查看原文
其他

GDPR对用户画像的合规要求分析(DPO社群成员观点)

王洁 网安寻路人 2020-02-26

大数据时代,用户画像的应用日益广泛,尤其在信息、广告的个性化推荐场景中,基本逻辑之一就是使用用户画像。我国《信息安全技术 个人信息安全规范》在今年发布的修订征求意见稿中也对用户画像的使用作出了一些限制,如用户画像对个人信息主体的特征描述中不得包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;不得表达对民族、种族、宗教、残疾、疾病歧视的内容,同时明确了在业务运营和对外业务合作中使用用户画像的一些禁止性行为。


欧盟GDPR对用户画像进行了专门规制。29条数据保护工作组发布的《自动化个人决策和用户画像的指导原则》[i]中,一方面肯定了画像使用和自动化决策带来的效率提升和成本节约的便利。同时也关注到其可能对个人权利和自由产生重要的风险,包括:1、画像的形成和处理是不透明的,个人信息主体并不知情其正在被画像。2、画像可能延续现有的刻板印象,造成社会隔离,新闻、信息等个性化推荐导致信息茧房,将个人限制在喜好的狭窄范围中,从而破坏个体的选择自由。3、在某些情况下,画像可能导致不准确的预测,或者可能导致个体被拒绝提供服务,遭受不正当的歧视。


据此,GDPR对数据控制者的用户画像处理行为施加了多项义务,并赋予数据主体多项数据权利,来降低、消除上述风险和影响。本文拟对29条工作组有关用户画像指导原则的内容做分析,以作为对画像处理实践的借鉴。


因画像与自动化决策有密切的关联,所以本文将先分析两者的关联和区别,然后在此基础上,重点分析在画像的形成、使用、共享过程中,控制者所负的义务和数据主体享有的各项权利。

 

一、画像和自动化决策的关系


根据GDPR 4(4)条画像的定义,画像是通过自动化方式使用个人信息进行分析或预测个人特征的过程。基于已知的特征,如年龄、性别、身高等对个人进行的分类并不必然构成画像,关键在于分类的目的是否是为了对个人进行预测或分析。


关于自动决策与画像的关系,工作组认为:两者范围不同,自动决策可能部分与画像重叠或基于画像分析产生。自动决策可以基于或不基于画像而进行;画像可以在不进行自动决策的情况下进行。以下示例可以较好的说明画像和自动化决策的区别和关系。


示例1:纯粹根据测速摄像头的证据征收超速罚款是一种自动决策过程,而不涉及到画像。


示例2:如果罚款金额是综合了其他因素的评估结果,例如通过在一段时间内对个人的驾驶习惯进行监控以判断其是否多次超速、最近是否有其他交通违规行为等,即成为一个基于画像的决策。


示例3:不完全自动化的决策也可能包括画像的使用。例如,在发放抵押贷款之前,银行可能会考虑借款人的信用评分,但又不完全依赖于自动化决策,而是施加其他额外的有意义的干预。

 

二、控制者进行用户画像时应履行的义务


对用户进行画像通常涉及三个阶段:(1)数据收集;(2)自动分析以识别相关性;(3)将识别出的相关性应用于个体以分析、预测该个体当前或未来的行为特征。所以,用户画像作为一种数据处理活动而需要满足GDPR的合规要求,具体包括:


  1. 作为一种数据处理活动,按照12.1条的要求,控制者必须向数据主体提供关于其个人数据用于画像的简洁、透明、易懂和易于获取的信息。


  2. 因画像会使用最初基于其他目的而收集的个人信息,所以进行画像时,需要评估生成画像的处理程序是否与最初收集数据时的目的相兼容。在《自动化个人决策和用户画像的指导原则》中,工作组通过以下例子进行说明:一些移动应用程序提供定位服务,允许用户找到附近的餐馆。同时,收集的定位数据也被用来建立关于数据主体的画像,并用于营销目的——确定他们的食物偏好,或总体生活方式。数据主体可以预知其数据将被用于寻找餐厅,但不会预期到应用程序在发现他们回家晚时会被推送披萨广告。这种对位置数据的进一步使用可能与最初收集位置数据的目的不兼容,因此可能需要有关个人的再次同意。工作组建议在评估兼容性时参考以下因素:(1)收集数据的目的与画像目的之间的关系;(2)收集数据的场景以及数据主体对其进一步画像使用的合理预期;(3)数据的性质;(4)画像对数据主体的影响;(5)控制者为确保公平处理和防止对数据主体的任何不当影响而采取的保障措施。


  3. 数据最小化要求。考虑到画像创造的商业机会可能鼓励企业收集比实际需要更多的个人数据。GDPR要求控制者必须确保和证明自身对数据的处理(包括画像)符合数据最小化原则,以及用途限制和存储限制原则的要求。


  4. 控制者应考虑画像处理过程所有阶段的准确性,并遵守准确性原则的要求。如果画像形成过程中使用的数据不准确,则任何画像和基于此的决策都将有缺陷。即使原始数据被准确记录,用于形成画像的数据集也可能无法完全代表该数据主体,从而导致画像可能包含隐藏的偏差。此时,控制者需要引入强有力的措施,以持续验证和确保重复使用或间接获得的数据是准确和最新的。基于此,控制者需要向数据主体提供有关正在进行画像的个人数据的清晰说明,以便数据主体能够纠正任何不准确之处并提高数据质量。


  5. 确保画像处理具有合法性基础:如果控制者将同意作为用户画像的基础,需要证明数据主体准确理解其同意的内容并向数据主体提供足够的相关信息,告知数据主体关于画像处理的预期用途和后果,以确保数据主体的同意确实是在充分知情基础上作出的选择。如果控制者以履行合同、法定义务必要或保护重大利益必须等其他事由作为画像处理的合法性基础,则工作组倾向于对必要性做狭义解释,并给出了错误示例。例如:当用户从在线零售商处购买商品时,为了履行合同,零售商必须处理用户的信用卡信息用于支付目的和用户的地址以交付货物。合同的完成并不依赖于根据用户对网站的访问建立用户兴趣和生活方式选择的画像。仅此一项事实并不意味着履行合同是必要的。


  6. 特殊类别数据的要求:如果在画像形成的过程中推断出了个人敏感的喜好和特征,如个人的健康、政治信仰、宗教信仰或性取向,控制者应确保:(1)该目的与原始的处理目的需兼容;(2)享有处理特殊类别数据的合法依据;(3)告知数据主体有关画像处理的信息。

 

针对画像形成和处理的不透明性,以及画像可能导致不准确的预测、个体遭受不正当的歧视等,GDPR赋予了数据主体多项权利,包括:1、被通知的权利:控制者应确保清楚而简单地向数据主体解释画像形成的过程;2、访问的权利:数据主体有权获取用于画像的任何个人数据的详细信息的权利,包括用于构建画像的数据类别。在访问权的角度,GDPR规定了例外,即访问权不应对他人的权利或自由产生不利影响,包括商业秘密或知识产权,尤其是保护软件的版权。3、更正权、删除权:更正和删除的权利同时适用于“输入个人数据”(用于创建画像的个人数据)和“输出数据”(画像本身或针对此人进行的打分)。4、反对权。除非数据控制者能够证明,相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行画像处理,否则数据主体享有画像的反对权。此外,数据主体有权随时反对为了直接营销目的而对个人进行画像。

 

四、对外共享用户画像时双方应履行的合规义务


在共享场景下,共享画像的一方和接受画像的一方都应充分向数据主体履行告知义务并保障数据主体享有的各项权利。在《自动化个人决策和用户画像的指导原则》中,工作组举例说明如下:如果A公司向B公司共享用户画像,B公司用于通过用户画像进行精准营销。A公司应当就其向B公司共享画像告知数据主体。B公司应告知数据主体(第14(1)(c)条)使用画像的目的,以及自身从何处获得的画像(14(2)(f))。B公司还必须告知数据主体享有反对权(第21(2)条)。A公司与B公司应允许数据主体有权访问画像所使用的信息(第15条),有权更正任何错误信息(第16条),并在某些情况下删除画像或用于创建该画像的个人数据(第17条)。如果B公司将该画像作为完全自动化决策的一部分,该自动化决策对数据主体具有法律或类似重大影响,则B公司还需要满足GDPR第22条有关完全自动化决策的合规要求。

 

五、小结


GDPR下对于画像的形成、使用、共享环节中控制者的合规义务和数据主体权利的保障都进行了详细的规定。尤其是在画像共享方面,GDPR并不禁止用户画像的共享,只要共享方和接收方都能按照合规的要求向用户清晰详细的告知并保障用户各项权利的实现即可。


大数据技术的发展和基于画像进行的个性化推荐在商业领域的利用,极大便利了消费市场的细分,节约了社会成本。对于画像使用过程中可能对个人权利和自由产生的风险,控制者通过增加画像形成、处理过程的透明度并向用户充分告知,同时在此基础上保障用户拒绝、更正、删除的权利,是平衡市场需求、技术发展和数据主体权益保障的可行方式。(作者为百度高级法律顾问)




[i]本文分析及示例均来自GDPR条文文本以及《Guidelines on Automated individual decision-making and Profiling for the purposes ofRegulation 2016/679, WP251rev.01》https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存