为了深入落实国家大数据战略,推动大数据产业交流与合作,展示我国大数据产业最新发展成果,2019年6月4日至5日,由中国信息通信研究院、中国通信标准化协会主办,大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日,数据流通技术与法律论坛隆重举行。中国信通院政策与经济研究所研究员李雅文以“数据流通的法律框架”为主题进行了演讲”。
中国信通院政策与经济研究所研究员 李雅文
谢谢王老师的介绍,不同于刘老师,我接到的题目是选一个比较前沿、热点的问题进行全面的讨论,我也是经过选择之后,选择了精准营销这个问题。一方面是认为现在数据流通和共享的领域,精准营销已经成为了企业之间共享数据的一个非常重要的地方。其次也是回应2019年上半年以来我们最新的三个相关法律文件在征求意见当中,都不约而同的涉及到了个性化展示,像数据安全管理办法当中也提到了精准营销的问题。
首先我们看一下这个表,这里梳理了一下我国立法里面对于精准营销的关注。从网络安全法之前的三个立法来看,网络安全法之前我们对精准营销没有具体的规定,当时的规定还是聚焦于个人信息使用的规则,服务者在提供收集和使用个人信息的时候应该知情同意。2019年电子商务法当中第一次在立法的层级确定了精准营销的推定机制,王老师介绍到今年的相关法律法规当中提到了精准营销和个性化展示相关的问题,这层面反映出来技术发展和产业应用与监管空白的对立。
为什么精准营销越来越广泛的使用,这个问题可以从两个方面考虑:一个是技术的发展和演进,对于精准营销进一步的促进。首先从数据收集的环节来看,目前随着可穿戴设备和智能家居物联网的不断发展,数据采集的点正在指数级的增长,加上不同的互联网公司进行数据共享和流通,这导致用户的画像像素更加精准。有了大规模的数据以后,精准营销需要我们建构一些模型,随着5G等基础设施的提升,以及人工智能的提升,算法和模型也就更加的精准。2013年当时的科学家发现,如果能掌握4个特定的时间点,在某一个位置出现,就能断定是否是特定目标人物。经过这几年的发展,已经从4个时间点已经压缩到2个,同时向Facebook等等,已经可以通过点赞的行为判断这个人的性取向。在精准营销具体实施方面,除了早期的网页营销,电子邮件营销,还有时时的反馈,使推送和营销更加精准。
这样的精准化为精准营销带来的好处是显而易见的。首先从投放的对象来看我们能够更加精准的定位推送的对象,提升信息推广的效率,通过时时的反馈能够实现更优的推送策略。这个不仅对于广告投放者来说很大程度上可以提升效率,对于用户数据的持有者,大最典型的代表就是平台应用商包括BAT等等。他们能够更大程度的使用手头上的数据,这是不是双赢的结果,为什么业界又产生这么大的反响。可能这个行为不仅是两端的行为,还涉及到第三方,涉及到个人信息主体的全能。
上面这个表是我们国家不同的专家学者对于个人信息权利的界定。虽然在民法典第20条当中,人格权没有把个人信息权作为权利界定下来,学界也有不同的说法,有的专家认为可以把个人信息作为宪法的基本权利,有的认为可以作为一个具体的人格权。尽管有不同的说法,我们注意到个人信息的权利内容包含了信息的决定权、信息的知情权和信息的删除权,我作为信息的主体,我对我的信息如何使用是享有知情权并且能够选择信息如何被使用的权利,同时在我认为使用不是很恰当的时候我应该有权对信息的处理进行收回。
再反过头来看精准营销的全过程,与上面个人信息的权利产生了一定的冲突,包括在数据收集的环节,用户对于数据收集精准营销是否实际知情或者同意。这个实际性的知情并不是用户同意,而是实际性的知道哪些信息被收集,有什么样的作用。在数据处理的过程当中用户对于整合敏感的数据形成用户画像是不是知情,用户对进行自动化的决策是不是知情。这里引出一个问题,就是算法问题,算法的不透明度在监管上也有很大的隔阂,算法本身的复杂和不透明,用户不理解个人数据将如何被处理,输入算法的质量、数量参差不齐,导致数据的结果无法实现公平。数据的算法对数据主体的个人权利产生重大影响的时候,我们数据主体有没有进行申诉和维权。当然,在精准营销的环节,如果用户认为个人信息不应该被用于精准营销是否有权进行拒绝,这些都是精准营销对个人隐私保护带来的影响。
看看国外对精准营销是如何干预的。美国可以把它定义为精准营销的开创之地。2003年,谷歌首次通过输入搜索来进行积累,2007年雅虎也推出了相关的广告方案,这个方案也是基于雅虎掌握的用户数据和行为轨迹提供来广告推送,除了谷歌和亚马逊,中小型的公司该怎么办,随后产生了数据经纪商。这些数据经纪商通过有偿或者无偿的形式,从个人和企业的手中购买数据,进行处理和打包再把这些数据卖给需要的第三方。这个产业在美国经过了长期的发展,美国没有独立隐私权保护的法案,当时对于市场的监管是存在空白的。因此在2014年5月份,美国联邦委员会呼吁数据运营商对于个人信息的访问有权进行访问,向消费者提供数据加工和分析的情况,保证数据的准确性,使消费者能够修订这些不准确的数据,同时建议数据收集者提供显著通知,说明未来可能向其他的公司分享数据,并向消费者提供选择权。还有一些健康数据,敏感的数据,对这类数据要获得消费者的同意。
美国对于算法的干预相对来说属于事后监管。首先美国在信息技术和创新委员会发布的关于算法问责的报告当中提出,只有在算法决策带来潜在较大危害,并值得监管介入的时候才会使用该方案进行算法问责。其次,在其他报告当中他们规定,只有涉及到敏感的领域,像司法、金融等才会对算法进行干预,并且他们认为对于不同的算法应该采取不同程度的干预措施。
在司法这个层面,前期我们关注到有两个案子,都是涉及到个人信息向第三方提供的案例。其中一个是数据浏览,美国法院认为浏览信息不属于个人信息,判处原告败诉,那个案例认为个人信息向第三方提供信息并没有造成实质的损害。总的来看美国对于精准营销采取的是比较弱的监管方式,他们监管的是数据的自由流动和应用。虽然对数据的利用主体进行了倡议性的义务,但是实践中仅仅是对算法带来比较大的潜在危害,或者利用个人隐私造成实质性损害的时候才予以干预。
与美国不同,欧洲对于精准营销的规定更加直接和简单粗暴。首先GDPR的第22条规定数据主体有权不接受单独的基于自动化处理得出决定的一些制约。这种自动化的处理包括对人产生影响或者近似重大影响的识别分析。基于这一条欧盟GDPR进一步规定个人数据主体享有对精准营销的访问权限,知情权限,同时还规定了对于数据的服务提供者,如果要进行精准营销时有一些透明度的义务,包括应当对该类活动进行告知。当然,在随后出台的针对自动化决策的指引当中,他们有澄清说这种披露并不是对算法本身的披露,只是逻辑的披露,总体来看我们认为欧盟还是对算法的透明度有较高的要求。
最后还规定了数据控制者,数据主体有权要求数据控制者对他进行自动化的决策,刚才说到22条的规则,也有一系列的最佳实践和保障知情权的做法。总的来看欧盟对于这个完全自动化的决策,包括近似重大影响的识别分析做出了比较严的监管,明确赋予了信息主体的各项权利,包括知情、选择、访问、抗辩申诉等等一系列的权利,也有比较强有力的罚责和可操作的范例,保证政策充分的落实。
有关我们国家对于精准营销的监管困境,我认为精准营销当前存在很大的监管困境。其实核心的原因还是在于个人信息权属这个问题没有解决的前提下,如何在设计精准营销监管政策的时候同时兼顾隐私保护,企业的合规成本和产业的技术创新这三个要素。因为这三个要素与精准营销的监管政策之间的关系是非常复杂的,只有合规成本与精准营销的监管政策,我们目前来看是存在一个线性的关系。理性的来说,如果规定更加严格的监管政策将产生更加高的合规成本。但是对于两个要素来说,其实存在非常复杂的相关关系,我们通过一系列的调研发现,对于用户来说如果采取过严的隐私政策,或者说过高的隐私成本,将会使用不直接的选择共享的数据,这也是隐私悖论。如果我们收紧隐私政策,对用户的信任和保护不会有很大程度上的提升。另外一方面我们看精准营销隐私监管政策对创新的影响,就是我们说的自行车头盔的例子,如果对自行车头盔硬度没有任何的要求,用户会因为头盔没有安全性不去购买这个头盔,如果对头盔的硬度有过高的要求,导致头盔的生产成本过高,也会导致用户不使用头盔。这反应到精准营销的问题来说,导致了目前我们看监管政策与技术创新呈现的是U型的相关关系。
综合上述这三个要素,我们认为对于精准营销的监管应该采取一种平衡的监管措施,我们认为如果存在监管不足的状态可能会导致用户数据滥用,用户隐私泄露,降低用户的信任度和实际受损的不利后果。但是如果监管过量,这会导致一系列的不利,包括提高合规的成本,降低智能性的体验,增加法律的风险,降低在线广告的效率,增加市场的不确定性,减少数据的访问和利用。
所以我们认为,对于精准营销的监管应当采取比较适度的状态,对于监管不足的准备我们认为还是要保有一定的监管必要性。针对因为数据滥用而产生的一些实质性和可量化的危害还是应当规定一些最低标准的保护,对于其他的要素,我们认为应当加强用户的参与和支配,用户对于隐私进行个性化保护的权利,并且进一步的提升透明度与参与度。
对于监管过量的部分,我认为其实在现阶段没有必要进行过度的监管,而应当由市场进行动态的调整,给予企业一些权衡的自由。具体来看首先在监管的层面,我们认为还是要对一些局限性的措施进行严格的规定,包括严格落实当前个人信息保护的规定,尤其是针对包括敏感信息等等这些特定信息,或者是像刚才说的儿童等等的特定主体。
其次要保证数据的流通和存储的安全,这个是精准营销运营模式下的基础。
第三我们认为对于明显不公平的决策,歧视性的算法应当还是要进行一定的追责。
用户的参与与支配这个环节,我们认为应当加强用户的权益。一个是知情权,通过更加详细和生动的知情同意的方式来告知用户,哪些信息会被收集用于精准营销,其次也要增加算法的透明度,向用户阐述数据是通过什么样的逻辑进行处理从而得出这样的结果。其次应当加强用户的决定权,是否将信息用于商业使用,最后是用户自身的退出权。在市场动态平衡的角度上,我们认为第三方机构还是应当起到很大的作用。在工业时代向大数据时代的演变中,金融的快速发展诞生了税务师的角色。信息通信发展的时代,将来有没有可能会产生的角色,是算法的审计师,站在比较公平的角度,既保护商业秘密又保护消费者,这需要对算法决策,以及产品隐私保护进行一些比较公平的评测。
同时我们还认为应当规定一些适度的法则,保留企业与用户自由合意的空间。欧盟的GDPR规定了比较严格的法律责任,高额的违反成本,这样的话让企业能够根据自己的风险采取相应的经营管理的策略,以上就是我的演讲,谢谢。
热门专题
