杜佳璐：用戶畫像之利用及保護(hù)

隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)企業(yè)利用特定算法對網(wǎng)絡(luò)空間中的用戶信息片段加以整合、分析，就可推導(dǎo)出該用戶的消費(fèi)習(xí)慣、水平、愛好和需求，并以此為基礎(chǔ)構(gòu)建出其“畫像”。用戶畫像是一柄雙刃劍。如何在企業(yè)的有序發(fā)展和個人權(quán)利保護(hù)之間尋得一個平衡點(diǎn)，成為亟待解決的問題。本文從比較中外關(guān)于用戶畫像的法律規(guī)定出發(fā)，發(fā)現(xiàn)目前普遍存在著個人信息權(quán)利義務(wù)界限模糊、相關(guān)規(guī)制機(jī)制仍待完善的問題，提出了從個人權(quán)利的賦予與限制、企業(yè)義務(wù)的承擔(dān)與限制著手，分別加以不同規(guī)制，以求平衡保護(hù)的建議。希望能在最大化利用大數(shù)據(jù)技術(shù)、最大化享受數(shù)據(jù)價值的同時，保護(hù)好用戶的個人信息權(quán)益，以追求保護(hù)與利用兩頭強(qiáng)化的雙贏局面。

一、引言

隨著互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)方興未艾，人們越來越習(xí)慣于在網(wǎng)上購買物品、進(jìn)行支付，這極大地便利了人們的生活。在利用網(wǎng)絡(luò)進(jìn)行各種交易活動的過程中，必然會產(chǎn)生大量信息，如地址、手機(jī)號碼、姓名等，這些信息單獨(dú)來看可能并沒有什么太大價值，但在大數(shù)據(jù)技術(shù)的處理下，它們卻可以成為商家進(jìn)行用戶畫像的素材?；ヂ?lián)網(wǎng)企業(yè)利用特定算法對網(wǎng)絡(luò)空間中的用戶的信息片段加以整合、分析，就可推導(dǎo)出該用戶的消費(fèi)習(xí)慣、水平、愛好和需求，并以此為基礎(chǔ)構(gòu)建出其“畫像”。這一行為有好的方面，它可以為用戶提供更為精準(zhǔn)的個性化服務(wù)，更好地滿足其需求，也可以為企業(yè)推廣節(jié)約成本、提高效率；但也有壞的一面，用戶畫像所帶來的個人信息泄露、侵權(quán)等相關(guān)問題；企業(yè)進(jìn)行價格歧視、利用大數(shù)據(jù)“殺熟”問題。

二、用戶畫像規(guī)制現(xiàn)狀

用戶畫像保護(hù)之困境

關(guān)于用戶畫像的性質(zhì)，學(xué)界現(xiàn)在還未形成統(tǒng)一的意見。作為經(jīng)過算法匿名化處理而形成的數(shù)據(jù)，它以最為淺顯和貼近生活的話語將用戶的屬性、行為與期待的數(shù)據(jù)轉(zhuǎn)化聯(lián)結(jié)起來。根據(jù)最新公布的個人信息保護(hù)法之規(guī)定，我國不將用戶畫像作為個人信息加以保護(hù)。

這可能是基于以下考慮：當(dāng)用戶的行為信息——用戶畫像被納入個人信息范圍時，會帶來個人信息保護(hù)范圍過寬的問題，在這樣的情況下，大量的企業(yè)的行為都可能被劃入違法的范疇，將會帶來普遍的侵權(quán)和大量的訴訟。同時，用戶畫像往往都是經(jīng)過脫敏處理的信息，一般不會直接識別到個人。如果法律將這樣的信息也作為個人信息加以保護(hù)，那么企業(yè)可能會考慮放棄匿名化的努力以減少成本，而這反倒給用戶造成損害。

但不將用戶畫像作為個人信息保護(hù)，也帶來了一些問題。用戶行為信息本身就是識別個體的方式，通過行為來篩選個體，這本身就是一種“識別”。根據(jù)這種觀點(diǎn)，網(wǎng)站對個體進(jìn)行用戶畫像，向個體推送廣告，本身就是一種篩選或識別個體的活動。個人信息保護(hù)的要義不一定是侵犯傳統(tǒng)意義上的隱私，還在于規(guī)制風(fēng)險。即使消費(fèi)者的行為信息屬于匿名信息，但此類信息一旦泄露，還是可能給公民個體帶來很多風(fēng)險。

用戶畫像使用之不當(dāng)

1.大數(shù)據(jù)殺熟

“殺熟”的具體表現(xiàn)形式是：就設(shè)備而言，Android系統(tǒng)和iOS系統(tǒng)在同一收費(fèi)服務(wù)中的定價不同；就新老用戶而言，同一應(yīng)用同一服務(wù)的注冊用戶與未注冊用戶定價不同；就使用頻率而言，同一應(yīng)用同一服務(wù)的高頻用戶與低頻用戶定價不同。

大數(shù)據(jù)“殺熟”早已不是新鮮事了。早在2000年，美國的Amazon公司就被用戶反映說采用差別定價的手段。該用戶稱，在刪除了瀏覽器的cookies之后，其瀏覽過的DVD商品價格下降了3.5美元。A－mazon的CEO貝索斯不得不出面為此引發(fā)的巨大爭議道歉。另外，同樣來自美國的旅游訂票網(wǎng)站Orbitz也出現(xiàn)了這樣的情況。在其他條件不變的情況下，用Apple電腦在Orbitz上搜索房間，價格就比使用其他品牌的電腦高。

國內(nèi)也存在不少“殺熟”的情況。有許多網(wǎng)友稱，在使用滴滴打車時，老用戶、Apple手機(jī)的用戶所支付的價格會比新用戶、其他品牌手機(jī)用戶更高。旅游APP飛豬也會針對不同的用戶報出不同的機(jī)票價格，甚至對同一用戶，搜索時的價格和實際下單時的價格也存在數(shù)百元的差別。此外，天貓超市、京東、去哪兒、餓了么、美團(tuán)、大眾點(diǎn)評等多個不同類型的軟件，都不約而同地存在“殺熟”現(xiàn)象。

2.價格歧視

價格歧視（pricediscrimination）實質(zhì)上是一種價格差異，通常指商品或服務(wù)的提供者在向不同的接受者提供相同等級、相同質(zhì)量的商品或服務(wù)時，在接受者之間實行不同的銷售價格或收費(fèi)標(biāo)準(zhǔn)。一級價格歧視又稱完全價格歧視（perfectdiscrimination），即銷售者為每一位顧客及其所購買的每一單位商品制定不同的價格，因此獲取所有的消費(fèi)者剩余。二級價格歧視（second-degree price discrimination），即銷售者對購買者偏好的多樣性有所了解，但是不能觀察到每一位特定顧客的特性。其對不同的消費(fèi)數(shù)量段規(guī)定不同的價格。三級價格歧視（third-degree price discrimination），即壟斷廠商對不同市場的不同消費(fèi)者實行不同的價格，在實行高價格的市場上獲得超額利潤。

三級價格歧視是最普遍的價格歧視。同樣的銀行服務(wù)，貴賓區(qū)的價格比大廳的服務(wù)價格高；持學(xué)生證可以半價購買火車票等都是三級價格歧視的例子。在傳統(tǒng)的消費(fèi)市場上，一級價格歧視幾乎是不可能出現(xiàn)的，因為它要求同一個產(chǎn)品，對不同的人定不同的價格，而在以往的情景下，商家?guī)缀鯚o法得知每一位顧客愿意為這一產(chǎn)品最高支付多少錢。

但大數(shù)據(jù)技術(shù)的發(fā)展使得一級價格歧視成為可能?；ヂ?lián)網(wǎng)企業(yè)通過對海量數(shù)據(jù)進(jìn)行收集和分類，最終得出用戶畫像。通過對用戶畫像的精準(zhǔn)分析，企業(yè)可以得出用戶的購買意愿、購買習(xí)慣和支付能力等信息，最終進(jìn)行個性化推薦和展示以及區(qū)別定價。借助計算機(jī)強(qiáng)大的計算能力，在越來越成熟的機(jī)器學(xué)習(xí)技術(shù)的幫助下，用戶畫像的準(zhǔn)確度、精細(xì)度將越來越高，企業(yè)就可以定出越來越接近用戶所能承受的極限價格。

反映的問題

有學(xué)者認(rèn)為，價格歧視行為會產(chǎn)生兩種不利后果：一是對企業(yè)之間的正常競爭產(chǎn)生損害；二是對消費(fèi)者構(gòu)成剝削。

不管是大數(shù)據(jù)“殺熟”，還是價格歧視，歸根到底都是互聯(lián)網(wǎng)企業(yè)對用戶畫像的利用所引發(fā)的結(jié)果。用戶畫像是通過收集、匯聚、分析個人信息，對某特定自然人的個人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個人喜好、信用、行為等方面做出分析或預(yù)測，形成其個人特征模型的過程。

作為個人信息和數(shù)據(jù)匯總、加工、分析的產(chǎn)物，用戶畫像必然需要從個人信息保護(hù)的角度加以審視?；ヂ?lián)網(wǎng)企業(yè)收集用戶個人信息往往通過兩種方式：一是注冊信息與使用信息，即用戶在使用企業(yè)相關(guān)產(chǎn)品、服務(wù)過程中，企業(yè)收集用戶信息；二是企業(yè)通過數(shù)據(jù)庫“對撞”共享用戶信息。

在第一種方式中，存在飽受詬病的APP強(qiáng)制索取權(quán)限問題。用戶常常會遇到一旦拒絕給APP某些權(quán)限，就會被拒絕使用的情況，即“要么接受條款，要么放棄服務(wù)”。這實際上是企業(yè)剝奪用戶選擇權(quán)的表現(xiàn)。在第二種方式中，企業(yè)之間數(shù)據(jù)庫的共享雖然有減輕企業(yè)在信息收集方面的人力、財力投入，為用戶提供個性化服務(wù)的好處，但在現(xiàn)行法律并不完善，用戶處于弱勢地位的情況下，卻存在侵犯用戶隱私權(quán)的問題，引發(fā)用戶對自己個人信息泄露、遭到侵害的擔(dān)憂。

在信息時代的背景下，不是所有的價格歧視行為都要受到禁止。保險公司對于風(fēng)險等級較高的客戶，如有酒駕、違章或者重大疾病史的客戶，設(shè)置比普通客戶更高的保險費(fèi)，這是合理的。但價格歧視行為本身仍然存在損害競爭和侵害消費(fèi)者權(quán)益的可能，因此法律有必要對其加以規(guī)制。

目前的不同保護(hù)路徑

法律既不能直接將匿名化的用戶行為信息視為非個人信息，也不能將此類信息等同于可直接識別的個人信息。雖然不同學(xué)者對于個人信息的定性問題持不同見解，但從其研究成果中可以看出他們都已經(jīng)意識到在大數(shù)據(jù)技術(shù)的時代背景下要對用戶的個人信息數(shù)據(jù)采取一定的方式進(jìn)行保護(hù)，規(guī)范對這些數(shù)據(jù)的采集和處理過程，并在用戶的合理權(quán)利受到侵害時提供一定的救濟(jì)。

1.人格權(quán)

即將生效的民法典將個人信息作為人格權(quán)加以保護(hù)。民法典第四編人格權(quán)編第110條規(guī)定，自然人的個人信息受法律保護(hù)。

2.財產(chǎn)權(quán)

齊愛民認(rèn)為：個人信息更多地體現(xiàn)了一種財產(chǎn)利益，是大數(shù)據(jù)控制人的數(shù)據(jù)資產(chǎn)，個人信息保護(hù)法關(guān)于本人權(quán)利的規(guī)定，應(yīng)當(dāng)采取所有權(quán)模式，視其為一種用戶的信息財產(chǎn)權(quán)客體。

另有研究也認(rèn)為，當(dāng)今時代，用戶的個人信息具有巨大的潛在經(jīng)濟(jì)價值，因而具有非常明顯的財產(chǎn)屬性，如果僅僅將其視作一般人格權(quán)或是隱私權(quán)來處理，無法體現(xiàn)個人信息的經(jīng)濟(jì)價值，而且在用戶信息數(shù)據(jù)受到損害需要獲得救濟(jì)時其損失也將難以認(rèn)定，從而無法充分保障和救濟(jì)其權(quán)利。

3.人格權(quán)+財產(chǎn)權(quán)

一方面，用戶在網(wǎng)絡(luò)平臺所留下的使用痕跡，涉及到個人的興趣愛好、消費(fèi)能力、經(jīng)濟(jì)水平等一系列較為私密的個人信息，這些信息具有強(qiáng)烈的符號屬性和象征意義，因此其具有人格權(quán)的屬性。另一方面，用戶瀏覽數(shù)據(jù)作為個人信息的一種，在大數(shù)據(jù)時代的商業(yè)活動中發(fā)揮著重要作用和價值。通過分析這類數(shù)據(jù)信息，可以描繪出不同用戶的不同特征，從而判斷和預(yù)測該用戶的不同商業(yè)需求。用戶瀏覽數(shù)據(jù)這一特定個人信息具有明顯的財產(chǎn)屬性。

三、國內(nèi)外相關(guān)立法

歐盟

具有數(shù)據(jù)憲章地位的一般數(shù)據(jù)保護(hù)條例（以下簡稱GDPR）第21條第2款、第3款和第22條第1款對用戶畫像和自動化決策行為作出了明確的規(guī)定。

GDPR規(guī)定了反自動化決策權(quán)：“數(shù)據(jù)主體有權(quán)反對此類決策:完全依靠自動化處理——包括用戶畫像對數(shù)據(jù)主體作出具有法律影響或類似重大影響的決策?！盙DPR將用戶畫像作為典型的自動化決策類型進(jìn)行特別舉例強(qiáng)調(diào)，具體指任何以評估個人的特定方面為目的，對個人數(shù)據(jù)進(jìn)行自動化處理的形式，包括對工作表現(xiàn)能力、經(jīng)濟(jì)狀況、信用狀況、健康狀態(tài)、個人喜好、忠誠度、地理位置、消費(fèi)趨向等進(jìn)行分析和預(yù)測。

GDPR雖然沒有明確表態(tài)因用戶畫像與自動化決策所產(chǎn)生的價格差異是否屬于對數(shù)據(jù)主體產(chǎn)生的“重大影響”，但其賦予了數(shù)據(jù)主體在遭遇與直接營銷相關(guān)的用戶畫像時直接反對的權(quán)利，并且這項反對權(quán)應(yīng)當(dāng)被明確地提請數(shù)據(jù)主體注意。GDPR也規(guī)定，數(shù)據(jù)控制者在實施自動化處理對用戶個人進(jìn)行精準(zhǔn)評價時，應(yīng)采取適當(dāng)?shù)拇胧﹣肀Ｕ蠑?shù)據(jù)主體的權(quán)益。

因此，用戶畫像以及自動化決策行為的合法與否，在很大程度上來源于數(shù)據(jù)主體是否同意。這就要求數(shù)據(jù)控制者在獲取個人數(shù)據(jù)時，應(yīng)當(dāng)告知數(shù)據(jù)主體有關(guān)自動決策機(jī)制，包括數(shù)據(jù)畫像及有關(guān)的邏輯程序和有意義的信息，以及此類決策對數(shù)據(jù)主體的意義和預(yù)期影響。

以上，GDPR對用戶畫像的規(guī)制主要包括用戶知情同意、享有反對權(quán)和免受自動化決策影響權(quán)。雖然以直接營銷為目的的數(shù)據(jù)處理可能被認(rèn)為是合法的，但該數(shù)據(jù)處理行為應(yīng)當(dāng)考慮到用戶對數(shù)據(jù)處理的目的有合理預(yù)期。

美國

2018年6月28日美國加州政府快速通過了消費(fèi)者隱私保護(hù)法案（以下簡稱CCPA）。CCPA旨在加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，被認(rèn)為是美國國內(nèi)最嚴(yán)格的消費(fèi)者數(shù)據(jù)隱私保護(hù)立法，已于2020年1月1日正式生效。

CCPA規(guī)定企業(yè)不得因消費(fèi)者行使告知、刪除、修正等權(quán)利，而對消費(fèi)者進(jìn)行價格歧視，該價格差異是合理的除外。企業(yè)可以為個人信息的收集、出售或者刪除提供財務(wù)激勵，包括向消費(fèi)者支付賠償金。企業(yè)還可以以不同的價格、費(fèi)率、水平或質(zhì)量向消費(fèi)者提供者商品或服務(wù)，如果價格或差異與消費(fèi)者通過提供其數(shù)據(jù)而產(chǎn)生的價值直接相關(guān)。同樣的，只有當(dāng)消費(fèi)者根據(jù)第1798.135節(jié)（該節(jié)明確規(guī)定了財務(wù)激勵計劃的實質(zhì)性條款并可以由消費(fèi)者隨時撤銷）在事先選擇同意的情況下，企業(yè)才可以將消費(fèi)者納入財務(wù)激勵計劃中。

2020年11月3日，加州投票通過了2020年加州隱私權(quán)法（以下簡稱CPRA），CPRA修正并擴(kuò)展了加州里程碑式的CCPA，為加州居民確立了新的數(shù)據(jù)隱私權(quán)，對企業(yè)和服務(wù)提供商施加了新的義務(wù)和責(zé)任。與CCPA相比，CPRA在財務(wù)激勵計劃方面更為嚴(yán)格，除了要求企業(yè)取得消費(fèi)者的同意之外，還要求企業(yè)至少等待12個月，才能再次要求消費(fèi)者加入此類計劃。

加拿大

1983年，加拿大頒布隱私法，規(guī)范聯(lián)邦政府收集、使用和披露個人信息的行為。2000年，個人信息保護(hù)和電子文檔法案（以下簡稱PIPEDA）通過，該法案規(guī)定了私人或者企業(yè)在進(jìn)行商業(yè)活動時使用個信息的范圍與準(zhǔn)則。

作為加拿大最主要的聯(lián)邦法規(guī)之一，PIPEDA一直是隱私權(quán)的保障。加拿大所有企業(yè)在從事商業(yè)活動的過程中收集、使用和披露個人信息時，均受到個人信息保護(hù)和電子文檔法案制約。

日本

個人信息保護(hù)法于2005年4月施行，2017年5月30日修訂，對個人信息保護(hù)作出全面規(guī)定。該法規(guī)定了處理個人信息的企業(yè)應(yīng)當(dāng)遵守的義務(wù)等。個人信息處理經(jīng)營者遵守的基本規(guī)則。個人信息處理經(jīng)營者應(yīng)在特定利用目的的范圍內(nèi)利用個人信息；在特定的利用范圍之外予以利用時，以及向第三方提供個人數(shù)據(jù)（指構(gòu)成個人信息數(shù)據(jù)庫等的信息）時，應(yīng)當(dāng)事先取得本人的同意。而且，個人信息處理經(jīng)營者應(yīng)當(dāng)采取安全管理個人數(shù)據(jù)所需的必要且恰當(dāng)?shù)拇胧?/p>

新加坡

新加坡議會通過了個人數(shù)據(jù)保護(hù)法的修正案，該修正案不僅加強(qiáng)了對消費(fèi)者的保護(hù)，同時也支持企業(yè)對個人數(shù)據(jù)合法利用，即權(quán)利保護(hù)和數(shù)據(jù)利用并重。

中國

在個人信息保護(hù)法出臺以前，對于用戶畫像和個性化推薦行為的相關(guān)規(guī)定散見于網(wǎng)絡(luò)安全法、電子商務(wù)法、消費(fèi)者權(quán)益保護(hù)法、信息安全技術(shù)個人信息安全規(guī)范等法律法規(guī)和國家標(biāo)準(zhǔn)中。此外，消費(fèi)者權(quán)益保護(hù)法第14條規(guī)定了消費(fèi)者個人信息依法得到保護(hù)的權(quán)利；第29條規(guī)定了經(jīng)營者未經(jīng)消費(fèi)者同意或者請求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

但現(xiàn)有立法往往流于籠統(tǒng)，可操作性欠缺。企業(yè)常通過默示授權(quán)、強(qiáng)迫授權(quán)等方式來使用戶同意其條款，以為其信息收集和處理行為提供合法性；個性化定價也難以納入“發(fā)送商業(yè)信息”的范疇。盡管2019年的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》對未公開收集使用規(guī)則、未明示收集使用個人信息的目的、方式和范圍、未經(jīng)用戶同意收集使用個人信息和違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息等行為作出了具體的規(guī)定，填補(bǔ)了一些空白，但其畢竟只是一個部門規(guī)章。

借助個人信息保護(hù)法進(jìn)入征求意見階段的契機(jī)，尋找有效的規(guī)制路徑，在大數(shù)據(jù)時代電子商務(wù)蓬勃發(fā)展的情況下是當(dāng)務(wù)之急。

四、用戶畫像規(guī)制的可能進(jìn)路

個人信息分級保護(hù)

正如程嘯教授所言：個人信息的保護(hù)不是為了保護(hù)而保護(hù)，關(guān)鍵在于給背后的東西予以保護(hù)。用戶畫像作為一種技術(shù)工具，需要保護(hù)的客體是它背后人們因為它所可能受損的權(quán)益。用戶畫像的恰當(dāng)使用可以為消費(fèi)者提供便利、也會給企業(yè)帶來更高的收益。基于此，有必要對其進(jìn)行分類保護(hù)，以促進(jìn)數(shù)據(jù)利用。

個人信息保護(hù)法將個人信息劃分為敏感個人信息和非敏感個人信息。相對于《個人信息安全規(guī)范》第3.2條而言，個人信息保護(hù)法對敏感個人信息的定義劃分似乎更為嚴(yán)格、范圍有所限縮。本條對“敏感個人信息”的舉例中，未列舉“身份證件號碼、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、住所信息、交易信息”，也未強(qiáng)調(diào)對“個人名譽(yù)”的影響?？赡芨緱l規(guī)定將“危害”限定到了“嚴(yán)重”的程度有關(guān)，因為在當(dāng)今社會，數(shù)據(jù)泄露事件頻頻發(fā)生，前述信息在網(wǎng)絡(luò)中進(jìn)行交易屢見報端，而對個人人身、財產(chǎn)權(quán)益造成“嚴(yán)重”危害的卻少見。

個人信息保護(hù)法將個人信息分級的做法，為用戶畫像的規(guī)制提供了思路。當(dāng)企業(yè)在收集個人敏感信息進(jìn)行用戶畫像時，應(yīng)當(dāng)受到比收集非敏感信息更為嚴(yán)格的限制。當(dāng)敏感信息發(fā)生數(shù)據(jù)泄露時，企業(yè)應(yīng)當(dāng)承擔(dān)更重的責(zé)任。

個人權(quán)利的賦予

個人信息保護(hù)法第25條作出了與GDPR第22條類似的規(guī)定，即規(guī)定了反自動化決策權(quán)，強(qiáng)調(diào)自動化決策的透明和處理結(jié)果的公平合理，并為個人提供了救濟(jì)途徑。

用戶擁有拒絕被算法自動化處理的權(quán)利。企業(yè)在收集用戶信息時，應(yīng)當(dāng)遵循“告知+同意”原則，履行告知義務(wù)，告知其收集用戶信息的范圍、時間、用途等，并取得用戶同意。

用戶也應(yīng)有權(quán)對自動化處理的決策提出質(zhì)疑。當(dāng)用戶認(rèn)為自動化決策對其產(chǎn)生了不利影響，如按歧視性的標(biāo)簽向其提供有差別的產(chǎn)品或服務(wù)等，可以提出異議，要求企業(yè)解釋自動化決策的算法或者處理依據(jù)。

最后，用戶應(yīng)有就遭受的損失向企業(yè)提出賠償請求等救濟(jì)的權(quán)利。

企業(yè)義務(wù)的承擔(dān)

個人信息保護(hù)法第54條為個人信息處理者設(shè)立了事前風(fēng)險評估義務(wù)，本條明確規(guī)定了需要進(jìn)行事前風(fēng)險評估的個人信息處理活動類別，并提出了風(fēng)險評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年的具體要求。

此外，筆者認(rèn)為還應(yīng)當(dāng)對企業(yè)（即個人信息處理者）附加事后補(bǔ)救義務(wù)。當(dāng)企業(yè)的自動化決策行為對用戶造成了損害時，企業(yè)可以設(shè)置人工介入手段，對決策的過程進(jìn)行公開、對決策結(jié)果進(jìn)行分析，使自動化決策的錯誤或偏差有機(jī)會得到糾正。

人格權(quán)益和財產(chǎn)權(quán)益平衡保護(hù)

在數(shù)據(jù)執(zhí)法領(lǐng)域，強(qiáng)監(jiān)管和嚴(yán)格的法律責(zé)任是一個世界趨勢。在歐盟，GDPR不僅設(shè)計了罰款等處罰機(jī)制，還包括了警告、訓(xùn)斥等強(qiáng)制措施，而最高罰款更是高達(dá)2000萬歐元或者企業(yè)上年度4%的全球營業(yè)收入。在美國，監(jiān)管機(jī)構(gòu)試圖用嚴(yán)厲的事后罰款來倒逼企業(yè)實現(xiàn)對個人信息的全面保護(hù)。

個人信息保護(hù)法第62條、第63條規(guī)定了個人信息處理者違法的法律責(zé)任。從法條來看，第62條第2款大幅提高了罰款上限金額，第63條規(guī)定了將違法行為記入檔案的信用懲戒，有利于更好地對企業(yè)起到警示作用。

但在對違法者科以嚴(yán)格的法律責(zé)任時，也應(yīng)該注意不要矯枉過正。應(yīng)該區(qū)分企業(yè)的規(guī)模、種類以及違法行為的危害性，從而確定罰款的多少，避免因為過重的懲罰阻礙行業(yè)的發(fā)展。

法律責(zé)任的設(shè)置是一個追求平衡的過程。一方面，法律必須具有足夠的震懾力，但另一方面，又不能隨意加重責(zé)任。過于嚴(yán)苛的法律會對產(chǎn)業(yè)的發(fā)展造成巨大威脅。

結(jié)語

在互聯(lián)網(wǎng)經(jīng)濟(jì)蓬勃發(fā)展的時代背景下，互聯(lián)網(wǎng)企業(yè)越來越多地傾向于利用大數(shù)據(jù)技術(shù)收集用戶信息，從而得出用戶畫像，進(jìn)行精準(zhǔn)的廣告投放和商品營銷。這種行為一方面節(jié)約了企業(yè)的廣告成本、提高了產(chǎn)品的推廣效率，便利了消費(fèi)者，使其能快速獲得想要的商品信息；另一方面也帶來了大數(shù)據(jù)“殺熟”、價格歧視的問題，并且還往往伴隨著消費(fèi)者個人信息的泄露和被侵權(quán)的問題。如何在企業(yè)的有序發(fā)展和消費(fèi)者權(quán)利保護(hù)之間尋得一個平衡點(diǎn)，成為如今亟待解決的問題。本文從比較中外關(guān)于用戶畫像的法律規(guī)定出發(fā)，發(fā)現(xiàn)目前普遍存在著個人信息界限模糊、相關(guān)規(guī)制機(jī)制仍待完善的問題，提出了從個人權(quán)利的賦予與限制、企業(yè)義務(wù)的承擔(dān)與限制著手，分別加以不同規(guī)制，以求平衡保護(hù)的建議。希望能在最大化利用大數(shù)據(jù)技術(shù)、最大化享受數(shù)據(jù)價值的同時，保護(hù)好用戶的個人信息權(quán)益，以追求保護(hù)與利用兩頭強(qiáng)化的雙贏局面。