(quán)行為，因此沒(méi)有支持原告的訴訟請(qǐng)求。在司法實(shí)踐中，“證明責(zé)任規(guī)則的適用應(yīng)當(dāng)是在法官對(duì)所有的證據(jù)方法都已經(jīng)窮盡以后，仍然不能作出該事實(shí)是否成立或是否存在的判斷時(shí)，才能適用的”。并且由于證明責(zé)任作為一種不利后果的承擔(dān)，是在一種擬制或假定的前提下決定的，因此法院應(yīng)當(dāng)注意盡可能地不適用證明責(zé)任的規(guī)則。在目前立法供給不足的情況下，個(gè)人信息保護(hù)糾紛案件中，法院如果都以待證事實(shí)真?zhèn)尾幻?，通過(guò)客觀證明責(zé)任來(lái)對(duì)案件事實(shí)進(jìn)行認(rèn)定，那么必然對(duì)司法的公信力產(chǎn)生影響。因此，數(shù)據(jù)隔離措施可以在一定程度上為法院在“數(shù)據(jù)處理者是否具有過(guò)錯(cuò)”這一待證事實(shí)上分配證明責(zé)任提供參考，最大限度地幫助法院避免通過(guò)客觀證明責(zé)任作出判決。法院在審理案件的過(guò)程中，也可以要求數(shù)據(jù)處理者提交數(shù)據(jù)隔離措施等這樣的證據(jù)來(lái)幫助雙方當(dāng)事人完成自己的舉證證明責(zé)任?！　?/span>

（二）目標(biāo)群體的具象化限制　　對(duì)個(gè)性化推送中的目標(biāo)群體進(jìn)行具象限制，是指通過(guò)用戶畫像所確定的推送群體不能夠無(wú)限制地縮小。　　目前，對(duì)于用戶畫像進(jìn)行具象化限制的學(xué)術(shù)探討較少，相應(yīng)的規(guī)范性文本中對(duì)于用戶畫像進(jìn)行限制的規(guī)定不多，主要分散于重視可操作性的國(guó)家標(biāo)準(zhǔn)當(dāng)中。比如《安全規(guī)范》中明確提出，“除為達(dá)到個(gè)人信息主體授權(quán)同意的使用目的所必需外，使用個(gè)人信息時(shí)應(yīng)消除明確身份指向性，避免精確定位到特定個(gè)人”。在《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南》關(guān)于記錄抑制的示例部分中同樣建議：“如果數(shù)據(jù)記錄中只有1人工作年限為0～3年，薪水為15k ～20k，則能夠定位到某個(gè)員工，應(yīng)用抑制技術(shù)刪除該條記錄?！薄　≡跀?shù)據(jù)處理者一方，每一位設(shè)備用戶都被進(jìn)行了標(biāo)簽化的處理，個(gè)性化推送的依據(jù)是用戶畫像中用于描述用戶的標(biāo)簽。數(shù)據(jù)處理者面對(duì)海量的設(shè)備用戶，在每勾選一個(gè)標(biāo)簽后，被選中用戶的群體數(shù)量就會(huì)相應(yīng)減少。從理論上來(lái)講，標(biāo)簽的數(shù)量可以是無(wú)限的，并且標(biāo)簽內(nèi)容可以進(jìn)行自定義。那么標(biāo)簽體系越豐富，選擇的標(biāo)簽數(shù)量越多，對(duì)于某一位設(shè)備用戶的描述也就越精準(zhǔn)。對(duì)選擇的推送目標(biāo)群體進(jìn)行具象化限制的目的，在于避免數(shù)據(jù)處理者選擇個(gè)性化信息推送的對(duì)象時(shí)，將標(biāo)簽體系組合所選中的目標(biāo)群體數(shù)量劃分得過(guò)少。因?yàn)槿绻麩o(wú)限制地勾選標(biāo)簽，最終很有可能將目標(biāo)縮小成一個(gè)人。此時(shí)，雖然個(gè)性化推送依據(jù)的是設(shè)備數(shù)據(jù)，但是最終的具象結(jié)果對(duì)該用戶而言具有了“識(shí)別性”，可以被看作個(gè)人信息。如果不加限制則會(huì)形成這樣的局面，即從數(shù)據(jù)處理者的角度來(lái)看，用戶是會(huì)被精準(zhǔn)到某個(gè)具體的自然人，只不過(guò)數(shù)據(jù)處理者僅僅沒(méi)有掌握該自然人的姓名、出生年月、身份證號(hào)碼、住址等個(gè)人信息而已。　　從保護(hù)用戶權(quán)利的角度來(lái)看，對(duì)目標(biāo)群體的具象化限制是個(gè)人信息保護(hù)的延伸。保護(hù)個(gè)人信息的目的，除了保護(hù)自然人對(duì)其個(gè)人信息的支配和自主決定以外，該制度的目的還在于“保護(hù)信息主體享有的防止因個(gè)人信息被不正當(dāng)使用而致使其隱私權(quán)等人格利益遭受侵害的風(fēng)險(xiǎn)”。就具體個(gè)人而言，是保證其在使用互聯(lián)網(wǎng)過(guò)程中的隱私體驗(yàn)和感受。不可否認(rèn)的是，隨著大數(shù)據(jù)技術(shù)的發(fā)展，技術(shù)對(duì)于司法的滲透范圍逐漸擴(kuò)大，其表現(xiàn)為法官在處理個(gè)人信息糾紛時(shí)，越來(lái)越重視技術(shù)在糾紛中的地位，“技術(shù)話語(yǔ)對(duì)于案件質(zhì)量的評(píng)價(jià)往往比法官乃至法院系統(tǒng)的自我評(píng)價(jià)更具有正當(dāng)性和說(shuō)服力”。尤其在立法供給不足的今日更是如此。對(duì)于具體類型的糾紛，司法應(yīng)當(dāng)警惕避免陷入技術(shù)主義，即所有的技術(shù)和措施都滿足現(xiàn)行規(guī)范的要求時(shí)，也需要對(duì)立法原本的目的給予足夠的重視。因此，要求個(gè)性化推送中加入對(duì)目標(biāo)群體的具象化限制，對(duì)于個(gè)人信息的保護(hù)而言是必要的。　　同時(shí)，具象化限制措施需要場(chǎng)景化的指引?！皥?chǎng)景”一詞不僅對(duì)于移動(dòng)互聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)行業(yè)具有重要意義，而且在衡量大數(shù)據(jù)時(shí)代的權(quán)利關(guān)系，保護(hù)個(gè)人信息安全上同樣舉足輕重。就目前已有的針對(duì)個(gè)性化推薦的具象化限制，都將“定位或識(shí)別到特定個(gè)人”的場(chǎng)景排除在外。設(shè)置該限制的理由是當(dāng)個(gè)性化推送將群體數(shù)量縮小為一個(gè)人時(shí)，基于設(shè)備數(shù)據(jù)的用戶畫像就具有了明確的“識(shí)別性”，從而成為實(shí)質(zhì)上的個(gè)人信息。但是，“定位或識(shí)別到特定個(gè)人”僅僅是具象化限制的最小級(jí)別，隨著場(chǎng)景的變化，包括不同標(biāo)簽組合的用戶群體選擇，又會(huì)面臨具體且不同的場(chǎng)景。比如除了用戶數(shù)量限制，具象化限制措施也可以在位置服務(wù)中應(yīng)用，目前主流的區(qū)分度包含“城市級(jí)”“區(qū)域級(jí)”“小區(qū)級(jí)”或“樓宇級(jí)”的群體定位。在此基礎(chǔ)上，配合“商場(chǎng)”“醫(yī)院”“學(xué)?！薄敖紖^(qū)”等以地點(diǎn)為依據(jù)的標(biāo)簽，會(huì)衍生出多種多樣的應(yīng)用場(chǎng)景。普通用戶的隱私感知，在不同的場(chǎng)景中是不一致的，“定位或識(shí)別到特定個(gè)人”不能適用于所有的情況。而用戶群體數(shù)量具體到何種程度，將邊界確定在何處，單單依靠法學(xué)理論或許難以回答，需要依靠執(zhí)法案例和司法案例的支持，甚至需要社會(huì)學(xué)、心理學(xué)等其他學(xué)科的幫助。也正因?yàn)槿绱?，學(xué)者們?cè)谟懻撽P(guān)于數(shù)據(jù)權(quán)利的問(wèn)題時(shí)，都會(huì)強(qiáng)調(diào)“在具體場(chǎng)景與信息關(guān)系中思考權(quán)利關(guān)系，這不僅是前沿理論的共識(shí)，也是不可避免的實(shí)踐真理”。

結(jié)　語(yǔ)

在“互聯(lián)網(wǎng)+”時(shí)代，數(shù)據(jù)技術(shù)和其相應(yīng)的產(chǎn)品在帶來(lái)便利的同時(shí)，也對(duì)人們的生活產(chǎn)生了不可忽視的影響。面對(duì)技術(shù)和產(chǎn)品迭代日益快速的當(dāng)下，立法者在面對(duì)個(gè)人信息保護(hù)的糾紛時(shí)，很難及時(shí)從立法供給層面給予支持，那么司法者在面對(duì)個(gè)人信息保護(hù)的糾紛時(shí)，需要從平衡“保護(hù)個(gè)人信息安全”和“促進(jìn)技術(shù)發(fā)展”的角度出發(fā)，對(duì)糾紛中數(shù)據(jù)技術(shù)的應(yīng)用進(jìn)行全面的審視?；跀?shù)據(jù)產(chǎn)品不斷滲透到個(gè)人生活并逐漸接觸到個(gè)人信息保護(hù)邊界的現(xiàn)狀，本文認(rèn)為雖然以個(gè)性化推送為代表的數(shù)據(jù)技術(shù)與產(chǎn)品就目前的商業(yè)模式而言是必要的，但同時(shí)應(yīng)當(dāng)進(jìn)行相應(yīng)的限制。就個(gè)性化推送行為而言，考慮到數(shù)據(jù)處理者和個(gè)人用戶在掌控?cái)?shù)據(jù)能力的懸殊地位，由數(shù)據(jù)處理者承擔(dān)數(shù)據(jù)隔離措施，以及對(duì)個(gè)性化推薦采取具象化限制，是目前解決當(dāng)下用戶在個(gè)人信息安全方面的焦慮，促進(jìn)司法解決個(gè)人信息保護(hù)糾紛的有效手段。　　當(dāng)下的技術(shù)進(jìn)步速度很快，行業(yè)與個(gè)人都無(wú)法預(yù)測(cè)技術(shù)能夠在何種程度，通過(guò)何種方式影響人們的生活。在提升國(guó)家治理現(xiàn)代化水平的進(jìn)程中，司法機(jī)關(guān)應(yīng)當(dāng)發(fā)揮自身的功能，兼顧技術(shù)發(fā)展和保障個(gè)人權(quán)利兩個(gè)方面，把握二者之間的平衡，從而讓技術(shù)服務(wù)于生活，警惕技術(shù)對(duì)于個(gè)人生活與權(quán)利的反噬。（本文來(lái)源：《中國(guó)應(yīng)用法學(xué)》2021年第1期）

《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松

 

編輯：海洋