数安条例百问84、85:关于个性化推荐
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除
对应条款
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
解读
个性化推荐代表了信息传播技术的发展趋势。相比于不区别受众、大水漫灌的传统信息传播模式,在信息爆炸时代,个性化推荐提高了传播效率,可以针对个人精准定制和推送信息,为受众获得高质量信息服务带来了便利。
此后,个性化推荐逐渐从信息传播应用扩展到了所有可能的互联网服务领域,加之人工智能技术的助力,其已经成为实现互联网服务交付的一种基本模式。这一术语也演变为了“算法推荐”,扩充而成应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等技术(为行文方便,后文未专门区分个性化推荐与算法推荐),应用越来越广泛。但同时,个性化推荐也暴露出很多需要规范的问题,是当前互联网治理的重点。例如,个性化推荐的背后是算法在发挥作用,但算法可以被人为操纵,精准决定特定用户能够接受的信息和服务,这种舆论控制能力当然会对国家安全、社会治理带来挑战。美国前总统特朗普在与希拉里竞选时,一家名为“剑桥分析”的公司利用从Facebook上获得的用户数据,对超过八千万的美国人进行精准个人画像,然后定向推送竞选广告,这被人认为是特朗普上位的重要原因。
正因为如此,目前各国都在对个性化推荐加强管理。2021年8月,中央网信办印发了《互联网信息服务算法推荐管理规定(征求意见稿)》,开始着手建立算法推荐管理制度。
但《互联网信息服务算法推荐管理规定(征求意见稿)》尚属部门规章,层级不高。特别是,个性化推荐之所以能体现“个性化”,完全是基于对个人信息收集处理,故应当立法从数据安全角度对个性化推荐进行规范。这便是《条例》第四十九条的立法目的。
既然个性化推荐与个人信息关系密切,那么国外的数据安全法律是如何处理这一问题的呢?总体而言,由于个性化推荐是当前很多互联网业态特别是广告业的运行基础,故立法者长期与大型企业、行业协会进行博弈,导致国外的法律规定往往成为妥协的结果。例如,欧盟《通用数据保护条例》(GDPR)第22条规定,若仅基于自动化处理的决策,包括画像,对数据主体产生法律效力或产生类似的重要影响,则数据主体有权拒绝接受此决策的约束。这意味着,GDPR并不限制对用户进行画像,也不对由此实施的个性化推荐进行严格规范。
但基于我国互联网发展的实际,无论从内容安全考虑还是个人信息保护角度考虑,都应当对个性化推荐提出个人信息保护要求。
对应条款
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
解读
《条例》第四十九条第(一)项可以说是引发讨论最多的规定,原因是互联网广告业。
广告是互联网公司的首要变现方式,而互联网公司的免费服务都来自于背后广告收入的支撑。这就是“羊毛出在猪身上”的出处。可以毫不夸张地说,正是互联网广告业支撑着互联网的商业逻辑。在“广告”无处不在的商业社会中,由于互联网应用的普及,目前互联网广告的比重相当高。有人说,在万亿的广告市场中,互联网广告占到7000亿,也有说法是占到9000亿。但无论如何,互联网广告已经可以代表广告业的主体,这是不争的事实。
但互联网广告也经历了不同的发展过程。当前,精准投放是互联网广告的基本模式。精准到什么程度呢?甚至户外大屏广告都可以做到“精准”,因为其要收集所在地居民、企业的经济状况、生活习惯、购买意愿等情况。这个道理再简单不过,只有“投其所好”“瞌睡送个枕头”,广告才能发挥引导用户购物的作用。因此,精准投放成为了广告主的不二法门,是互联网广告的主要模式。
但精准投放是以收集用户个人信息为前提的,这是一种典型的个性化推荐行为,直接和《个人信息保护法》发生了关联。
那么,如何处理精准投放与收集用户个人信息的关系呢?国外采取的是相对宽容的做法——这并不意味着国外的个人信息保护水平低,而是各方博弈的结果。甚至在广告推送模式的选择中,国外个人信息保护制度也没有在opt-in和opt-out的对抗中站队。所谓opt-in,即默认不同意进来,除非专门允许;所谓opt-out,即默认同意进来,除非专门拒绝。前者很严格,所以广告主往往都希望使用后一种模式。即直接推送广告,直到用户明确表示拒绝。但用户往往选择前者,因为用户的感觉会更“清净”——除非用户明确同意,否则广告不要进来。
有一种说法,美国支持opt-out模式,欧盟支持opt-in模式,特别是在GDPR实施后。但实际上,尽管GDPR对个人信息保护很严格,但也没有对opt-in和opt-out作出裁决。所以直到今天,全球范围内两种模式的争论仍在进行。
直到《条例》第四十九条第(一)项作了规定,人们看到了中国在这方面的最新政策趋势——立法明确opt-in模式,因为只有用户同意且单独同意后才可以进行个性化推荐(精准推送广告),此举引起的震动可想而知。
那么,《条例》为什么一定要这么做呢?这实际上与是否规范互联网广告业没有关系,完全是从个性化推荐的技术原理角度出发而考虑的。个性化推荐在收集用户个人信息时有两个特点,一是范围不限定,大量个人信息都可能被用作对用户的精准画像;二是时间不限定,几乎不存在“收集个人信息前”的概念,因为其收集用户个人信息是随时的,没有确定的时刻,且长期实施。那么,既然这不属于《个人信息保护法》第十三条规定的“例外”事项,当然就应该征得用户的同意。而鉴于其收集个人信息的范围、时间上的不确定性,这个“同意”只能在实际进行个性化推荐的时候完成,由此造成了事实上的opt-in效果。
那么,第四十九条第(一)项有没有修改的空间呢?不是没有,但如果一定要修改,应当修改《个人信息保护法》中对“同意”的规定。不能有了规定而不执行,或者按不同的理解去执行。
需要看到,中央、地方对数据立法的倾向有着明显的区别。中央强调数据安全,而地方强调数据开发利用。虽然理论上,中央和地方的立法层级不一样,但从地方立法的措辞看,明显与中央不同。2021年12月9日,上海市市场监管局、上海市经信委联合印发了《关于推动上海市数字广告业高质量发展的指导意见》。文件指出:
“鼓励数字广告企业开发面向不同人群、不同场景的应用功能,提升广告个性化定制和精准投放效率,满足市场多样化需求。鼓励高效应用公共数据,依托全市大数据资源平台体系,支持开展数据采集、脱敏脱密、共享开放、交易流通等研究,探索制定数字广告大数据应用和隐私计算标准,保护数据安全,促进数据效益放大。”
那么,文件有没有对数据安全提出具体要求呢?监管倒是涉及了,但措辞是“加强包容审慎监管”。文件要求:“健全数字广告监管体系,提升科学智慧监管水平。加强数字广告新业态、新形式研究,采取包容审慎、分类处置的方式,进一步完善市场轻微违法行为免罚清单。优化升级广告监测体系,提升数字广告监测能力和监管效能。加强行政指导和法律法规宣传,指导企业健全管理制度,依法规范从事广告活动。依托长三角市场监管一体化平台,加强长三角地区广告监管和产业发展交流与合作。”
这个案例,留给了人们更多思考。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问74、75、76、77、78:关于平台规则、隐私政策和算法策略
