數安條例百問84、85:關于個性化推薦
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除
對應條款
第四十九條 互聯網平臺運營者利用個人信息和個性化推送算法向用戶提供信息的,應當對推送信息的真實性、準確性以及來源合法性負責,并符合以下要求:
(一)收集個人信息用于個性化推薦時,應當取得個人單獨同意;
(二)設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項,允許用戶拒絕接受定向推送信息,允許用戶重置、修改、調整針對其個人特征的定向推送參數;
(三)允許個人刪除定向推送信息服務收集產生的個人信息,法律、行政法規另有規定或者與用戶另有約定的除外。
解讀
個性化推薦代表了信息傳播技術的發展趨勢。相比于不區別受眾、大水漫灌的傳統信息傳播模式,在信息爆炸時代,個性化推薦提高了傳播效率,可以針對個人精準定制和推送信息,為受眾獲得高質量信息服務帶來了便利。
此后,個性化推薦逐漸從信息傳播應用擴展到了所有可能的互聯網服務領域,加之人工智能技術的助力,其已經成為實現互聯網服務交付的一種基本模式。這一術語也演變為了“算法推薦”,擴充而成應用生成合成類、個性化推送類、排序精選類、檢索過濾類、調度決策類等技術(為行文方便,后文未專門區分個性化推薦與算法推薦),應用越來越廣泛。但同時,個性化推薦也暴露出很多需要規范的問題,是當前互聯網治理的重點。例如,個性化推薦的背后是算法在發揮作用,但算法可以被人為操縱,精準決定特定用戶能夠接受的信息和服務,這種輿論控制能力當然會對國家安全、社會治理帶來挑戰。美國前總統特朗普在與希拉里競選時,一家名為“劍橋分析”的公司利用從Facebook上獲得的用戶數據,對超過八千萬的美國人進行精準個人畫像,然后定向推送競選廣告,這被人認為是特朗普上位的重要原因。
正因為如此,目前各國都在對個性化推薦加強管理。2021年8月,中央網信辦印發了《互聯網信息服務算法推薦管理規定(征求意見稿)》,開始著手建立算法推薦管理制度。
但《互聯網信息服務算法推薦管理規定(征求意見稿)》尚屬部門規章,層級不高。特別是,個性化推薦之所以能體現“個性化”,完全是基于對個人信息收集處理,故應當立法從數據安全角度對個性化推薦進行規范。這便是《條例》第四十九條的立法目的。
既然個性化推薦與個人信息關系密切,那么國外的數據安全法律是如何處理這一問題的呢?總體而言,由于個性化推薦是當前很多互聯網業態特別是廣告業的運行基礎,故立法者長期與大型企業、行業協會進行博弈,導致國外的法律規定往往成為妥協的結果。例如,歐盟《通用數據保護條例》(GDPR)第22條規定,若僅基于自動化處理的決策,包括畫像,對數據主體產生法律效力或產生類似的重要影響,則數據主體有權拒絕接受此決策的約束。這意味著,GDPR并不限制對用戶進行畫像,也不對由此實施的個性化推薦進行嚴格規范。
但基于我國互聯網發展的實際,無論從內容安全考慮還是個人信息保護角度考慮,都應當對個性化推薦提出個人信息保護要求。
對應條款
第四十九條 互聯網平臺運營者利用個人信息和個性化推送算法向用戶提供信息的,應當對推送信息的真實性、準確性以及來源合法性負責,并符合以下要求:
(一)收集個人信息用于個性化推薦時,應當取得個人單獨同意;
(二)設置易于理解、便于訪問和操作的一鍵關閉個性化推薦選項,允許用戶拒絕接受定向推送信息,允許用戶重置、修改、調整針對其個人特征的定向推送參數;
(三)允許個人刪除定向推送信息服務收集產生的個人信息,法律、行政法規另有規定或者與用戶另有約定的除外。
解讀
《條例》第四十九條第(一)項可以說是引發討論最多的規定,原因是互聯網廣告業。
廣告是互聯網公司的首要變現方式,而互聯網公司的免費服務都來自于背后廣告收入的支撐。這就是“羊毛出在豬身上”的出處。可以毫不夸張地說,正是互聯網廣告業支撐著互聯網的商業邏輯。在“廣告”無處不在的商業社會中,由于互聯網應用的普及,目前互聯網廣告的比重相當高。有人說,在萬億的廣告市場中,互聯網廣告占到7000億,也有說法是占到9000億。但無論如何,互聯網廣告已經可以代表廣告業的主體,這是不爭的事實。
但互聯網廣告也經歷了不同的發展過程。當前,精準投放是互聯網廣告的基本模式。精準到什么程度呢?甚至戶外大屏廣告都可以做到“精準”,因為其要收集所在地居民、企業的經濟狀況、生活習慣、購買意愿等情況。這個道理再簡單不過,只有“投其所好”“瞌睡送個枕頭”,廣告才能發揮引導用戶購物的作用。因此,精準投放成為了廣告主的不二法門,是互聯網廣告的主要模式。
但精準投放是以收集用戶個人信息為前提的,這是一種典型的個性化推薦行為,直接和《個人信息保護法》發生了關聯。
那么,如何處理精準投放與收集用戶個人信息的關系呢?國外采取的是相對寬容的做法——這并不意味著國外的個人信息保護水平低,而是各方博弈的結果。甚至在廣告推送模式的選擇中,國外個人信息保護制度也沒有在opt-in和opt-out的對抗中站隊。所謂opt-in,即默認不同意進來,除非專門允許;所謂opt-out,即默認同意進來,除非專門拒絕。前者很嚴格,所以廣告主往往都希望使用后一種模式。即直接推送廣告,直到用戶明確表示拒絕。但用戶往往選擇前者,因為用戶的感覺會更“清凈”——除非用戶明確同意,否則廣告不要進來。
有一種說法,美國支持opt-out模式,歐盟支持opt-in模式,特別是在GDPR實施后。但實際上,盡管GDPR對個人信息保護很嚴格,但也沒有對opt-in和opt-out作出裁決。所以直到今天,全球范圍內兩種模式的爭論仍在進行。
直到《條例》第四十九條第(一)項作了規定,人們看到了中國在這方面的最新政策趨勢——立法明確opt-in模式,因為只有用戶同意且單獨同意后才可以進行個性化推薦(精準推送廣告),此舉引起的震動可想而知。
那么,《條例》為什么一定要這么做呢?這實際上與是否規范互聯網廣告業沒有關系,完全是從個性化推薦的技術原理角度出發而考慮的。個性化推薦在收集用戶個人信息時有兩個特點,一是范圍不限定,大量個人信息都可能被用作對用戶的精準畫像;二是時間不限定,幾乎不存在“收集個人信息前”的概念,因為其收集用戶個人信息是隨時的,沒有確定的時刻,且長期實施。那么,既然這不屬于《個人信息保護法》第十三條規定的“例外”事項,當然就應該征得用戶的同意。而鑒于其收集個人信息的范圍、時間上的不確定性,這個“同意”只能在實際進行個性化推薦的時候完成,由此造成了事實上的opt-in效果。
那么,第四十九條第(一)項有沒有修改的空間呢?不是沒有,但如果一定要修改,應當修改《個人信息保護法》中對“同意”的規定。不能有了規定而不執行,或者按不同的理解去執行。
需要看到,中央、地方對數據立法的傾向有著明顯的區別。中央強調數據安全,而地方強調數據開發利用。雖然理論上,中央和地方的立法層級不一樣,但從地方立法的措辭看,明顯與中央不同。2021年12月9日,上海市市場監管局、上海市經信委聯合印發了《關于推動上海市數字廣告業高質量發展的指導意見》。文件指出:
“鼓勵數字廣告企業開發面向不同人群、不同場景的應用功能,提升廣告個性化定制和精準投放效率,滿足市場多樣化需求。鼓勵高效應用公共數據,依托全市大數據資源平臺體系,支持開展數據采集、脫敏脫密、共享開放、交易流通等研究,探索制定數字廣告大數據應用和隱私計算標準,保護數據安全,促進數據效益放大。”
那么,文件有沒有對數據安全提出具體要求呢?監管倒是涉及了,但措辭是“加強包容審慎監管”。文件要求:“健全數字廣告監管體系,提升科學智慧監管水平。加強數字廣告新業態、新形式研究,采取包容審慎、分類處置的方式,進一步完善市場輕微違法行為免罰清單。優化升級廣告監測體系,提升數字廣告監測能力和監管效能。加強行政指導和法律法規宣傳,指導企業健全管理制度,依法規范從事廣告活動。依托長三角市場監管一體化平臺,加強長三角地區廣告監管和產業發展交流與合作。”
這個案例,留給了人們更多思考。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
