查看原文
其他

“惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

朱悦 网安寻路人 2020-02-26

愈发精准的定向推送,已成今日互联网生态不可忽视的特性之一。应于这一趋势,正在公开征求意见的《数据安全管理办法》纳入以下新规定,并已引起广泛关注:“网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息”。

 

新规将在网络运营者利益与用户权益间勾设准衡。一方面,从事定向推送的经营者总渴求更多个人信息。循此,他们得以有针对性地投放内容:投放者的钱因此“花在刀刃上”,用户也将因此看到更为“合身”的内容。另一方面,无论是在不知情的前提下“深耕”个体信息,还是推送的内容或方式过分具有“侵略性”,都将唤起用户的负面情绪,并带来真切的社会成本。


于是,以下问题值得深入考量:赋权柄于用户,是否为合适的平衡点?

 

回答这一问题,或许要从上一段中的“另一方面”入手:通常而言,广告收益可谓“看得见,摸得着”,也可以数字切实统计;相比之下,用户层面所承担的成本,则不易客观估算。对后者,一度有不少观点,将“难于计量”与“并不存在”彼此混淆,甚或否认数据隐私本身的价值与意义。譬如,曾有学者尝试证明“隐私悖论”:据这一说法,用户对隐私的重视流于口头,而不及于现实选择。因此,讨论上述平衡前,需要评估这一观念。

 

就移动互联网世界整体而言,隐私当然影响用户的现实选择。在今年发表的研究中,基于对约300000款移动应用的细致分析,Kummer和Schulte得到以下结论:在应用下载方面,收集个人敏感数据多少和价格高低的影响类似。收集多相当于价格高,对应的是较低的下载量和更高的退出市场可能性;收集少相当于价格低,对应着较高的下载量和更低的退出市场的概率。实际上,只有已建立声誉的头部企业,才可“高枕无忧”地收集敏感信息。

 

在定向推送这一场景中,有类似的结论。实践中,显著影响用户决策的隐私特性大致有二:一关于信息,系指企业推送时所用信息的类型及精细程度;二关于安宁,系指企业展现相应信息时干扰个体正常浏览行为的程度。无论是过分“匹配”的推送,还是将特定情境中获取的信息用于另一情境下的推送,都会引起用户的不安与拒斥。当两类特性相结合,用户将因此表现尤其的排斥与反感。因此,第二段中的“另一方面”,确应作为权衡一极。

 

定向推送在隐私保护格局中的“显眼程度”,尤其凸显以上结论。对个人信息的保护,终究要回应个体对信息隐私的关切。定向推送,尤其是定向商业广告,又常成为前述关切中的核心:数年前关于医疗广告的论争,或可称为大众视野中信息隐私的“里程碑时刻”之一;直到今天,无论是“接到契合想法的广告时的‘细思极恐’”,还是对厂商采取特定信息用于推送的疑惑,都时常成为舆论焦点。建立此处信息,因而成为隐私规制“抓手”之一。

 

不过,问题只回答了一半:二者需要平衡,并不代表平衡的位置是“赋予用户权柄”。于是,揣摸恰当的平衡点,便成为接下来需要解决的问题。对此,相关产业及技术的空前复杂,或可作为探讨相应问题时的出发点。再次以精准广告产业为例:即便是最为简化的产业模型,“发布者”、“买方平台”、“卖方平台”等诸多参与者及其围绕个人数据的互动,恐怕也难以为普通人所理解;至于日新月异的匹配与拍卖等技术,那就更加“超纲”了。

 

产业经营者与用户间的高度信息不对称,成为纳入相应监管的契机之一。当信息的流动及处理已然如此复杂,无论如何设计告知手法,作为数据主体的用户,都将很难达成有意义的“知情”;如此程度的信息不对等,通常意味着市场很难发挥预期中的调节作用。以上,若不施以监管,“跷跷板”中的用户一极,将不再具备任何定力。由此,如果承认监管实属必要,则问题进一步细化:对获取或拒绝获取数据这一权利,双方各自该有多少比重?

 

如新规般将权重更多置于用户,是可行的出路。直观依据之一,是以权利方面的倾斜,来平衡信息方面的不对等。此外,这一解决方案蕴含了更多前景:其一,允许用户在“定推”与“非定推”间选择,或允许隐私偏好强烈的用户将自己从列表中除去,未必会降低推送准确性——总体数据仍在;剩余用户,也可能恰好是最乐于接受推送的群体;其二,这一安排相当“直率明白”。因此,若有其它措施相辅,广告等复杂产业的合规难题有望因此简化。

 

总之,回应文首平衡难题时,新规安排是有理据的选项。不过,勘断最终平衡前,或仍有以下因素需要考虑:伴随大数据、人工智能等技术发展,产业也在不断演变;新规对互联网生态的冲击如此剧烈,以至扰动整体格局;仅控制信息隐私一端,将导致经营者采取更具“侵略性”的推送作为弥补,反而降低体验,等等。如果承认这些因素可能发挥重要作用,那么,为相关平衡增加一些“左右摇曳”的“柔性”,也是可以采取的路径之一。(作者为对外经贸大学数字经济与法律创新中心研究员)




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存