指的是:通過(guò)收集��、匯聚���、分析個(gè)人信息��,對(duì)某特定自然人個(gè)人特征��,如其職業(yè)�����、經(jīng)濟(jì)、健康��、教育�����、個(gè)人喜好、信用、行為等方面做出分析或預(yù)測(cè),形成其個(gè)人特征模型的過(guò)程��。
在大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)年代��,為分析用戶的群體分布特征和多樣化、個(gè)性化需求�����,絕大部分網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品��、服務(wù)提供者在業(yè)務(wù)活動(dòng)中均會(huì)使用用戶畫像(user )��。
何為“用戶畫像”��?在具備強(qiáng)制執(zhí)行效力的、與數(shù)據(jù)收集和處理相關(guān)的法律法規(guī)中均未提及該概念���,而國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》�����。
將其定義為“通過(guò)收集��、匯聚�����、分析個(gè)人信息��,對(duì)某特定自然人個(gè)人特征,如其職業(yè)���、經(jīng)濟(jì)、健康、教育��、個(gè)人喜好��、信用�����、行為等方面做出分析或預(yù)測(cè),形成其個(gè)人特征模型的過(guò)程��?����!?/p>
《個(gè)人信息安全規(guī)范》為推薦性國(guó)家標(biāo)準(zhǔn)�����,屬于國(guó)家鼓勵(lì)采用的標(biāo)準(zhǔn)���,并不具有強(qiáng)制執(zhí)行效力�����,監(jiān)管部門不能直接援引該文件作為直接的執(zhí)法依據(jù)。
但是��,國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局在約談“支付寶年度賬單事件”當(dāng)事企業(yè)負(fù)責(zé)人時(shí)���,該局負(fù)責(zé)人明確指出��。
支付寶��、芝麻信用收集使用個(gè)人信息的方式�����,不符合剛剛發(fā)布的《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)的精神……應(yīng)嚴(yán)格按照網(wǎng)絡(luò)安全法的要求�����,加強(qiáng)對(duì)支付寶平臺(tái)的全面排查。
進(jìn)行專項(xiàng)整頓��,切實(shí)采取有效措施��,防止類似事件再次發(fā)生���?��?梢?��,在事關(guān)全民個(gè)人信息安全的熱點(diǎn)事件中。
習(xí)慣于擴(kuò)張權(quán)力邊界的行政部門將推薦性標(biāo)準(zhǔn)作為強(qiáng)制性標(biāo)準(zhǔn)適用一般并不會(huì)受到輿論以及肇事企業(yè)的質(zhì)疑。
為此�����,楊春寶律師團(tuán)隊(duì)認(rèn)為,在實(shí)踐中,無(wú)論對(duì)執(zhí)法機(jī)關(guān)還是企業(yè)而言��,《個(gè)人信息安全規(guī)范》關(guān)于用戶畫像的規(guī)定都具有指引性和參照性作用。
《個(gè)人信息安全規(guī)范》的內(nèi)容參考了外國(guó)關(guān)于個(gè)人信息保護(hù)的相關(guān)立法�����,其中也包括歐盟《通用數(shù)據(jù)保護(hù)條例》( ���,GDPR于2018年5月25日正式施行)���。
GDPR不僅適用于歐盟企業(yè),對(duì)于在歐盟內(nèi)設(shè)有分支機(jī)構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者��,只要個(gè)人數(shù)據(jù)處理活動(dòng)發(fā)生在分支機(jī)構(gòu)開展活動(dòng)的場(chǎng)景中�����。
即使實(shí)際的數(shù)據(jù)處理活動(dòng)不在歐盟內(nèi)發(fā)生,也應(yīng)適用GDPR;而對(duì)于未在歐盟內(nèi)設(shè)立分支機(jī)構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者,只要為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)(無(wú)論是否支付對(duì)價(jià))��。
或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的行為,均應(yīng)適用GDPR。因此��,對(duì)于在歐盟設(shè)有分支機(jī)構(gòu)��、開展跨境業(yè)務(wù)���、進(jìn)行全球化運(yùn)營(yíng)的中國(guó)企業(yè)�����,尤其是構(gòu)成《網(wǎng)絡(luò)安全法》下的網(wǎng)絡(luò)運(yùn)營(yíng)者和網(wǎng)絡(luò)產(chǎn)品��。
服務(wù)提供者而言�����,均應(yīng)關(guān)注是否可能適用GDPR,關(guān)注GDPR關(guān)于用戶畫像的規(guī)定��。
楊春寶律師團(tuán)隊(duì)擬通過(guò)比較分析GDPR與《個(gè)人信息安全規(guī)范》關(guān)于用戶畫像的相關(guān)規(guī)定���,以期為相關(guān)企業(yè)合規(guī)使用用戶畫像提供有益參考���。
