在大數據和移動互聯網年代，為分析用戶的群體分布特征和多樣化、個性化需求，絕大部分網絡運營者和網絡產品、服務提供者在業務活動中均會使用用戶畫像（user profiling）。何為“用戶畫像”？在具備強制執行效力的、與數據收集和處理相關的法律法規中均未提及該概念，而國家標準《個人信息安全規范》（標準號：GB/T 35273-2017）將其定義為“通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業、經濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。”《個人信息安全規范》為推薦性國家標準，屬于國家鼓勵采用的標準，并不具有強制執行效力，監管部門不能直接援引該文件作為直接的執法依據。但是，國家互聯網信息辦公室網絡安全協調局在約談“支付寶年度賬單事件”當事企業負責人時，該局負責人明確指出：“支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發布的《個人信息安全規范》國家標準的精神……應嚴格按照網絡安全法的要求，加強對支付寶平臺的全面排查，進行專項整頓，切實采取有效措施，防止類似事件再次發生”[1]?？梢?，在事關全民個人信息安全的熱點事件中，習慣于擴張權力邊界的行政部門將推薦性標準作為強制性標準適用一般并不會受到輿論以及肇事企業的質疑。為此，楊春寶律師團隊認為，在實踐中，無論對執法機關還是企業而言，《個人信息安全規范》關于用戶畫像的規定都具有指引性和參照性作用。

《個人信息安全規范》的內容參考了外國關于個人信息保護的相關立法，其中也包括歐盟《通用數據保護條例》（GeneralData Protection Regulation，GDPR于2018年5月25日正式施行）。GDPR不僅適用于歐盟企業，對于在歐盟內設有分支機構的數據控制者或數據處理者，只要個人數據處理活動發生在分支機構開展活動的場景中，即使實際的數據處理活動不在歐盟內發生，也應適用GDPR；而對于未在歐盟內設立分支機構的數據控制者或數據處理者，只要為歐盟內的數據主體提供商品或服務（無論是否支付對價），或監控歐盟內數據主體的行為，均應適用GDPR。因此，對于在歐盟設有分支機構、開展跨境業務、進行全球化運營的中國企業，尤其是構成《網絡安全法》下的網絡運營者和網絡產品、服務提供者而言，均應關注是否可能適用GDPR，關注GDPR關于用戶畫像的規定[2]。楊春寶律師團隊擬通過比較分析GDPR與《個人信息安全規范》關于用戶畫像的相關規定，以期為相關企業合規使用用戶畫像提供有益參考。

一、基于用戶畫像收集的與自然人相關的數據構成個人數據/個人信息[3]

GDPR將“個人數據”定義為“與一個確定的或可識別的自然人相關的任何信息。可被識別的自然人,是指借助標識符，例如姓名、身份標識、位置數據、網上標識符，或借助與該個人生理、心理、基因、精神、經濟、文化或社會身份特定相關的一個或多個因素，可被直接或間接識別出的個人。”雖然GDPR對用戶畫像定義為“通過自動化方式處理個人數據的活動”，但其在第2條“適用范圍”中規定：“本條例適用于個人數據的全自動或部分自動處理，以及形成或旨在形成用戶畫像的非自動個人數據處理?！币簿褪钦f，在GDPR語境下，不僅用戶畫像自身是“處理個人數據的活動”，而且“形成或旨在形成用戶畫像”的活動亦屬于個人數據處理，因此，基于用戶畫像收集的與自然人相關的數據構成個人數據。

而根據《個人信息安全規范》，一方面，該文件在《網絡安全法》基礎上規定“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，……判定某項信息是否屬于個人信息，應考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人，個人信息應有助于識別出特定個人。二是關聯，即從個人到信息，如已知特定自然人，則由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息?！被谟脩舢嬒袷占呐c自然人相關的數據顯然符合前述特征；另一方面，在《個人信息安全規范》附錄A“個人信息舉例”中，也列舉了例如網站瀏覽記錄、軟件使用記錄、點擊記錄、行蹤軌跡等基于用戶畫像所收集的信息。為此，楊春寶律師團隊認為，基于用戶畫像收集的與自然人相關的數據構成《網絡安全法》及《個人信息安全規范》所定義的個人信息。企業使用用戶畫像時應當嚴格遵守《網絡安全法》及《個人信息安全規范》關于個人信息保護的規定，盡力防范合規風險。

二、合規使用用戶畫像應當注意的問題

1、GDPR相關規定分析

根據GDPR的規定，使用用戶畫像如果對數據主體產生法律上的影響或者其他重大影響，應符合以下條件之一：（1）用戶畫像對于數據主體與數據控制者的合同簽訂或合同履行是必要的；（2）用戶畫像是歐盟或成員國的法律所授權的，數據控制者是用戶畫像的主體，并且已經制定了恰當的措施保證數據主體的權利、自由與正當利益；（3）基于數據主體的明確同意。即使符合上述第（1）種和第（3）種情形，數據控制者也應當采取適當措施保障數據主體的權利、自由與正當利益，以及數據主體對數據控制者進行人工干涉，以便表達其觀點和對用戶畫像進行異議的基本權利。如果使用用戶畫像對與自然人相關的個人因素進行系統性與全面性的評價，則數據控制者應當在處理之前評估計劃的處理進程對個人數據保護的影響。

就上述三種使用用戶畫像的情形，由歐盟或成員國的法律授權使用的情形較為特定，而在大數據業務模式中，大多數情形下使用用戶畫像也很難說對于數據主體與數據控制者的合同簽訂或合同履行是必要的，因此，在絕大多數情形下，需要取得數據主體對使用用戶畫像的明確同意。對此，GDPR的要求主要包括：

首先，應當告知數據主體存在用戶畫像并提供相關邏輯、包括此類處理對于數據主體產生的預期后果的有效信息。

其次，應當明確告知數據主體享有對用戶畫像的反對權。如果數據主體表示反對，數據控制者須立即停止針對這部分個人數據的處理行為，除非數據控制者能夠證明，相比數據主體的利益、權利和自由，具有壓倒性的正當理由需要進行處理，或者處理是為了提起、行使或抗辯法律性主張。此外，數據主體有權隨時反對為了直接營銷目的而處理個人數據，包括反對和直接營銷相關的用戶畫像。

第三，針對特殊類型個人數據，例如性取向、性生活、宗教信仰、政治信仰等敏感數據，除非數據主體明確同意基于一個或多個特定目的而授權處理其個人數據（但成員國可以通過立法明確規定即便數據主體同意，也禁止基于特殊類型個人數據的用戶畫像），或對數據的處理對實現實質性的公共利益是必要的，并且已經采取了保護數據主體權利、自由與正當利益的措施，用戶畫像不應基于特殊類型個人數據。

2、《個人信息安全規范》相關規定分析

《個人信息安全規范》將用戶畫像區分為直接用戶畫像與間接用戶畫像：直接使用特定自然人的個人信息，形成該自然人的特征模型，稱為直接用戶畫像；使用來源于特定自然人以外的個人信息，如其所在群體的數據，形成該自然人的特征模型，稱為間接用戶畫像?！秱€人信息安全規范》要求個人信息控制者制定的隱私政策中應包含收集、使用個人信息的目的以及目的所涵蓋的各個業務功能，其中明確列出應包含將個人信息用于形成直接用戶畫像及其用途。除目的所必需外，個人信息控制者在使用個人信息時，應消除明確身份指向性，避免精確定位到特定個人。比如：為準確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業廣告目的時，則宜使用間接用戶畫像。當僅依據信息系統的自動決策而做出顯著影響個人信息主體權益的決定時（例如基于用戶畫像決定個人信用及貸款額度，或將用戶畫像用于面試篩選），個人信息控制者應向個人信息主體提供申訴方法。

3、比較分析

對比GDPR與《個人信息安全規范》關于使用用戶畫像的相關規定，我們可以看到，GDPR的合規要求更為嚴格、規定更為具體，GDPR要求在符合處理個人數據的一般規定的基礎上，還需符合對用戶畫像的特別規定。這些要求正在極大地實質影響大數據業務模式，此前曝出的超過5000萬Facebook用戶的個人數據被劍橋分析公司未經許可處理，并用于有針對性地推送信息和發布競選廣告以影響美國選民的選擇的事件，即暴露出使用用戶畫像對個人數據違法處理與濫用的問題。在我國，用戶畫像也被大量使用，尤其是我國網絡支付與網絡購物得到廣泛普及的現實情況下，用戶被收集并處理的個人信息數量更大、維度也更廣。而《網絡安全法》及相關法律法規及配套規則中并未明確規范“用戶畫像”，作為推薦性國家標準，《個人信息安全規范》既沒有強制執行力，其關于用戶畫像的具體規定也比較少，并且也比較原則性。

在國家互聯網信息辦公室于2018年5月9日發布的《數字中國建設發展報告（2017年）》中提到：“根據有關機構測算，2017年我國大數據核心產業規模為234億元，同比增長39%。大數據應用正在從互聯網、電信、金融、交通、醫療等領域向傳統領域拓展。我國大型互聯網企業在海量數據采集、存儲和處理等方面能力躋身國際前列。”楊春寶律師團隊相信，在飛速增長的大數據產業中，特別是在電子商務和網絡支付行業的大數據分析中，通過用戶畫像收集的信息不僅數量龐大，而且具有巨大的經濟價值。隨著GDPR與《個人信息安全規范》的施行，用戶畫像的收集、使用及與第三方共享過程中的合規問題就顯得特別突出，值得廣大跨境運營企業，特別是網絡運營者和網絡產品、服務提供者予以特別關注。

[1]參見http://www.cac.gov.cn/2018-01/10/c_1122234687.htm

[2]GDPR將“用戶畫像”定義為“通過自動化方式處理個人數據的活動，用于評估、分析以及預測個人的特定方面，可能包括工作表現、經濟狀況、位置、健康狀況、個人偏好、可信賴度或者行為表現等”。

[3]GDPR使用“personal data”即“個人數據”的表達，而在包括《網絡安全法》、《個人信息安全規范》在內的我國相關法律及標準體系中則使用“個人信息”的表達。