在大數據和移動互聯網時代,為了分析用戶的群體分布特征和多樣化、個性化的需求,大多數網絡運營商和網絡產品及服務提供商在業務活動中都會使用用戶特征描述。
什麽是“用戶畫像”?這個概念並不是在具有強制執行效力的數據采集與處理相關法律法規中提到的,而是國家標準《個人信息安全代碼》。
它被定義為“通過收集、匯總和分析個人信息,分析或預測特定自然人的職業、經濟、健康、教育、個人偏好、信用和行為等個人特征,並形成其個人特征模型的過程。”
《個人信息安全代碼》是推薦性國家標準,是國家鼓勵的,沒有強制執行效力。監管部門不能直接引用這個文件作為執法的直接依據。
但國家互聯網信息辦公室網絡安全協調局在約談“支付寶年度賬單事件”涉事企業負責人時,該局負責人明確指出。
支付寶和芝麻信用收集和使用個人信息的方式不符合剛剛發布的《個人信息安全代碼》國家標準的精神...要嚴格按照網絡安全法的要求,加強對支付寶平臺的全面排查。
開展專項整治,采取有效措施,杜絕類似事件再次發生。可見,在關系到全民個人信息安全的熱點事件中。
習慣於擴大權力邊界的行政部門,在將推薦性標準作為強制性標準適用時,壹般不會受到輿論和事故涉及企業的質疑。
為此,楊春寶律師團隊認為,在實踐中,《個人信息安全規範》中關於用戶畫像的規定對執法部門和企業都有指導和借鑒作用。
《個人信息安全守則》的內容參考了國外關於個人信息保護的相關立法,包括歐盟《通用數據保護條例》(GDPR於2018年5月25日正式實施)。
GDPR不僅適用於歐盟企業,也適用於在歐盟設有分支機構的數據控制者或數據處理者,只要個人數據處理活動發生在分支機構開展活動的場景中。
即使實際的數據處理活動不發生在歐盟、GDPR;應該應用;對於未在歐盟設立分支機構的數據控制者或數據處理者,只需在歐盟向數據主體提供商品或服務(無論是否支付對價)。
或者監控歐盟數據主體的行為,應該應用GDPR。因此,對於在歐盟設有分支機構、開展跨境業務、全球化經營的中國企業來說,尤其是網絡安全法下的網絡運營商和網絡產品。
就服務提供商而言,他們應該註意應用GDPR和GDPR關於用戶畫像的規定的可能性。
楊春寶律師擬對《GDPR》和《個人信息安全規範》關於用戶畫像的相關規定進行對比分析,為相關企業合規使用用戶畫像提供有益參考。