文丨天元律师事务所 李晓华 郭云鹤
指导律师:刘瑛
现今,越来越多的市场主体将数据资源加工、分析、整理,形成数据产品和服务(“大数据产品”)。与此同时,数据合规立法不断完善。例如国务院近期出台《网络数据安全管理条例》(将于2025年1月1日起施行),对现行有效的《个人信息保护法》《数据安全法》《网络安全法》等法律法规做了细化和补充。大数据产品提供者“点数成金”的同时,也应当关注并跟进数据合规相关法律要求,进一步提升合规管理水平。
大数据产品形态多样,例如信息核验类、精准营销类、信息报告类等。本系列文章将按照大数据产品形态,结合即将生效的《网络数据安全管理条例》(“《条例》”),围绕大数据产品提供者关心的问题,以问答形式梳理大数据产品实务中常见的数据合规问题并提供建议。本期就精准营销类大数据产品展开。
精准营销类大数据产品
精准营销类大数据产品在各行各业均有广泛应用,其通过大数据分析、算法、人工智能等技术,针对特定人群或个人(“目标用户”)的需求、兴趣爱好、行为习惯等维度进行自动分析和评估,形成数据画像和标签,协助大数据产品的使用方(“大数据产品使用方”或“产品使用方”)精准定位目标用户,向目标用户进行个性化的商业营销。例如,保险机构借助精准营销类大数据产品识别和评估客户投保需求、风险偏好等特征,向客户推送适配的保险产品;零售商店借助精准营销类大数据产品定位特定年龄、特定区域的消费者,向其推送营销广告。
精准营销类大数据产品的合规工作中,需要重点把控训练数据的采集、目标用户数据的收集、数据分析评估与自动化决策、个性化推送等关键环节。
(一)训练数据采集
大数据产品提供方需要收集大量的数据进行精准营销算法模型的研发和训练。训练数据的来源渠道多,例如从自身其他经营活动中收集和产生的数据(“自有业务数据”)、从第三方获得的数据,或者通过“爬虫”等自动化采集技术收集的数据。
训练数据收集合法合规,是精准营销类大数据产品合法合规的前提。实务中大数据产品提供方可能存在以下问题和困惑:
问题1:《条例》出台后,大数据产品提供方将其自有业务数据用作训练数据的,需要遵守哪些合规要求?
答:按照现行法律法规,大数据产品提供方将自有业务数据用作训练数据,应当关注以下合规要点:
《条例》在现行法律法规的基础上,对特定情形下使用数据进行关联分析作出限制性规定:
实操中,大数据产品提供方使用自有业务数据用作训练数据前,应当结合数据主体的类型(个人信息/国家机关/关键信息基础设施运营者/企业等)、数据的重要程度(是否涉及重要数据、国家核心数据)等,对自有业务数据进行分类,根据不同数据类别选择对应的合规处理措施。
问题2:《条例》出台后,大数据产品提供方从第三方采集训练数据的,需要遵守哪些合规要求?
答:按照《条例》并参考各地数据交易相关的地方性法规、国家标准等,大数据产品提供方不得采购以下数据:
实操中,大数据产品提供方从第三方采集训练数据的,应当关注如下合规要点:
问题3:《条例》对自动化采集数据有哪些要求?大数据产品提供方通过爬虫等自动化方式收集训练数据的,如何落实这些要求?
答:反不正当竞争法、刑法等法律法规对自动化采集技术进行了规制,《条例》在此基础上,从网络安全、数据安全及个人信息保护角度对自动化采集提出了新的要求。
大数据产品提供方通过爬虫等自动化方式收集训练数据的,可以从制度和实操两个层面落实:
问题4:《条例》中提到的自动化采集技术“不得干扰网络服务正常运行”,如何判断是否干扰被爬取网站正常运行?
答:《条例》未明确“干扰网络服务正常运行”的判断标准,实操中可参考《数据安全管理办法(征求意见稿)》进行判断,同时应当关注《刑法》及相关司法解释关于破坏计算机系统罪的入刑标准,防范构成刑事犯罪的风险。对“干扰网络服务正常运行”的判断应是实质大于形式、行为重于结果。建议大数据产品提供方结合拟爬取网站的服务类型、服务对象、数据类型、访问人次、服务器承载能力等综合判断爬虫等自动化采集技术的影响,并严格控制拟抓取数据的类型、数量、访问频率等。
(二)目标用户数据采集
精准营销类大数据产品涉及收集目标用户身份信息(例如手机号、平台账号、用户ID等)以及行为习惯、兴趣爱好或者经济、健康、信用状况等多维度的个人信息和数据,录入产品算法模型进行数据分析与评估后进行自动化决策和推送。
《条例》在重申现行法律法规合规要求的基础上,对网络数据处理者收集个人信息的义务做了细化规定。
根据精准营销类大数据产品的业务安排,目标用户数据的采集主体、采集方式不同,产品提供方和产品使用方对应不同的数据处理角色、法律关系和合规义务。产品提供方可能作为数据处理的受托方,受产品使用方的委托收集目标用户数据;产品提供方也可能作为数据处理者,从目标用户收集数据后,提供给产品使用方;产品提供方可能与产品使用方作为共同的数据处理者,收集目标用户的数据。《个人信息保护法》对个人信息处理中的“委托处理”“共同处理”作出了明确规定;《条例》进一步明确规定了数据处理中的“委托处理”“共同处理”:
有关目标用户数据采集的合规要求,实务中大数据产品提供方可能存在以下问题和困惑:
问题5:谁(产品提供方,还是产品使用方)向目标用户履行“告知-同意”的义务?
答:取决于谁是数据处理者。根据精准营销类大数据产品的业务安排,目标用户的数据采集主体、数据处理安排有所不同,产品提供方和产品使用方对应不同的法律关系和合规义务。大数据产品提供方和使用方需要结合业务安排和数据处理安排,判断谁是数据处理者,并由数据处理者履行“告知-同意”义务。
问题6:如由产品提供方直接收集目标用户数据,应当如何落实《条例》对个人信息收集的细化规定?
答:产品提供方以自身名义收集目标用户数据的,产品提供方通常属于《条例》中的网络数据处理者,应当落实履行《条例》有关“清单式告知”义务和取得目标用户的“单独同意”。
产品提供方在收集目标用户个人信息前,向目标用户告知个人信息处理规则,并取得目标用户同意。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂。个人信息处理规则应当说明:(1)大数据产品提供方将利用目标用户的个人信息进行用户画像和/或精准营销;(2)产品提供方向产品使用方提供个人信息的,还应当以清单等形式列明产品使用方的名称、联系方式,以及提供个人信息的目的、方式、种类等。
问题7:如由产品使用方收集目标用户数据,大数据产品提供方应当采取哪些措施落实《条例》的有关要求?
答:如果产品使用方收集目标用户数据,并委托产品提供方按照使用方的目的和方式提供精准营销服务,产品使用方与产品提供方之间属于《条例》定义的数据“委托处理”,大数据产品提供方属于数据处理受托方,应当履行的合规要求有:
与产品使用方签订合同或其他书面文件,按照与委托方的约定处理数据,不得超出约定的处理目的、方式和范围等处理数据;
委托合同不生效、无效、被撤销或者终止的,应当将数据返还委托方或者予以删除,不得保留;
未经委托方同意,不得转委托他人处理数据。
(三)数据分析、评估与自动化决策
精准营销类大数据产品收集目标用户的个人信息和数据后,需要利用算法模型对目标用户进行分析、评估,并进行决策。
数据分析评估与自动化决策环节需要关注的要点有:
有关数据分析评估与自动化决策的合规要求,实务中大数据产品提供方可能存在以下问题和困惑:
问题8:个人信息影响评估义务应当由谁(产品提供方、产品使用方)履行?
答:根据《个人信息保护法》,个人信息处理者应当履行个人信息影响评估义务。产品提供方和产品使用方应当结合业务安排和数据处理安排,判断谁是个人信息处理者,并由个人信息处理者履行个人信息影响评估义务。
问题9:大数据产品提供方利用算法技术提供精准营销类大数据产品,是否需要“算法备案”?
答:需要。按照《互联网信息服务算法推荐管理规定》,提供具有舆论属性或者社会动员能力的算法推荐服务的,应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。其中,“具有舆论属性或社会动员能力的互联网信息服务”,根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,包括下列情形:(1)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;(2)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。
问题10:对于精准营销类大数据产品产生的服务成果(例如用户画像),大数据产品提供方是否有权使用(例如用于自身其他产品的商业营销;“投喂”精准营销模型,对模型进行升级迭代)?
答:需要区分产品使用场景和服务成果类型。
大数据产品提供方可以在合法的范围内就服务成果的用途与产品使用方进行协商,在大数据产品合同中明确约定大数据产品提供方对服务成果享有的权利(例如数据持有权、加工使用权等)。
(四)个性化推送
实践中,精准营销可能由大数据产品提供方直接面向目标用户推送(例如精准营销类大数据产品提供方同时也是互联网平台运营方,直接向平台内用户推送大数据产品使用方的特定内容),也可能是产品使用方自行向目标客户进行营销(例如大数据产品提供方向产品使用方(商家)输出了目标用户感兴趣的商品标签,商家自行制定营销方案并向目标用户发送营销短信)。
《条例》第42条延续了现行《个人信息保护法》《消费者权益保护法》《消费者权益保护法实施条例》等法律法规有关个性化推送的要求。
有关个性化推送环节的合规要求,实务中大数据产品提供方往往存在以下问题和困惑:
问题11:大数据产品提供方直接面向目标用户进行精准营销的,应当如何满足《条例》关于提供拒绝途径的要求?
答:可以参考以下做法:
通过电话、短信、邮件、网站短消息等方式发送营销内容的,在营销电话/短信/邮件/短消息文案中明确告知退订方式。用户退订后,应当立即停止发送,且不得通过更换手机号、更换发件人等方式向目标用户重复发送营销内容。
通过互联网平台页面、搜索结果等方式展示营销内容的,在平台内设置“一键关闭”自动化决策按钮、“编辑兴趣标签”等功能。用户关闭相关功能后,不得频繁弹窗要求用户开启权限、默认开启权限等。
问题12:如果大数据产品提供方与目标用户无直接交互,而是由产品使用方自行向目标用户进行精准营销的,大数据产品提供方需要履行什么义务?
答:大数据产品提供方需要通过大数据产品合同等方式对使用方的精准营销行为提出合规要求,并对产品使用方精准营销的情况进行定期回访、了解。产品合同需约定如下要点:
明确约定产品使用方使用精准营销类大数据产品的用途,不得超出约定使用、不得用于违法违规用途;
明确约定产品使用方的营销行为和内容应当符合相关法律法规,不得违法违规营销;触达用户的信息内容(“话术”)不得存在违法违规内容;
对产品使用方使用精准营销类大数据产品收集和产生的个人信息,产品使用方应当承担个人信息保护义务;
产品使用方违反上述约定的违约责任。
*特别声明:
本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助。
