APP下载

美国弗州管控“用户画像”与“定向广告”

2021-06-25梁晓轩

检察风云 2021年9期
关键词:用户画像数据保护好事

梁晓轩

越来越多的企业将用户数据视为企业的财富,但这本就是一把双刃剑

2021年3月2日,美国弗吉尼亚州州长诺瑟姆签署了该州《消费者数据保护法案》(CDPA),上述法案对欧盟《通用数据保护法规》(GDPR)和美国《加利福尼亚州消费者隐私法》(CCPA)进行了吸收并予以修订。这是美国东海岸地区第一部个人隐私保护法,其特点在于对“用户画像”“定向广告”做了进一步细分,将于2023年1月1日生效。

“用户画像”无处不在

每当我们结识一个陌生人,我们心里便会对其产生第一印象:诸如衣着打扮、举止态度、性格秉性等,后续回忆起此人时,脑海中便会不由自主地浮现他(她)的“画像”。这些“画像”就像是别人在我们脑海中储存着的标签一样,能够帮助我们有效识别目标人物。

在经济社会中,对于“用户画像”的使用越来越普遍。诺贝尔经济学奖得主、耶鲁大学教授罗伯特·希勒曾对一家流媒体播放平台Netflix(网飞)做过一个实验,他发现:如果“网飞”仅依据种族、收入、邮编这些传统因素定价,可以把利润提高0.3%;但如果“网飞”收集人们线上平台使用的数据,进行一定数量的“用户画像”分析并以此形成精准投放,则可以把利润提升至14.6%。这是一个天然的筛选机制,在此基础上,能够确保目标用户有更大概率被大数据精准匹配到。

“用户画像”面前,个人隐私无所遁形 

为了给父母查询药物信息,用户卡尔在互联网上搜索了胰岛素、阿司匹林等药物。不久,卡尔发现,其电脑的搜索引擎及浏览器此后便会置顶一些关于慢性病的推荐信息。“这让人感到很不适。我怀疑我的cookie被追踪了,我被打上了生病的标签,这是不公平且不正确的。”上述以及身边的无数案例证明——用户个人的设备或者网络账户正在遭受越来越多的追踪。这当中,搜索引擎尤为令人关注,其无所顾忌地给用户打标签进而个推广告的行为也最终招致监管处罚。

譬如,谷歌卷入的“隐私和透明度标准案”。2019年,谷歌因违背欧盟《通用数据保护法规》的规定,未能在用户信息保护上达到“隐私和透明度标准”被行政处罚5000万欧元。2020年6月19日,法国最高行政法院驳回谷歌此前因未向其用户说明如何处理个人信息而必须支付5000万欧元罚款的申诉,确认了数据监管机构(CNIL)先前的调查结果,即谷歌并未向安卓用户提供“足够清晰”的信息提醒。这就意味着,谷歌没有获得将用户数据用于“定向广告”的合法性同意,其侵权行为具有惩罚的必要性。

“画像分析+精准匹配=大数据杀熟”是否成立

互联网公司进行“用户画像”的行为显然不止个推服务那么简单,当某个数据变得足够大,就可发挥更大的“经济效益”。

2020年初,全球第三大个人保险公司——好事达(Allstate),为了更新汽车保险费率,应监管需要,向马里兰州监管机构提交并公开了一份珍贵的文件。这份文件主要描述了好事达涉及汽车保险的复杂算法,据称这一算法包含几十个参数,将直接决定所有参保人未来需要缴纳的金额数量。

为了保护商业秘密,保险公司一般不会主动披露自己的保费计算算法——这份资料也显得弥足珍贵。美国的调查媒体当然不会错过这个机会,2021年2月25日,总部设在纽约的著名非营利性调查媒体The Markup迅速发表了一篇报道,公布了针对这份公开文件的详细调查结果。

调查的结果十分有趣,The Markup对好事达提供的文件进行分析发现,尽管好事达声称其保险算法十分复杂,实际上并非如此,其本质就是“用户画像”——好事达建立了一个马里兰州保险消费者的“冤大头”列表,这些“冤大头”参保者都是大户,好事达的新算法会从他们身上榨取比其他人更多的利润。举例来说,那些在好事达投保了最高档保费(大概每半年1900美元)的人,按照好事达的最新算法,保费到期上涨之后,他们将承担高达20%的涨幅,而那些投保价格比较低的人,只会面临5%的涨价。

最终,“杀熟”这件每位消费者都在怀疑的事情,在美国保险行业被这份文件坐实了。

隐私立法迫在眉睫

越来越多证据表明,美国正在加速对“用户画像”及有关隐私保护的落地进程。2021年2月18日,《消费者数据保护法》在美国弗吉尼亚州议会参议院和众议院通过,3月初即被州长签字通过并将于2023年1月1日起施行。这一天也恰好是美国《加州隐私权利法案》(CPRA)的执行日期(2023年1月1日)。此外,美国华盛顿州正在审议《华盛顿州隐私法案》。这意味着美国各州隐私立法将迎来一波小高潮。这些新法不断细化,一些典型违规行为将被纳入管制。

笔者认为,美国弗吉尼亚州《消费者数据保护法》存在两大亮点:

其一,细化了“定向广告”的概念,将其定义为“基于从特定消费者一段时间内在非关联网站或在线应用的活动中所获得的个人数据,来预测该消费者的偏好或兴趣,并以此选择广告的展示”。鉴于概念具有较高的动态属性,立法以举例的形式做了反向界定以尽可能拓展定义空间。即“定向广告”不包括:1. 基于消费者在控制者自身网站或在线应用程序内活动的广告;2. 基于消费者当前搜索查询、访问网站或在线应用的上下文的广告;3. 针对消费者要求提供信息或反馈而向其发送的广告;4. 仅为衡量或报告广告业绩、覆盖范围或频率而处理的个人数据。

其二,新法不断完善“用户画像”的合规指引。新法中提及“用户画像”共有3次。分别对应“定义”“用户权益保护之进行用户画像的前置条件”(以下简称“前置条件”)、“数据保护评估之用户画像的禁止性事项”(以下简称“禁止性事项”)。具体包括:

1.“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。

2.“前置条件”包括:赋予用户权利,使其可以选择是否接受平台推送广告、出售个人数据的选项,以及其他具有重大影响的画像行为。

3.“禁止性事项”包括:不得导致不公平或欺诈对待(如价格欺诈),或造成违法影响;不得对消费者的财务或名誉产生损害;不得对消费者身体或其他产生损害,禁止冒犯行为(如干扰消费者不被打扰的权利);不得对消费者造成其他实质性伤害(即兜底条款)。

新法进步甚多

据了解,此前出台的《加州隐私权利法案》,并没有“定向广告”这个直接对应的概念,而是定义了“跨场景行为广告”:即基于从消费者在跨企业、跨独立品牌网站、应用程序或服务的活动中获得的个人信息,而非基于消费者有意与之互动的企业、独立品牌网站、应用程序或服务的活动,向消费者定向展示广告。

也就是说,弗吉尼亚州《消费者数据保护法案》直接以“定向广告”界定相关概念,《加州隐私权利法案》则借“跨场景行为广告”兼容了实践中“定向广告”行为的合规要求。从定义来看,表达及外延略有不同,但内核相通,即基于消费者的个人信息,预测该消费者的偏好和兴趣,选择特定广告向该名消费者推送。此外,《消费者数据保护法案》与《加州隐私权利法案》均将“定向广告”限定在跨站追踪、跨场景追踪的情形,即必须是根据跨站、跨场景追踪消费者获得个人信息,然后根据这些个人信息对消费者做廣告推送,才算得上美国州法层面定义的“定向广告”。

综上,新法较以往立法进步甚多。

编辑:黄灵  yeshzhwu@foxmail.com

猜你喜欢

用户画像数据保护好事
成绩稳定
把声音的魅力发挥到极致
移动用户画像构建研究
TPP生物药品数据保护条款研究
基于微博的大数据用户画像与精准营销
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
移动互联网下手机用户使用行为特征的研究
为什么好事不好办?
药品试验数据保护对完善中药品种保护制度的启示