2021-03-30 17:32:32 來源：中國周刊

作者：李一帆、中國應(yīng)用法學(xué)研究所博士后。

個性化推送作為互聯(lián)網(wǎng)時代商業(yè)中的常用營銷方式，面臨侵犯個人信息安全的質(zhì)疑。在個人信息保護(hù)糾紛案件中，司法需要對該行為的法律屬性進(jìn)行判斷。本文結(jié)合個性化推送在技術(shù)上的實現(xiàn)路徑，認(rèn)為正常限度內(nèi)的個性化推送可以被允許，但同時提議通過采取“數(shù)據(jù)隔離措施”以及“具象化限制措施”作為在司法糾紛中判斷個性化推送是否侵權(quán)的參考依據(jù)，以此為個性化推送行為厘清邊界。

一、問題的提出

目前，世界已經(jīng)進(jìn)入數(shù)字時代，習(xí)近平總書記敏銳地察覺到這一個變化，提出要運用大數(shù)據(jù)提升國家治理現(xiàn)代化水平。當(dāng)下，數(shù)據(jù)已經(jīng)成為一種資產(chǎn)，可以作為生產(chǎn)要素參與社會分配。云計算、大數(shù)據(jù)、人工智能，這些作為數(shù)字時代的通用技術(shù)，伴隨著具體應(yīng)用的更新和下沉，以具體產(chǎn)品的形式嵌入普通用戶的生活。但是面對新的技術(shù)產(chǎn)品，一般用戶很難對技術(shù)的實現(xiàn)過程有深入的了解，其直觀的使用感知構(gòu)成了對產(chǎn)品的認(rèn)知。由于技術(shù)的實現(xiàn)過程往往和用戶的認(rèn)知存在差別，因此在使用感知上引起用戶警覺的產(chǎn)品便更容易遭到質(zhì)疑。比如在個人信息保護(hù)層面，個性化推送便是這種由于用戶感知和實現(xiàn)過程不一致而導(dǎo)致用戶擔(dān)心自己個人信息被侵犯的典型技術(shù)應(yīng)用。　　用戶基于這種擔(dān)憂的心理，起訴該類服務(wù)提供商的糾紛，始于2015年朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)一案。在該案中，爭議的主要內(nèi)容是基于cookie技術(shù)的精準(zhǔn)網(wǎng)絡(luò)廣告是否侵犯了公民個人隱私權(quán)。該案的裁判要旨在于：“cookie技術(shù)收集、利用的匿名網(wǎng)絡(luò)偏好信息雖具有隱私屬性，但不能與網(wǎng)絡(luò)用戶個人身份對應(yīng)識別，網(wǎng)絡(luò)服務(wù)提供者和社會公眾無法確定該偏好信息的歸屬主體，不符合個人隱私和個人信息的‘可識別性’要求，因而該行為不構(gòu)成侵犯隱私權(quán)。”時至今日，精準(zhǔn)廣告以“個性化推送”的形式，被廣泛用于移動互聯(lián)網(wǎng)。個性化推送的技術(shù)和實現(xiàn)過程，相比該類糾紛發(fā)生時已經(jīng)產(chǎn)生了很大的改變。因而現(xiàn)在的個性化推送行為是否侵犯了公民個人信息，成為司法實踐中解決個人信息保護(hù)糾紛時必須面對的問題。　　本文對個性化推送中的個人信息保護(hù)問題進(jìn)行探討。首先，文章對個性化推送的數(shù)據(jù)收集、技術(shù)路徑和實現(xiàn)方式進(jìn)行介紹；其次，基于個性化推送的技術(shù)特點，通過基礎(chǔ)數(shù)據(jù)的屬性和用戶畫像中標(biāo)簽的屬性，分析個性化推送的數(shù)據(jù)應(yīng)用是否應(yīng)當(dāng)被歸類于侵犯公民個人信息的行為；最后，立足于平衡“保護(hù)公民個人信息”和“促進(jìn)技術(shù)進(jìn)步”的立場，文章建議通過“數(shù)據(jù)隔離措施”以及“具象化限制措施”這兩項由數(shù)據(jù)處理者承擔(dān)的義務(wù)，來協(xié)助司法人員對個性化推送行為進(jìn)行合理與否的判斷。同時，說明這兩項措施也可以為數(shù)據(jù)處理者設(shè)定數(shù)據(jù)合理應(yīng)用的邊界。　　

二、個性化推送的技術(shù)邏輯

（一）起點：設(shè)備數(shù)據(jù)　　個性化推送是以設(shè)備數(shù)據(jù)為基礎(chǔ)，通過數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)實現(xiàn)的商業(yè)行為。在數(shù)據(jù)行業(yè)的實踐中，廣義的“數(shù)據(jù)”一般是指限定于計算機(jī)和網(wǎng)絡(luò)空間中的電子數(shù)據(jù)。在諸多數(shù)據(jù)中，根據(jù)數(shù)據(jù)的敏感程度進(jìn)行區(qū)分，數(shù)據(jù)可以被分為敏感數(shù)據(jù)和非敏感數(shù)據(jù)。敏感數(shù)據(jù)通常是個人信息的數(shù)據(jù)化表現(xiàn)形式，比如《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱“《安全規(guī)范》”）的附錄中通過示例的方式列出了幾項個人敏感信息，其中包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡等。個人的非敏感數(shù)據(jù)，在數(shù)據(jù)處理者看來，通常是用戶所使用的個人常用設(shè)備所產(chǎn)生的數(shù)據(jù)，比如設(shè)備的硬件序列號、設(shè)備MAC地址、軟件列表、唯一設(shè)備識別碼（如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息）等。　　個性化推送需要運用設(shè)備數(shù)據(jù)的原因在于用戶的行為、興趣、消費傾向等具有商業(yè)價值的信息，具有動態(tài)性和時效性的特點，會隨著時間不斷地改變和轉(zhuǎn)移。因此，對于用戶的描述需要不斷地進(jìn)行更新，才能更加精準(zhǔn)地表示用戶特征，避免滯后性。在諸多數(shù)據(jù)和信息種類中，設(shè)備數(shù)據(jù)相比于內(nèi)容較為固定的個人信息來講，更能直觀地反映這些變化。比如用戶卸載或者安裝了某些app、用戶在某個app的使用時間變長、基于設(shè)備的位置數(shù)據(jù)獲知設(shè)備用戶經(jīng)常出入的場所變化等。因此，設(shè)備數(shù)據(jù)是個性化推送的起點。

（二）依據(jù)：用戶畫像　　用戶畫像是指根據(jù)用戶所產(chǎn)生的設(shè)備數(shù)據(jù)，數(shù)據(jù)處理者通過數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)，構(gòu)建出用戶在社交關(guān)系、偏好習(xí)慣和消費行為等方面的標(biāo)簽化畫像。該技術(shù)的定位是一種“快速、精準(zhǔn)分析用戶行為模式、消費習(xí)慣等商業(yè)信息的數(shù)據(jù)分析工具”，為企業(yè)進(jìn)行精準(zhǔn)營銷提供便利。《安全規(guī)范》對用戶畫像的定義是：“通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個人喜好、信用、行為等方面作出分析或預(yù)測，形成其個人特征模型的過程。”　　隨著大數(shù)據(jù)技術(shù)的不斷推進(jìn)，用戶畫像的應(yīng)用越來越廣，在現(xiàn)有的具體應(yīng)用場景中，用戶感知度最高的就是依據(jù)用戶畫像實現(xiàn)的廣告精準(zhǔn)投放。在行業(yè)實踐中，通過用戶畫像進(jìn)行信息推送的模式之所以能夠成為主流，原因在于這種投放方式可以精準(zhǔn)地分配和使用廣告預(yù)算，提升廣告效果，同時，也使得消費者可以獲取更為有效的商品信息。但是“精準(zhǔn)”的前提是廣告商需要對用戶群體進(jìn)行相應(yīng)的了解，對用戶的喜好進(jìn)行分析。然而，用戶對個性化推送產(chǎn)生侵犯自身個人信息安全的質(zhì)疑也恰恰來源于此。　　用戶畫像中最基本的元素是標(biāo)簽，而標(biāo)簽是通過設(shè)備數(shù)據(jù)實現(xiàn)的。首先，數(shù)據(jù)企業(yè)在開展進(jìn)一步的業(yè)務(wù)時，會通過設(shè)備的國際移動設(shè)備識別碼（International Mobile Equipment Identity，簡稱“IMEI號”）實現(xiàn)對每一部設(shè)備的標(biāo)識。作為業(yè)務(wù)基礎(chǔ)的數(shù)據(jù)通常是設(shè)備數(shù)據(jù)，其具體形式多為設(shè)備終端的日志信息。然后，信息處理者會通過算法搭建模型，對用戶實現(xiàn)特定領(lǐng)域的分析，該分析最終形成的反饋結(jié)果也是圍繞某一部設(shè)備而言的。如上所述，目前用戶畫像的形成一般是指對設(shè)備用戶進(jìn)行標(biāo)簽化的處理，而形成標(biāo)簽所依賴的基礎(chǔ)多為用戶的設(shè)備數(shù)據(jù)。例如，數(shù)據(jù)處理者可以對某一位設(shè)備用戶打上“生活在北京”“學(xué)生”“喜歡購物”等標(biāo)簽，其中“生活在北京”的標(biāo)簽可以通過設(shè)備的位置數(shù)據(jù)達(dá)成；“學(xué)生”標(biāo)簽的形成可以是因為用戶設(shè)備中安裝了處理高校事務(wù)的app，或是通過設(shè)備經(jīng)常連接的所在高校的Wi-Fi網(wǎng)絡(luò)ID來進(jìn)行初步的推算；“喜歡購物”也可以是對某個購物app的使用時長進(jìn)行分析后得出的結(jié)果。此外，標(biāo)簽的內(nèi)容可以進(jìn)行自定義，種類很多，并且在標(biāo)簽數(shù)量上通常沒有限制。在用戶畫像的基礎(chǔ)上，廣告投放商就能夠通過標(biāo)簽的勾選，來選擇投放對象。比如，通過地理位置投放的信息和廣告，其實現(xiàn)方式就是勾選以位置信息為內(nèi)容的標(biāo)簽，然后該標(biāo)簽下的設(shè)備就會收到和設(shè)備用戶所在地理位置高度相關(guān)的廣告內(nèi)容。由此可見，用戶畫像是個性化推送的依據(jù)。

（三）結(jié)果的達(dá)成：用戶與設(shè)備之間的依賴關(guān)系　　從數(shù)據(jù)的應(yīng)用與個人的關(guān)系出發(fā)，目前業(yè)內(nèi)實踐中的大數(shù)據(jù)產(chǎn)品針對個人所要達(dá)成的幾個主要目的，包括識別用戶、追蹤用戶、用戶畫像的構(gòu)建、信息推送以及決策輔助。個性化推送最直接的商業(yè)目的，是通過廣告推送影響客戶的決策。在這個過程中，數(shù)據(jù)處理者以設(shè)備作為中介，通過“互聯(lián)網(wǎng)—設(shè)備—用戶”這一條邏輯來完成與用戶之間的交互。因此，用戶的設(shè)備在這個過程中起到了不可忽視的作用，這主要體現(xiàn)在如下兩個方面：第一，用戶畫像的構(gòu)建離不開設(shè)備數(shù)據(jù)的支撐。形成用戶畫像的過程離不開海量數(shù)據(jù)的支撐，這些數(shù)據(jù)通常是數(shù)據(jù)收集者從普通用戶的設(shè)備中獲取。第二，如果要和用戶形成互動，對用戶決策施加影響，數(shù)據(jù)產(chǎn)品也需要一個“支點”，而設(shè)備恰好能夠起到這個支點的作用。因此，包括用戶畫像在內(nèi)的大部分?jǐn)?shù)據(jù)技術(shù)的應(yīng)用都是圍繞設(shè)備開展的，用戶畫像其實也可以稱之為用戶設(shè)備的畫像。　　在數(shù)據(jù)行業(yè)的運作過程中，數(shù)據(jù)處理者利用的數(shù)據(jù)來自設(shè)備，最終的反饋結(jié)果也是推送到設(shè)備上，這樣的商業(yè)模式最終如果需要達(dá)到影響用戶選擇的效果，就必須依靠人和設(shè)備之間的“依賴關(guān)系”。正因為這種依賴關(guān)系的存在，設(shè)備的行蹤、設(shè)備的瀏覽軌跡、設(shè)備的畫像才能和某一個自然人建立聯(lián)系，被視為某個自然人的行蹤、軌跡或用戶畫像。為了讓所推送的信息盡可能影響用戶的決策，商業(yè)模式就會促使從業(yè)者們從不同的角度來加強(qiáng)用戶和設(shè)備之間的“依賴關(guān)系”。比如有些產(chǎn)品會在設(shè)計中通過提高產(chǎn)品力和關(guān)注度等方式來提高“用戶黏度”，從而來增加企業(yè)與用戶雙方彼此之間的使用數(shù)量或頻率；有的產(chǎn)品會通過推送與人的本能趣味相關(guān)聯(lián)的信息，讓用戶形成排他的“繭房效應(yīng)”來保持用戶對于app的依賴（增加使用設(shè)備的時間）。除了個人的選擇以外，目前的商業(yè)模式和社會運作也傾向于將用戶和設(shè)備進(jìn)行綁定，從而提高信息的流通效率，加強(qiáng)社會管理。　　因此，由于用戶和設(shè)備之間的依賴關(guān)系，用戶設(shè)備的畫像被視為能夠反映用戶自身興趣的個人畫像（其邏輯如圖1所示）。　　（圖略）　　圖1　個性化推送中的數(shù)據(jù)運作流程　　綜上所述，通過“數(shù)據(jù)—用戶畫像—為設(shè)備推送信息”的邏輯，個性化推送完成了信息的精準(zhǔn)傳遞，從而達(dá)到了相應(yīng)的商業(yè)目的。

三、個性化推送的性質(zhì)判定

在個性化推送這一技術(shù)產(chǎn)品引發(fā)的個人信息保護(hù)糾紛中，司法實踐需要結(jié)合上述的技術(shù)邏輯，厘清幾個關(guān)鍵的問題，從而對個性化推送是否構(gòu)成對公民個人信息的侵權(quán)進(jìn)行判定。　　

（一）設(shè)備數(shù)據(jù)是否屬于個人信息　　自《民法總則》第110條將隱私權(quán)作為民事主體的人格權(quán)予以保護(hù)，第111條加入個人信息受法律保護(hù)的宣誓性條款以來，關(guān)于公民個人的隱私、信息和數(shù)據(jù)之間的關(guān)系就成為學(xué)術(shù)界討論的熱點話題。這些討論的目的是對保護(hù)對象的范圍進(jìn)行界定，從而為數(shù)據(jù)權(quán)利的保護(hù)確定邏輯起點。在學(xué)術(shù)研究的層面，對于個人信息的概念、范圍和識別標(biāo)準(zhǔn)所進(jìn)行的探討也不斷增長，關(guān)于個人信息的屬性和界定上也存在多種不同主張，甚至“信息和數(shù)據(jù)概念在目前的法律表述上一直是混用的”。在立法層面，不斷更新的法律文本逐漸形成了對個人信息進(jìn)行“概念+列舉”的定義方式。在數(shù)據(jù)行業(yè)的實踐中，隨著技術(shù)的不斷更新和進(jìn)步，在很多情況或者場景下，連界定哪些信息屬于個人信息都存在困難。　　除了關(guān)于個人信息的討論，個人數(shù)據(jù)和個人信息的關(guān)系同樣也沒有定論，“數(shù)據(jù)”“個人數(shù)據(jù)”“信息”“個人信息”和“個人隱私”等概念的界定以及其能否作為民事權(quán)利予以保護(hù)等可謂眾說紛紜。總體上，涉及個人的“數(shù)據(jù)”和“信息”之間的關(guān)系，大致可以區(qū)分為信息包括數(shù)據(jù)型、數(shù)據(jù)包括信息型以及信息和數(shù)據(jù)并立型三種。　　在目前的司法實踐中，法官對于個人信息的認(rèn)定標(biāo)準(zhǔn)仍不統(tǒng)一，而緊抓“識別性”和“關(guān)聯(lián)性”對個人信息進(jìn)行判定是目前解決該類案件中的常見做法。在目前現(xiàn)有的法律規(guī)范中，《中華人民共和國個人信息保護(hù)法（草案征求意見稿）》（以下簡稱“《草案》”）作為最新的保護(hù)個人信息的專門性法律，其對于公民個人信息的定義將會對未來的各類涉?zhèn)€人信息活動產(chǎn)生重要影響。《草案》第4條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”可操作性更強(qiáng)的《安全規(guī)范》中，對于個人信息語義的確定，采用了概念加列舉的方式，在判斷上同樣使用“識別”與“關(guān)聯(lián)”兩種路徑。結(jié)合目前規(guī)范性文本中對個人信息的舉例不難發(fā)現(xiàn)，“識別性”是從靜態(tài)的角度來確定個人信息，而“關(guān)聯(lián)性”是從動態(tài)的角度來確定個人信息的。　　設(shè)備數(shù)據(jù)是針對設(shè)備而言的，能夠體現(xiàn)硬件設(shè)備的信息和狀態(tài)。從“識別性”的角度來看，設(shè)備數(shù)據(jù)是針對某一部設(shè)備的識別，而并非針對自然人的識別；從“關(guān)聯(lián)性”的角度來看，設(shè)備數(shù)據(jù)所記載的動態(tài)信息，是設(shè)備用戶在操作和活動過程中，實現(xiàn)的對設(shè)備當(dāng)下狀態(tài)的記載，而并非針對某個自然人。因此，單從屬性來看，設(shè)備數(shù)據(jù)很難被歸類于個人信息。　　雖然單純的設(shè)備數(shù)據(jù)并不屬于個人信息，但是在數(shù)據(jù)挖掘和數(shù)據(jù)分析的技術(shù)加持下，這些設(shè)備數(shù)據(jù)也可能具備個人信息的屬性，最典型的就是用戶畫像中以位置為內(nèi)容的標(biāo)簽。　

（二）用戶畫像的標(biāo)簽是否屬于個人信息　　作為個性化推送依據(jù)的用戶畫像，通過標(biāo)簽體系來實現(xiàn)對某一個用戶的具象化，并且推送行為也是根據(jù)不同標(biāo)簽的組合來確定推送對象。因此對個性化推送的性質(zhì)進(jìn)行判斷，離不開對用戶畫像中數(shù)據(jù)處理者為用戶標(biāo)記的標(biāo)簽屬性的判斷。　　對用戶畫像進(jìn)行細(xì)分，可以進(jìn)一步區(qū)分為直接用戶畫像和間接用戶畫像。直接用戶畫像是指直接使用特定自然人的個人信息所形成的用戶特征模型；間接用戶畫像是指通過來源于個人信息以外的數(shù)據(jù)（多為設(shè)備數(shù)據(jù)）所成的用戶特征模型。從實現(xiàn)手段上來看，通過使用直接用戶畫像進(jìn)行的信息推送，實質(zhì)上是直接運用個人信息的行為，在目前的司法實踐中，會結(jié)合具體場景判斷使用行為是不是個人信息的“合理使用”。但是通過間接用戶畫像的標(biāo)簽所達(dá)成的個性化推送，則需要對標(biāo)簽的屬性和運用進(jìn)行判斷。　　第一，構(gòu)建間接用戶畫像的標(biāo)簽需要的原始數(shù)據(jù)多為設(shè)備數(shù)據(jù)。如上文所述，設(shè)備數(shù)據(jù)很難通過“識別性”與“關(guān)聯(lián)性”納入個人信息的范疇，因為設(shè)備數(shù)據(jù)所承載的內(nèi)容都是針對設(shè)備而言的。用戶雖然和設(shè)備之間存在“依賴關(guān)系”，但是這并不能將圍繞設(shè)備數(shù)據(jù)的應(yīng)用等同于個人信息的應(yīng)用。　　第二，結(jié)果相似并不代表內(nèi)容相同。雖然從結(jié)果上看，通過直接用戶畫像的信息推送和間接用戶畫像的信息推送呈現(xiàn)出高度一致性，但二者的實現(xiàn)邏輯是不同的，其中最核心的問題在于用戶畫像中標(biāo)簽的形成過程。以位置標(biāo)簽為例，通過一些不需要用戶授權(quán)的非敏感設(shè)備數(shù)據(jù)，同樣可以形成以位置為內(nèi)容的標(biāo)簽。比如，目前在位置信息服務(wù)中應(yīng)用的技術(shù)包括了IP地址推算、Wi-Fi網(wǎng)絡(luò)ID計算、藍(lán)牙計算以及基站定位推算等方法。在IP地址推算上，“相關(guān)app經(jīng)營者可以通過技術(shù)手段獲取用戶的IP地址，通過IP地址能夠確定地理位置，民用級的IP查詢至少能夠精確到城市位置”。此外，“應(yīng)用程序和網(wǎng)站也可以使用其他傳感器數(shù)據(jù)（不需要用戶許可）和網(wǎng)絡(luò)瀏覽器信息來獲取或推斷位置信息”。雖然這些數(shù)據(jù)和GPS數(shù)據(jù)相比，在精度上是有限的，但是這樣的精度足以滿足商用的需求。因此，運用標(biāo)簽的結(jié)果和直接運用個人信息相似，但標(biāo)簽的內(nèi)容和形成邏輯與個人信息的內(nèi)容是不同的。　　第三，用戶畫像的使用過程中目的不在于確定具體的個人。行業(yè)實踐中，數(shù)據(jù)處理者的目的不是得知某一具體用戶的個人信息，其數(shù)據(jù)收集的限度通常止步于設(shè)備，之后會通過用戶和設(shè)備之間的“依賴關(guān)系”達(dá)成商業(yè)目的。此外，在個性化推送的實踐中，匿名化技術(shù)的應(yīng)用非常普遍，因而在通過間接用戶畫像進(jìn)行個性化推送的過程中，“依靠大數(shù)據(jù)分析的來源和使用的方向都是針對‘不可識別’的類型化的人，是針對一類人的數(shù)據(jù)結(jié)論發(fā)送的廣告，無論是發(fā)送者本身，或者是廣告主，在事先和事后都不知道接受廣告者到底是誰。沒有達(dá)到可識別性的數(shù)據(jù)，當(dāng)然也就不存在侵害隱私的事實”。所以用戶畫像的實現(xiàn)過程中，不會針對某個用戶進(jìn)行特別的具象化。　　綜上，從總體來看，基于間接用戶畫像的個性化推送，為用戶發(fā)送符合個人習(xí)慣的信息內(nèi)容，不構(gòu)成對個人信息的侵犯。但是，在個人數(shù)據(jù)和個人信息之間的區(qū)分標(biāo)準(zhǔn)逐漸模糊化的當(dāng)下，間接用戶畫像所依據(jù)的設(shè)備數(shù)據(jù)，經(jīng)過大數(shù)據(jù)技術(shù)的加持，其所承載的內(nèi)容正逐漸趨近于個人信息，因此需要對個性化推送進(jìn)行一定的限制。　

四、個性化推送的限制措施

在個性化的推送過程中，信息投放方通過不同的標(biāo)簽搭配來確定推送對象。但是隨著數(shù)據(jù)應(yīng)用的不斷發(fā)展，場景的概念逐漸被重視，固定的標(biāo)簽組合在某些場景中所確定的推送群體，很可能因為目標(biāo)用戶數(shù)量過小而導(dǎo)致對于某個特定自然人的識別，過于精準(zhǔn)的個性化推送也不免讓用戶對個人信息的安全產(chǎn)生質(zhì)疑。這一事實會成為原告起訴的動因，成為糾紛的起點，在糾紛的解決過程中，法官需要對該事實作出法律上的判斷。而數(shù)據(jù)處理者是否實施了相應(yīng)的限制措施，可以作為這一問題的判斷標(biāo)準(zhǔn)。　　

（一）網(wǎng)絡(luò)實名制下的數(shù)據(jù)隔離措施　　數(shù)據(jù)隔離措施是指，數(shù)據(jù)處理者需要對個性化推送業(yè)務(wù)所收集到的數(shù)據(jù)進(jìn)行隔離，在個性化推送實現(xiàn)的全流程中，確保沒有個人信息的參與。　　目前，我國從立法上確定了網(wǎng)絡(luò)實名制的實施，用戶在接入互聯(lián)網(wǎng)，或接受信息服務(wù)之前，均需要提供自己的實名信息。實名信息通常包括用戶的姓名和身份證件信息，用戶在注冊網(wǎng)絡(luò)服務(wù)賬號時通常也需要提供自己的手機(jī)號碼。以目前對個人信息的定義來看，這些信息均屬于個人信息的范疇。換言之，進(jìn)行個性化推送的數(shù)據(jù)處理者除了掌握用戶的設(shè)備信息外，通常也會掌握用戶的實名信息。但是，實名制的意義在于進(jìn)行網(wǎng)絡(luò)內(nèi)容的規(guī)制（content regulation），該制度的設(shè)立初衷是為了凈化網(wǎng)絡(luò)環(huán)境、防止非法信息的傳播。推行實名制的邏輯，是通過個人的行為與其身份建立的明確聯(lián)系，增加個人對網(wǎng)絡(luò)行為的自我審查（self-regulation）效果。通過這種自我審查的強(qiáng)化，實名制能夠達(dá)到減少傳播網(wǎng)絡(luò)違法信息行為的目的，提高誹謗他人、制造謠言、提供侵權(quán)文件等違法活動的風(fēng)險和成本。基于上述目的，通過實名制所收集到的信息不應(yīng)當(dāng)用于數(shù)據(jù)處理者的商業(yè)行為。　　因此，數(shù)據(jù)處理者應(yīng)當(dāng)采取相應(yīng)的措施，將“個人信息”和“設(shè)備數(shù)據(jù)”進(jìn)行隔離，并且隔離手段要應(yīng)用在個性化推送的全程。個性化推送的技術(shù)起點是對數(shù)據(jù)的收集。在所收集數(shù)據(jù)的基礎(chǔ)上，通過“數(shù)據(jù)分析—用戶畫像的形成—信息推送”的邏輯實現(xiàn)個性化信息推送。基于原始數(shù)據(jù)的不同，會分別形成“設(shè)備數(shù)據(jù)—數(shù)據(jù)分析技術(shù)—間接用戶畫像—個性化推送”以及“個人信息—直接用戶畫像—信息推送”這兩條路徑。因此，正常的商業(yè)行為和不當(dāng)使用用戶個人信息的分歧點，始于應(yīng)用數(shù)據(jù)的不同，相應(yīng)的措施要圍繞應(yīng)用的數(shù)據(jù)展開。即除了業(yè)內(nèi)常見的匿名化加密措施以外，數(shù)據(jù)處理者可以通過在設(shè)備數(shù)據(jù)與個人信息之間設(shè)立隔離措施，來達(dá)到兩條信息推送路徑之間的區(qū)分。　　設(shè)備數(shù)據(jù)和個人信息之間的隔離措施，能夠進(jìn)一步加強(qiáng)設(shè)備的防火墻功能。在目前數(shù)據(jù)行業(yè)的邏輯之下，設(shè)備作為數(shù)據(jù)行業(yè)和用戶生活世界的交匯點，同時也是用戶和數(shù)據(jù)行業(yè)之間的防火墻。如果突破了設(shè)備和用戶之間的關(guān)系，會對個人信息造成嚴(yán)重影響。比如，目前的防疫追蹤信息來源于被感染者的設(shè)備行蹤數(shù)據(jù)，而發(fā)生的多起侵犯新冠肺炎感染者個人信息的案件，其本質(zhì)均是防疫信息突破了設(shè)備數(shù)據(jù)和用戶之間的屏障，通過用戶和設(shè)備的依賴關(guān)系，使防疫收集到的設(shè)備追蹤信息和具體個人形成了一一對應(yīng)的關(guān)系。因此，從業(yè)務(wù)邏輯起點的數(shù)據(jù)入手，加入隔離措施，從而保證個性化推送業(yè)務(wù)遠(yuǎn)離個人信息。　　從司法實踐解決糾紛的角度出發(fā)，數(shù)據(jù)隔離措施能夠在糾紛過程中促進(jìn)雙方當(dāng)事人舉證證明責(zé)任的完成。目前，“隱私權(quán)、個人信息保護(hù)糾紛”作為新的案由條款，加入《民事案件案由規(guī)定》，可以預(yù)測未來關(guān)于個人信息保護(hù)的案件和糾紛將會大量涌現(xiàn)。大數(shù)據(jù)時代海量數(shù)據(jù)動態(tài)變化，數(shù)據(jù)環(huán)境十分復(fù)雜，在數(shù)據(jù)收集、整理、傳輸、存儲等各個環(huán)節(jié)中都有數(shù)據(jù)泄露的風(fēng)險。因此，在目前的司法實踐中，關(guān)于個人信息侵害案件的裁判，法院在對“信息控制者是否泄露或使用了信息主體的個人信息”這一事實的證明上，通常會根據(jù)舉證證明責(zé)任的規(guī)定來進(jìn)行處理，情況多是原告只能證明損害事實，但無法證明誰泄露或使用了個人信息，被法院駁回訴訟請求。比如在“謝某訴江蘇蘇寧易購電子商務(wù)有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案”中，法院認(rèn)為雖然原告主張被告網(wǎng)絡(luò)平臺存在漏洞，但無有效證據(jù)證明該事實，原告應(yīng)當(dāng)承擔(dān)舉證不能的不利后果；在“萬存和訴中國南方航空股份有限公司航空旅客運輸合同糾紛案”中，法院認(rèn)為原告要求被告承擔(dān)泄露其信息的侵權(quán)責(zé)任，卻不能提供證據(jù)證明系被告實施了泄露其信息的侵權(quán)行為，因此沒有支持原告的訴訟請求。在司法實踐中，“證明責(zé)任規(guī)則的適用應(yīng)當(dāng)是在法官對所有的證據(jù)方法都已經(jīng)窮盡以后，仍然不能作出該事實是否成立或是否存在的判斷時，才能適用的”。并且由于證明責(zé)任作為一種不利后果的承擔(dān)，是在一種擬制或假定的前提下決定的，因此法院應(yīng)當(dāng)注意盡可能地不適用證明責(zé)任的規(guī)則。在目前立法供給不足的情況下，個人信息保護(hù)糾紛案件中，法院如果都以待證事實真?zhèn)尾幻鳎ㄟ^客觀證明責(zé)任來對案件事實進(jìn)行認(rèn)定，那么必然對司法的公信力產(chǎn)生影響。因此，數(shù)據(jù)隔離措施可以在一定程度上為法院在“數(shù)據(jù)處理者是否具有過錯”這一待證事實上分配證明責(zé)任提供參考，最大限度地幫助法院避免通過客觀證明責(zé)任作出判決。法院在審理案件的過程中，也可以要求數(shù)據(jù)處理者提交數(shù)據(jù)隔離措施等這樣的證據(jù)來幫助雙方當(dāng)事人完成自己的舉證證明責(zé)任。　　

（二）目標(biāo)群體的具象化限制　　對個性化推送中的目標(biāo)群體進(jìn)行具象限制，是指通過用戶畫像所確定的推送群體不能夠無限制地縮小。　　目前，對于用戶畫像進(jìn)行具象化限制的學(xué)術(shù)探討較少，相應(yīng)的規(guī)范性文本中對于用戶畫像進(jìn)行限制的規(guī)定不多，主要分散于重視可操作性的國家標(biāo)準(zhǔn)當(dāng)中。比如《安全規(guī)范》中明確提出，“除為達(dá)到個人信息主體授權(quán)同意的使用目的所必需外，使用個人信息時應(yīng)消除明確身份指向性，避免精確定位到特定個人”。在《信息安全技術(shù)個人信息去標(biāo)識化指南》關(guān)于記錄抑制的示例部分中同樣建議：“如果數(shù)據(jù)記錄中只有1人工作年限為0～3年，薪水為15k ～20k，則能夠定位到某個員工，應(yīng)用抑制技術(shù)刪除該條記錄。”　　在數(shù)據(jù)處理者一方，每一位設(shè)備用戶都被進(jìn)行了標(biāo)簽化的處理，個性化推送的依據(jù)是用戶畫像中用于描述用戶的標(biāo)簽。數(shù)據(jù)處理者面對海量的設(shè)備用戶，在每勾選一個標(biāo)簽后，被選中用戶的群體數(shù)量就會相應(yīng)減少。從理論上來講，標(biāo)簽的數(shù)量可以是無限的，并且標(biāo)簽內(nèi)容可以進(jìn)行自定義。那么標(biāo)簽體系越豐富，選擇的標(biāo)簽數(shù)量越多，對于某一位設(shè)備用戶的描述也就越精準(zhǔn)。對選擇的推送目標(biāo)群體進(jìn)行具象化限制的目的，在于避免數(shù)據(jù)處理者選擇個性化信息推送的對象時，將標(biāo)簽體系組合所選中的目標(biāo)群體數(shù)量劃分得過少。因為如果無限制地勾選標(biāo)簽，最終很有可能將目標(biāo)縮小成一個人。此時，雖然個性化推送依據(jù)的是設(shè)備數(shù)據(jù)，但是最終的具象結(jié)果對該用戶而言具有了“識別性”，可以被看作個人信息。如果不加限制則會形成這樣的局面，即從數(shù)據(jù)處理者的角度來看，用戶是會被精準(zhǔn)到某個具體的自然人，只不過數(shù)據(jù)處理者僅僅沒有掌握該自然人的姓名、出生年月、身份證號碼、住址等個人信息而已。　　從保護(hù)用戶權(quán)利的角度來看，對目標(biāo)群體的具象化限制是個人信息保護(hù)的延伸。保護(hù)個人信息的目的，除了保護(hù)自然人對其個人信息的支配和自主決定以外，該制度的目的還在于“保護(hù)信息主體享有的防止因個人信息被不正當(dāng)使用而致使其隱私權(quán)等人格利益遭受侵害的風(fēng)險”。就具體個人而言，是保證其在使用互聯(lián)網(wǎng)過程中的隱私體驗和感受。不可否認(rèn)的是，隨著大數(shù)據(jù)技術(shù)的發(fā)展，技術(shù)對于司法的滲透范圍逐漸擴(kuò)大，其表現(xiàn)為法官在處理個人信息糾紛時，越來越重視技術(shù)在糾紛中的地位，“技術(shù)話語對于案件質(zhì)量的評價往往比法官乃至法院系統(tǒng)的自我評價更具有正當(dāng)性和說服力”。尤其在立法供給不足的今日更是如此。對于具體類型的糾紛，司法應(yīng)當(dāng)警惕避免陷入技術(shù)主義，即所有的技術(shù)和措施都滿足現(xiàn)行規(guī)范的要求時，也需要對立法原本的目的給予足夠的重視。因此，要求個性化推送中加入對目標(biāo)群體的具象化限制，對于個人信息的保護(hù)而言是必要的。　　同時，具象化限制措施需要場景化的指引。“場景”一詞不僅對于移動互聯(lián)網(wǎng)時代的數(shù)據(jù)行業(yè)具有重要意義，而且在衡量大數(shù)據(jù)時代的權(quán)利關(guān)系，保護(hù)個人信息安全上同樣舉足輕重。就目前已有的針對個性化推薦的具象化限制，都將“定位或識別到特定個人”的場景排除在外。設(shè)置該限制的理由是當(dāng)個性化推送將群體數(shù)量縮小為一個人時，基于設(shè)備數(shù)據(jù)的用戶畫像就具有了明確的“識別性”，從而成為實質(zhì)上的個人信息。但是，“定位或識別到特定個人”僅僅是具象化限制的最小級別，隨著場景的變化，包括不同標(biāo)簽組合的用戶群體選擇，又會面臨具體且不同的場景。比如除了用戶數(shù)量限制，具象化限制措施也可以在位置服務(wù)中應(yīng)用，目前主流的區(qū)分度包含“城市級”“區(qū)域級”“小區(qū)級”或“樓宇級”的群體定位。在此基礎(chǔ)上，配合“商場”“醫(yī)院”“學(xué)校”“郊區(qū)”等以地點為依據(jù)的標(biāo)簽，會衍生出多種多樣的應(yīng)用場景。普通用戶的隱私感知，在不同的場景中是不一致的，“定位或識別到特定個人”不能適用于所有的情況。而用戶群體數(shù)量具體到何種程度，將邊界確定在何處，單單依靠法學(xué)理論或許難以回答，需要依靠執(zhí)法案例和司法案例的支持，甚至需要社會學(xué)、心理學(xué)等其他學(xué)科的幫助。也正因為如此，學(xué)者們在討論關(guān)于數(shù)據(jù)權(quán)利的問題時，都會強(qiáng)調(diào)“在具體場景與信息關(guān)系中思考權(quán)利關(guān)系，這不僅是前沿理論的共識，也是不可避免的實踐真理”。

結(jié)　語

在“互聯(lián)網(wǎng)+”時代，數(shù)據(jù)技術(shù)和其相應(yīng)的產(chǎn)品在帶來便利的同時，也對人們的生活產(chǎn)生了不可忽視的影響。面對技術(shù)和產(chǎn)品迭代日益快速的當(dāng)下，立法者在面對個人信息保護(hù)的糾紛時，很難及時從立法供給層面給予支持，那么司法者在面對個人信息保護(hù)的糾紛時，需要從平衡“保護(hù)個人信息安全”和“促進(jìn)技術(shù)發(fā)展”的角度出發(fā)，對糾紛中數(shù)據(jù)技術(shù)的應(yīng)用進(jìn)行全面的審視。基于數(shù)據(jù)產(chǎn)品不斷滲透到個人生活并逐漸接觸到個人信息保護(hù)邊界的現(xiàn)狀，本文認(rèn)為雖然以個性化推送為代表的數(shù)據(jù)技術(shù)與產(chǎn)品就目前的商業(yè)模式而言是必要的，但同時應(yīng)當(dāng)進(jìn)行相應(yīng)的限制。就個性化推送行為而言，考慮到數(shù)據(jù)處理者和個人用戶在掌控數(shù)據(jù)能力的懸殊地位，由數(shù)據(jù)處理者承擔(dān)數(shù)據(jù)隔離措施，以及對個性化推薦采取具象化限制，是目前解決當(dāng)下用戶在個人信息安全方面的焦慮，促進(jìn)司法解決個人信息保護(hù)糾紛的有效手段。　　當(dāng)下的技術(shù)進(jìn)步速度很快，行業(yè)與個人都無法預(yù)測技術(shù)能夠在何種程度，通過何種方式影響人們的生活。在提升國家治理現(xiàn)代化水平的進(jìn)程中，司法機(jī)關(guān)應(yīng)當(dāng)發(fā)揮自身的功能，兼顧技術(shù)發(fā)展和保障個人權(quán)利兩個方面，把握二者之間的平衡，從而讓技術(shù)服務(wù)于生活，警惕技術(shù)對于個人生活與權(quán)利的反噬。（本文來源：《中國應(yīng)用法學(xué)》2021年第1期）

《數(shù)字法治》專題由華東政法大學(xué)數(shù)字法治研究院供稿。專題統(tǒng)籌：秦前松

 

編輯：海洋