数安条例百问84、85：关于个性化推荐

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求：

（一）收集个人信息用于个性化推荐时，应当取得个人单独同意；
（二）设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数；
（三）允许个人删除定向推送信息服务收集产生的个人信息，法律、行政法规另有规定或者与用户另有约定的除外。

解读
个性化推荐代表了信息传播技术的发展趋势。相比于不区别受众、大水漫灌的传统信息传播模式，在信息爆炸时代，个性化推荐提高了传播效率，可以针对个人精准定制和推送信息，为受众获得高质量信息服务带来了便利。
  
此后，个性化推荐逐渐从信息传播应用扩展到了所有可能的互联网服务领域，加之人工智能技术的助力，其已经成为实现互联网服务交付的一种基本模式。这一术语也演变为了“算法推荐”，扩充而成应用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等技术（为行文方便，后文未专门区分个性化推荐与算法推荐），应用越来越广泛。但同时，个性化推荐也暴露出很多需要规范的问题，是当前互联网治理的重点。例如，个性化推荐的背后是算法在发挥作用，但算法可以被人为操纵，精准决定特定用户能够接受的信息和服务，这种舆论控制能力当然会对国家安全、社会治理带来挑战。美国前总统特朗普在与希拉里竞选时，一家名为“剑桥分析”的公司利用从Facebook上获得的用户数据，对超过八千万的美国人进行精准个人画像，然后定向推送竞选广告，这被人认为是特朗普上位的重要原因。
  
正因为如此，目前各国都在对个性化推荐加强管理。2021年8月，中央网信办印发了《互联网信息服务算法推荐管理规定（征求意见稿）》，开始着手建立算法推荐管理制度。

但《互联网信息服务算法推荐管理规定（征求意见稿）》尚属部门规章，层级不高。特别是，个性化推荐之所以能体现“个性化”，完全是基于对个人信息收集处理，故应当立法从数据安全角度对个性化推荐进行规范。这便是《条例》第四十九条的立法目的。
  
既然个性化推荐与个人信息关系密切，那么国外的数据安全法律是如何处理这一问题的呢？总体而言，由于个性化推荐是当前很多互联网业态特别是广告业的运行基础，故立法者长期与大型企业、行业协会进行博弈，导致国外的法律规定往往成为妥协的结果。例如，欧盟《通用数据保护条例》（GDPR）第22条规定，若仅基于自动化处理的决策，包括画像，对数据主体产生法律效力或产生类似的重要影响，则数据主体有权拒绝接受此决策的约束。这意味着，GDPR并不限制对用户进行画像，也不对由此实施的个性化推荐进行严格规范。
  
但基于我国互联网发展的实际，无论从内容安全考虑还是个人信息保护角度考虑，都应当对个性化推荐提出个人信息保护要求。

对应条款
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求：
（一）收集个人信息用于个性化推荐时，应当取得个人单独同意；
（二）设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数；
（三）允许个人删除定向推送信息服务收集产生的个人信息，法律、行政法规另有规定或者与用户另有约定的除外。

解读
《条例》第四十九条第（一）项可以说是引发讨论最多的规定，原因是互联网广告业。
  
广告是互联网公司的首要变现方式，而互联网公司的免费服务都来自于背后广告收入的支撑。这就是“羊毛出在猪身上”的出处。可以毫不夸张地说，正是互联网广告业支撑着互联网的商业逻辑。在“广告”无处不在的商业社会中，由于互联网应用的普及，目前互联网广告的比重相当高。有人说，在万亿的广告市场中，互联网广告占到7000亿，也有说法是占到9000亿。但无论如何，互联网广告已经可以代表广告业的主体，这是不争的事实。
  
但互联网广告也经历了不同的发展过程。当前，精准投放是互联网广告的基本模式。精准到什么程度呢？甚至户外大屏广告都可以做到“精准”，因为其要收集所在地居民、企业的经济状况、生活习惯、购买意愿等情况。这个道理再简单不过，只有“投其所好”“瞌睡送个枕头”，广告才能发挥引导用户购物的作用。因此，精准投放成为了广告主的不二法门，是互联网广告的主要模式。
  
但精准投放是以收集用户个人信息为前提的，这是一种典型的个性化推荐行为，直接和《个人信息保护法》发生了关联。
  
那么，如何处理精准投放与收集用户个人信息的关系呢？国外采取的是相对宽容的做法——这并不意味着国外的个人信息保护水平低，而是各方博弈的结果。甚至在广告推送模式的选择中，国外个人信息保护制度也没有在opt-in和opt-out的对抗中站队。所谓opt-in，即默认不同意进来，除非专门允许；所谓opt-out，即默认同意进来，除非专门拒绝。前者很严格，所以广告主往往都希望使用后一种模式。即直接推送广告，直到用户明确表示拒绝。但用户往往选择前者，因为用户的感觉会更“清净”——除非用户明确同意，否则广告不要进来。
  
有一种说法，美国支持opt-out模式，欧盟支持opt-in模式，特别是在GDPR实施后。但实际上，尽管GDPR对个人信息保护很严格，但也没有对opt-in和opt-out作出裁决。所以直到今天，全球范围内两种模式的争论仍在进行。
  
直到《条例》第四十九条第（一）项作了规定，人们看到了中国在这方面的最新政策趋势——立法明确opt-in模式，因为只有用户同意且单独同意后才可以进行个性化推荐（精准推送广告），此举引起的震动可想而知。
  
那么，《条例》为什么一定要这么做呢？这实际上与是否规范互联网广告业没有关系，完全是从个性化推荐的技术原理角度出发而考虑的。个性化推荐在收集用户个人信息时有两个特点，一是范围不限定，大量个人信息都可能被用作对用户的精准画像；二是时间不限定，几乎不存在“收集个人信息前”的概念，因为其收集用户个人信息是随时的，没有确定的时刻，且长期实施。那么，既然这不属于《个人信息保护法》第十三条规定的“例外”事项，当然就应该征得用户的同意。而鉴于其收集个人信息的范围、时间上的不确定性，这个“同意”只能在实际进行个性化推荐的时候完成，由此造成了事实上的opt-in效果。
  
那么，第四十九条第（一）项有没有修改的空间呢？不是没有，但如果一定要修改，应当修改《个人信息保护法》中对“同意”的规定。不能有了规定而不执行，或者按不同的理解去执行。
  
需要看到，中央、地方对数据立法的倾向有着明显的区别。中央强调数据安全，而地方强调数据开发利用。虽然理论上，中央和地方的立法层级不一样，但从地方立法的措辞看，明显与中央不同。2021年12月9日，上海市市场监管局、上海市经信委联合印发了《关于推动上海市数字广告业高质量发展的指导意见》。文件指出：
  
“鼓励数字广告企业开发面向不同人群、不同场景的应用功能，提升广告个性化定制和精准投放效率，满足市场多样化需求。鼓励高效应用公共数据，依托全市大数据资源平台体系，支持开展数据采集、脱敏脱密、共享开放、交易流通等研究，探索制定数字广告大数据应用和隐私计算标准，保护数据安全，促进数据效益放大。”
  
那么，文件有没有对数据安全提出具体要求呢？监管倒是涉及了，但措辞是“加强包容审慎监管”。文件要求：“健全数字广告监管体系，提升科学智慧监管水平。加强数字广告新业态、新形式研究，采取包容审慎、分类处置的方式，进一步完善市场轻微违法行为免罚清单。优化升级广告监测体系，提升数字广告监测能力和监管效能。加强行政指导和法律法规宣传，指导企业健全管理制度，依法规范从事广告活动。依托长三角市场监管一体化平台，加强长三角地区广告监管和产业发展交流与合作。”
  
这个案例，留给了人们更多思考。

【下期预告】
86、如何理解网络身份认证公共服务基础设施？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任？
80、什么叫做个人通信和非个人通信选择？
81、如何理解对反不正当竞争或限制所作的规定？
82、如何理解对应用程序分发管理的要求？
83、如何理解对用户数据互通的要求？

  总编辑|小贝