大数据的利用和风险防控
网络购物、网上订票、各种APP……互联网在各个领域的应用产生了海量的数据。这些数据对于很多公司而言,极具价值:在进行前期产品研发、用户需求调查时,往往可以通过大数据分析,做出较好的商业决策;在销售方面,利用数据分析得到的“用户画像”,有助于企业进行定价、销量预测、制定促销计划等等。
如何获得大数据,如何利用大数据,是很多企业正在进行或者将要面临的事。
年初新实施的《民法典》第127条首次将数据和网络虚拟财产纳入保护范围。而11月实施伊始的《个人信息保护法》则给个人信息相关的大数据的获取、使用等带来了新的“条条框框”,其主要体现在第24条对“自动化决策行为”的规制。“自动化决策”是指“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动”(第73条)。
首先,针对此前涉诉的携〇APP对VIP提供的房价远高于新用户的这样的“大数据杀熟”行为,第24条第1款规定,个人信息处理者“应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。因此,从事外卖平台、网购平台、网约车、在线旅游等的相关企业应当重视,自查是否涉嫌违反该规定。
其次,对于“通过自动化决策方式向个人进行信息推送、商业营销”的行为,第24条第2款规定,“应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”。例如,某人上网订购两次披萨,订餐APP随后推送信息时,不能光向他推送披萨等相关的信息,而应该还有别的信息供他选择。同时,还应该给他拒绝接收商业信息推送的选项,并且拒绝应该是便捷的,而不应该难找且步骤繁琐。
第三,针对“通过自动化决策方式作出对个人权益有重大影响的决定”,第24条第3款规定,“个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。不过,“对个人权益有重大影响的决定”的判断标准尚有待明确。目前,《信息安全技术 个人信息安全规范》(GB/T 35273—2020)给出的例子可以感受一下:“自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等”。
需要提请注意的是,根据《个人信息保护法》第55条,“利用个人信息进行自动化决策”的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。此外,根据GB/T 35273—2020,“通过自动化决策方式作出对个人权益有重大影响的决定”的,除了需要进行个人信息安全影响评估以外,还应该“向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核”,建议企业在设立相关规则时对此予以重视。
实务中,还存在企业需要在其产品或服务中接入具备收集个人信息功能的第三方自动化工具或服务(如代码、脚本、接口、算法模型、 软件开发工具包、小程序等)的情况,如何合规管理也是个问题。根据GB/T 35273—2020,此种情况需要采取的措施包括:(1) 开展技术检测确保其个人信息收集、使用行为符合约定要求;(2)对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。