˙
新闻与出版物
华诚数据 | 企业使用自动化决策方式实现精准营销的合规要点
Thu Nov 17 15:17:00 CST 2022 发布人:华诚小编


吴月琴团队 陈嘉龙

 

自移动互联网兴起以来,个人信息和海量的数据成为推动互联网平台、新零售发展的加速器。随之而来的便是各类大数据分析工具,通过对大量消费者的个人信息分析、评估,来进行精准营销。这其中,自动化决策便是实现精准营销的重要方式之一。一方面,自动化决策方式可以有效帮助互联网平台、新零售企业创造用户用户价值和提升市场需求,但另一方面,自动化决策涉及到海量数据处理行为,在某些情形下对消费者个人信息主体权利也构成了潜在侵害。但随着《个人信息保护法》生效实施,以自动化决策为代表的算法合规治理问题也备受关注。本文将结合法律法规及互联网平台、新零售企业实践经验,对使用自动化决策方式处理个人信息的合规要点简要梳理。

一、什么是自动化决策?

《个人信息保护法》第二十四条规定,个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

《个人信息保护法》第七十三条对“自动化决策”下了定义,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。实践中,自动化决策的应用场景十分广泛,例如征信机构根据用户的消费及还款情况自动决定个人征信及贷款额度、根据高速行车超速情况自动出具罚单等。对于互联网平台、零售企业而言,自动化决策通常和“用户画像”(profiling)紧密结合,使用方式包括个性化推送/呈现(即“千人千面”)。

总体来看,《个保法》对于自动化决策的规制出发点在于保护消费者(同时也是个人信息主体)的合法权益,与《电子商务法》第十八条紧密相关(后者用于规范“用户画像”行为)。

二、“自动化决策”的定义边界在哪里?

从上述定义来看,《个保法》规制的“自动化决策”在法律逻辑上通常可以切分为两个环节,即“分析、评估”和“决策”,尽管实践中这两个环节有可能重叠为一个动作。

第一个环节是“分析和评估”。对于互联网平台和大型零售企业来讲,“分析和评估”通常指在经营过程中收集平台用户或者消费者的个人信息,并通过对这些数据进行分析、评估从而形成个人特征模型或用户画像。第二个环节为“决策”,即基于前一步形成的用户个人特征模型或用户画像等作出决策并予以实施。例如,零售企业通过线下门店或者App等收集消费者的交易信息(例如交易频率、金额、商品类型等),通过算法分析评估得出该消费者的大致收入水平区间、对商品的喜好特征,进而自动为其添加标签并在App或第三方平台向其呈现相对应价位、类型的产品。

但在实践中,《个保法》下的“自动化决策”规定是否仅针对于“完全” 由计算机程序自动分析、评估和决策的情形?如果在这两个环节中任一环节加入人工干预因素,是否就不构成《个保法》下的“自动化决策”?从文义来看,我们发现《个保法》未明确必须是完全无人工干预。但横向对比来看,欧盟的GDPR目前对于自动化决策的限制性规定,主要针对的是“完全自动化决策”(GDPR Article 22:“the data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling...”)。其目的主要是考虑到如果一个决策完全是自动化作出的,很可能由于计算机系统、算法的原因导致个人信息主体权益受损(例如价格歧视)。欧盟数据保护工作小组(WP29)在2018年修订的《关于GDPR下自动化决策和用户画像的指南》(Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation)将“完全自动化决策”定义为通过技术手段而没有人的参与做出决定的过程。

英国2018年《数据保护法》第14条也明确适用GDPR第22条的内容,对“自动化决策”的规制限于“完全自动化”。英国信息专员办公室(ICO)在其官方指引《人工智能与数据保护指引》(Guidance on AI and Data Protection)中也提到“完全自动化决策”,即系统自动做出决策(ADM),应排除任何人为对结果的影响。如果选择决策时,系统只支持人类决策者(human decision-maker)的决断,那样就可能构成不完全的自动化决策。也即,完全自动化决策的核心环节还是在于“决策”。实践中,如果在算法进行分析、评估前,由人工方式在系统中输入要处理的数据,但分析、评估主要事项和决策事项仍然由系统作出,那么整个流程可能仍被视为完全自动化;类似的,如果有计算机完成分析、评估和做出决策后,以人工方式辅助发送个性化内容(不进行人工过滤),那么也应认定为完全的自动化决策。

因此,目前从欧盟、英国等地实践来看,自动化决策的结果是在完全无人工干预的情况下所作出的,当涉及人工介入决策时,则不属于自动化决策。此外,欧盟WP29中也提到,个人数据控制者不能为了避免适用GDPR第22条规定就伪造人为干预的情况,如果某个人工行为对自动决策结果没有任何实质性影响(例如前面提到的辅助录入、发送且不加以任何筛选过滤),则仍然会被视为完全自动化决策。如果要规避GDPR第22条规定,那么人为干预必须对于整个决策过程应当是有实质性影而非仅仅是表层形式上的。

当然,就目前《个保法》而言,并未明确“自动化决策”必须是完全无人工干预,但从其第二十四条文义上可以看出,自动化决策的核心是“决策”这一结果是自动化实施且已对用户形成了一定的影响。实践中,常见的案例如下:

 表1.png 

三、自动化决策合规要求和算法备案

按照《个保法》第二十四条规定,企业采用自动化决策方式进行营销活动,主要的合规义务包括:(1)保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇;(2)如果基于自动化决策进行营销信息推送或者个性化内容呈现的,应当提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式(即Opt-out功能);(3)如果通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求企业予以说明,并有权拒绝企业仅通过自动化决策的方式作出决定。

实践中,不少使用自动化决策进行商业营销的互联网平台企业和零售企业会在移动应用程序加入“Opt-out”功能,一旦用户选择opt-out,企业就会停止基于自动化决策向其进行商业营销。但也有不少企业在实践中采用了Opt-in的方式(例如,在App登录界面或某些功能页面增加弹窗去主动获取关于个性化推荐的同意),这一模式大概率是参照GDPR第22条(数据控制者在获取了个人数据主体的明示同意情况下,可以采用完全自动化决策方式)。从法理上看,Opt-in机制能够为企业使用自动化决策方式进行精准营销提供合法性基础,但从另外一个层面来看,Opt-in和Opt-out本质上属于两个不同的权利(前者属于知情同意权、后者则属于撤回同意权)。因此,企业开发者在App前端主动获取用户关于自动化决策的同意,不代表可以免去在设置中提供Opt-out的功能选项。事实上,对于国内企业而言,由于目前大部分应用商店在审核App上架或更新时,对于提供个性化推荐功能的App,会重点关注App设置中是否有相应的Opt-out选项功能,哪怕企业在UI界面已提前设置弹窗获取用户同意,仍然可能被应用商店要求添加Opt-out选项功能,否则就面临被下架的风险。因此从风险规避角度考虑,更建议企业使用Opt-out模式。

从自动化决策内容来看,企业应严格确保自动化决策的透明度和结果公平、公正。除《个人信息保护法》以外,也有许多行政法规、部门规章、地方条例等,均对“大数据杀熟”行为进行了严格禁止。例如,《浙江省电子商务条例》中就明确规定,对交易条件相同的消费者实行不合理差别待遇的,市场监督管理部门可以依照个保法进行处罚。

此外,对于互联网平台、新零售企业而言,自动化决策涉及到推荐算法。自去年以来,推荐算法的使用也越来越成为重点监管对象。2021年9月17日,国家网信办、中宣部、工信部等多部门发布《关于加强互联网信息服务算法综合治理的指导意见》,明确要求“有序推进算法备案工作。建立算法备案制度,梳理算法备案基本情况,健全算法分级分类体系,明确算法备案范围,有序开展备案工作。积极做好备案指导帮助,主动公布备案情况,接受社会监督”。2021年12月31日,网信办发布了《互联网信息服务算法推荐管理规定》(简称《规定》),该《规定》已于2022年3月1日正式实施。按照该《规定》,“算法推荐技术”主要包括五大类:利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。

《规定》第十六条明确了企业的算法公示义务,提到“算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等”。目前我们可以看到市面上一些主流App基本上在隐私政策或隐私设置中进行了披露。但整体上看,披露的颗粒度较大。与算法说明相对应,App在隐私设置中也通常会增加Opt-out功能选项,一旦关闭后,用户在前端将无法看到使用算法为其推荐的个性化内容。

1.jpg2.jpg    

除了公示义务外,还需注意的是《规定》的备案义务。《规定》第二十四条要求,具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。首先,备案主体应为“具有舆论属性或者社会动员能力的算法推荐服务提供者”。按照网信办2018年发布的《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,具有舆论属性或社会动员能力的互联网信息服务主要包括:(1)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;(2)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

目前第一批企业已经公示,即2022年8月12日,网信办发布的《关于发布互联网信息服务算法备案信息的公告》及其附件《境内互联网信息服务算法备案清单(2022年8月)》,公示了30个算法的备案情况,披露了算法的名称、原理、运行机制等相关内容,涵盖的企业包括阿里(天猫、淘宝、钉钉等)、字节跳动、美团、腾讯、网易等。目前来看,算法备案要求主要还是针对一些大型互联网平台型企业。

总体而言,对于广大企业而言,不管是否被认定为具有舆论属性或社会动员能力的算法推荐服务提供者,在算法开发以及使用算法进行商业推广时,都应切实履行合规义务。

 


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin