愈发精准的定向推送，已成今日互联网生态不可忽视的特性之一。应于这一趋势，正在公开征求意见的《数据安全管理办法》纳入以下新规定，并已引起广泛关注：“网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息”。

新规将在网络运营者利益与用户权益间勾设准衡。一方面，从事定向推送的经营者总渴求更多个人信息。循此，他们得以有针对性地投放内容：投放者的钱因此“花在刀刃上”，用户也将因此看到更为“合身”的内容。另一方面，无论是在不知情的前提下“深耕”个体信息，还是推送的内容或方式过分具有“侵略性”，都将唤起用户的负面情绪，并带来真切的社会成本。

于是，以下问题值得深入考量：赋权柄于用户，是否为合适的平衡点？

回答这一问题，或许要从上一段中的“另一方面”入手：通常而言，广告收益可谓“看得见，摸得着”，也可以数字切实统计；相比之下，用户层面所承担的成本，则不易客观估算。对后者，一度有不少观点，将“难于计量”与“并不存在”彼此混淆，甚或否认数据隐私本身的价值与意义。譬如，曾有学者尝试证明“隐私悖论”：据这一说法，用户对隐私的重视流于口头，而不及于现实选择。因此，讨论上述平衡前，需要评估这一观念。

就移动互联网世界整体而言，隐私当然影响用户的现实选择。在今年发表的研究中，基于对约300000款移动应用的细致分析，Kummer和Schulte得到以下结论：在应用下载方面，收集个人敏感数据多少和价格高低的影响类似。收集多相当于价格高，对应的是较低的下载量和更高的退出市场可能性；收集少相当于价格低，对应着较高的下载量和更低的退出市场的概率。实际上，只有已建立声誉的头部企业，才可“高枕无忧”地收集敏感信息。

在定向推送这一场景中，有类似的结论。实践中，显著影响用户决策的隐私特性大致有二：一关于信息，系指企业推送时所用信息的类型及精细程度；二关于安宁，系指企业展现相应信息时干扰个体正常浏览行为的程度。无论是过分“匹配”的推送，还是将特定情境中获取的信息用于另一情境下的推送，都会引起用户的不安与拒斥。当两类特性相结合，用户将因此表现尤其的排斥与反感。因此，第二段中的“另一方面”，确应作为权衡一极。

定向推送在隐私保护格局中的“显眼程度”，尤其凸显以上结论。对个人信息的保护，终究要回应个体对信息隐私的关切。定向推送，尤其是定向商业广告，又常成为前述关切中的核心：数年前关于医疗广告的论争，或可称为大众视野中信息隐私的“里程碑时刻”之一；直到今天，无论是“接到契合想法的广告时的‘细思极恐’”，还是对厂商采取特定信息用于推送的疑惑，都时常成为舆论焦点。建立此处信息，因而成为隐私规制“抓手”之一。

不过，问题只回答了一半：二者需要平衡，并不代表平衡的位置是“赋予用户权柄”。于是，揣摸恰当的平衡点，便成为接下来需要解决的问题。对此，相关产业及技术的空前复杂，或可作为探讨相应问题时的出发点。再次以精准广告产业为例：即便是最为简化的产业模型，“发布者”、“买方平台”、“卖方平台”等诸多参与者及其围绕个人数据的互动，恐怕也难以为普通人所理解；至于日新月异的匹配与拍卖等技术，那就更加“超纲”了。

产业经营者与用户间的高度信息不对称，成为纳入相应监管的契机之一。当信息的流动及处理已然如此复杂，无论如何设计告知手法，作为数据主体的用户，都将很难达成有意义的“知情”；如此程度的信息不对等，通常意味着市场很难发挥预期中的调节作用。以上，若不施以监管，“跷跷板”中的用户一极，将不再具备任何定力。由此，如果承认监管实属必要，则问题进一步细化：对获取或拒绝获取数据这一权利，双方各自该有多少比重？

如新规般将权重更多置于用户，是可行的出路。直观依据之一，是以权利方面的倾斜，来平衡信息方面的不对等。此外，这一解决方案蕴含了更多前景：其一，允许用户在“定推”与“非定推”间选择，或允许隐私偏好强烈的用户将自己从列表中除去，未必会降低推送准确性——总体数据仍在；剩余用户，也可能恰好是最乐于接受推送的群体；其二，这一安排相当“直率明白”。因此，若有其它措施相辅，广告等复杂产业的合规难题有望因此简化。

总之，回应文首平衡难题时，新规安排是有理据的选项。不过，勘断最终平衡前，或仍有以下因素需要考虑：伴随大数据、人工智能等技术发展，产业也在不断演变；新规对互联网生态的冲击如此剧烈，以至扰动整体格局；仅控制信息隐私一端，将导致经营者采取更具“侵略性”的推送作为弥补，反而降低体验，等等。如果承认这些因素可能发挥重要作用，那么，为相关平衡增加一些“左右摇曳”的“柔性”，也是可以采取的路径之一。（作者为对外经贸大学数字经济与法律创新中心研究员）

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路