墨迹科技首发失败引发的对数据“商业化变现”合规性的关注

10月11日证监会发布的公告指出北京墨迹风云科技股份有限公司（下称“墨迹科技”）首发未获通过的原因之一是存在数据合规方面的问题，其中，证监会着重关注了墨迹公司使用用户数据进行“商业化变现”的合法合规性。

对于采用“免费+广告”这一典型商业模式的互联网公司来说，实现盈利的最主要方式是通过收集、使用大量用户数据提供精准化的营销和广告推送服务，以此换取来自企业客户的广告收入。墨迹科技的商业模式也是如此：通过墨迹天气App这一产品为用户提供免费气象服务，另一方面处理以各种方式收集的个人信息为企业客户提供精准的广告运营服务。正如墨迹科技在公开的招股说明书中所称：“公司将通过用户基本信息（用户画像），用户使用墨迹天气APP期间发生的行为（包括用户定位、请求频率、浏览内容等），以及用户所在地区的天气数据实施组合研究，从而使墨迹天气能够结合用户使用APP的场景与时间为用户推送可能需要的生活服务，如餐饮、出行、住宿等”。根据披露的信息，墨迹科技的互联网广告信息服务收入占比超过了95%。

用户画像的商业意义和法律界限

我们经常说的“用户画像”有两层含义：一是指通过收集分析个人数据，对特定自然人的个人特征作出分析预测，形成个人特征模型的这一过程；二是指经过加工处理后的个人信息，即其本身属于能够识别或关联自然人的个人信息的范畴。

用户画像对于数据商业化使用的意义在于通过描绘特定自然人的个人特征模型，帮助信息控制者针对特定个体精准地投放内容。利用用户画像进行营销已成为数据“商业化变现”的重要方式之一，虽然该方式并不为法律所直接禁止，但因为涉及到对个人信息的收集、使用和处理，需要在合法合规的界限内进行。本文将结合我国现有的规制用户画像的相关法规，针对通过用户画像进行数据商业化变现的行为，就其应当遵循的法律逻辑做简要分析。

一、  收集数据行为的合规性

对数据进行商业化变现的第一步是收集数据。实践中互联网企业获得用户数据的渠道主要包括自主收集（用户直接提供）和从第三方获取两种，以墨迹科技为例，根据证监会的公告，墨迹科技“通过自主收集及第三方途径获取用户数据及标签”。

1.      自主收集的个人信息

关于收集个人信息的合规要求，《网络安全法》、《信息安全技术 个人信息安全规范》（下称“《个人信息安全规范》”）等法规、国家标准已有较为明确和详细的规定。除了老生常谈的“遵循合法、正当、必要原则”，“公开收集、使用规则（有成文的内容、形式合规的隐私政策）”，“明示收集、使用信息的目的、方式和范围（明示收集信息的类型和对应的业务功能）、“经被收集者同意（不私自调用权限或私自收集个人信息）”和“最少信息和最少权限（不过度收集信息，不捆绑授权）”的规定外，根据相关规范文件，在用户画像问题上还应尤其注意：

Ø  形成用户画像、实现个性化推送本身不能构成收集个人信息的正当目的。

收集个人信息必须以满足法定要求或实现业务功能为目的，仅以定向推送等为目的收集用户个人信息的^[1]，违反了“合法、正当、必要”原则。例如手机通讯录权限对于某一款读书软件实现其业务功能并没有联系，但运营者通过调取用户的通讯录实现好友推荐功能，这一行为违反了信息收集的原则；

Ø  并不是所有能够用于形成用户画像的个人信息都能够收集。

证监会在公告中表达了因媒体报道墨迹天气上传用户隐私而对其用户数据商业化变现合规性的担忧。根据媒体报道，墨迹天气被投诉称上传用户的Wifi名称，用于精准营销。在今年9月由公安部等部门主办的“2019年网络安全专题发布会”上，墨迹科技也因涉嫌超范围采集公民个人隐私被点名。

商业化变现合规性的核心是在保护个人信息和隐私的前提下收集、使用信息。运营数据的企业如果收集个人信息超过了必要限度，就可能构成对用户隐私的侵犯。Wifi名称虽然可以帮助识别用户，以便向其发送定向内容，但收集该类信息（还包括如IMEI号、MAC地址等设备标识）存在合规隐患^[2]。个人信息的收集必须以实现业务目的为必要。对于App运营者来说，可以参考《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《信息安全技术 App收集个人信息基本规范（草案）》等国家标准理解各服务类型对应的最少信息和最少权限，掌握收集个人信息的尺度。

◆

2.      从第三方获取的个人信息

根据《网络安全法》的规定，除已经过匿名化的数据外，向他人提供信息必须经被收集者同意，且不得非法买卖数据。运营者应当对第三方合作商或供应商进行充分的尽职调查，确保获取数据来源的合法性，并通过签订协议明确数据提供方的责任义务。

实践中许多企业会采取爬虫技术从第三方“爬取”个人信息。爬虫本身是一项中立的技术，从目前的司法实践来看，与爬虫相关的争议多集中在知识产权、不正当竞争等民事案件领域，但从近期频发的包括天翼征信、巧达科技、摩羯科技、51信用卡在内的运营大数据业务的公司被警方调查的事件来看，大量爬取特定个人信息或将爬取的信息用于非法目的的行为可能使企业面临违法甚至刑事犯罪风险。此次证监会公告中关于墨迹科技数据商业化变现的合规性明确提到《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》这一依据，根据该司法解释，非法获取行踪轨迹信息、通信内容、征信信息、财产信息五十条以上，或非法获取住宿信息、通信记录、健康生理信息、交易信息等五百条以上，或非法获取其他个人信息五千条以上将构成侵犯公民个人信息罪。鉴于现行法律对利用爬虫技术获取个人信息定性的模糊性，建议在收集信息过程中慎重使用爬虫技术。

二、  将用户数据形成用户画像的告知、授权和拒绝问题

1.      收集个人信息用于形成用户画像的，应当明示告知

用户对于个人信息被用于形成用户画像这一事实拥有知情权。根据现行有效的《个人信息安全规范》，个人信息控制者的隐私政策中应当包括收集、使用个人信息的目的以及目的对应的业务功能，如将个人信息用于形成用户画像的，应当明示这一目的及其用途（例如基于用户画像的个性化展示）。此外，《App违法违规收集使用个人信息自评估指南》[3]、《数据安全管理办法（征求意见稿）》[4]等规范性文件中也有类似条款。

值得注意的是，10月最新发布的《个信息安全规范（征求意见稿）》中虽然不再包含上述条款，但在定义部分明确了用户画像属于个人信息，因此明示信息收集目的及业务功能的告知义务同样适用于用户画像。

2.      将个人信息用于形成用户画像是否需要事先获得用户授权？

现行有效的《个人信息安全规范》并未规定将个人信息用户形成用户画像是否需要事先取得用户的同意，而公安部、北京市网络行业协会在今年4月发布的《互联网个人信息安全保护指南》中则明确“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权。”

我们通常认为在中国现行法律框架下，将个人信息用于形成用户画像不需要事前获得信息主体的授权同意。

3.      用户是否有权拒绝基于用户画像的内容推送？

虽然无需获取事前同意，但用户是否有权拒绝基于用户画像的内容推送？从现有的相关规范来看，用户有权拒绝基于个人信息的“个性化展示”或“定向推送”。

《互联网个人信息安全保护指南》规定：“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用…应确保用户有反对或者拒绝的权利。”今年5月中央网信办公布的《数据安全管理办法（征求意见稿）》明确网络运营者使用个人信息进行定向推送的，为用户提供停止接收定向推送信息的功能，用户选择停止接收的，还应当删除相关个人信息。《App违法违规收集使用个人信息行为认定方法（征求意见稿）》中指出，“利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项”属于“未经同意收集使用个人信息的情形”。《关于开展App违法违规收集使用个人信息专项治理的公告》也提及“倡导App运营者在定向推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。”

从上述规范可以看出，我国对于用户画像授权同意的立法机制为“Opt-out”，即默认用户同意个人信息被用于形成用户画像，但用户有权拒绝基于用户画像的内容推送。

值得注意的是，10月最新发布的《个人信息安全规范（征求意见稿）》中将原来6月发布的征求意见稿中明确的“个人信息主体有权拥有退出个性化模式的选项”删去，根据修改后的规范，除了新闻服务外，个人信息主体不再享有关闭定向推送的权利。相比而言，欧盟的个人信息立法在用户画像方面更尊重信息主体的权利。GDPR明确规定个人信息主体有权在任何时候拒绝以直接市场推广为目的处理个人信息，包括对用户画像以推广为目的的处理^[5]。与GDPR相比，《个人信息安全规范》的此次修改更加偏向于尊重企业对个人信息的商用化使用的权利。

用户对于基于用户画像的个性化推送的相关权利总结

三、  基于用户画像的个性化推送的规制

将基于个人信息形成的用户画像用于个性化推送时，还应当注意在展示方式、数据颗粒度、用户画像的正当使用、用户隐私容忍度方面的合规要求。

1.      显著区分个性化展示内容

《数据安全管理办法（征求意见稿）》首次明确定向推送应当以明显方式标明“定推”字样。

今年10月最新发布的《个人信息安全规范（征求意见稿）》新规定了向个人信息主体提供业务功能的过程中使用个性化展示的，均应当显著区分个性化与非个性化展示的内容，表明“定推”字样，同时还建议“通过不同的栏目、板块、页面分别展示”。

2.      数据颗粒度——商业定推宜使用间接用户画像

今年6月发布的《个人信息安全规范（征求意见稿）》中首次提出将个人信息用于商业推送目的时，宜使用间接用户画像，10月最新发布的征求意见稿中保留了这一内容。

直接用户画像是指直接使用特定自然人的个人信息形成个人特征模型，间接用户画像是指使用来源于特定自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型。

虽然并非强制性的规定，但在商业使用场景，数据颗粒度较大的间接用户画像相对而言合规风险较低。

3.      正当使用用户画像

《电子商务法》规定，电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项。这一规定制约了利用用户画像进行“大数据杀熟”的行为。

今年6月发布的《个人信息安全规范（征求意见稿）》对于用户画像的使用限制作出了规定，明确用户画像中对个人信息主体的特征描述不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容，不应表达对民族、种族、宗教、残疾、疾病歧视的内容。对外使用用户画像的，不应侵害保护公民、法人和其他组织的合法权益，不应危害国家利益和社会秩序。

4.      关注用户的隐私预期

基于用户画像进行商业推送时应当关注用户最初同意被收集个人信息时的隐私预期。欧盟GDPR《自动化决策和用户画像指导原则》举了一个例子说明隐私预期的概念：某一移动应用程序申请了定位权限，用户可预期到基于定位信息建立的用户画像将用于查找附近餐厅或确定其餐饮偏好、生活方式。但如果应用程序在其晚回家时向其推送了披萨广告，将违反用户的隐私预期。

虽然目前我国法律在这方面没有明确规定，但如果推送内容与最初信息收集时的隐私预期不符，用户主张隐私被侵犯的风险会较为突出。

结语

基于用户画像的数据商业化变现的过程需要经过收集个人信息，处理个人信息形成用户画像，再到基于用户画像进行个性化推送这几个环节，以获取企业客户广告收入。每一个环节都涉及到个人信息保护的问题，数据运营者应遵守相关的法规、国家标准，确保在合法合规收集、使用个人信息的前提下实现数据的商业价值。

[1] 《App违法违规收集使用个人信息行为认定方法（征求意见稿）》二、没有明示收集使用个人信息的目的、方式和范围的情形：“1.收集使用信息的目的违反合法、正当、必要原则，如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息；…”

[2] 《信息安全技术移动互联网应用（App）收集个人信息基本规范》4.1管理要求：“e）App不得收集不可变更的设备唯一标识（如IMEI 号、MAC 地址等），用于保障网络安全或运营安全的除外。”

[3] 参见《App违法违规收集使用个人信息自评估指南》评估项3 评估点11.个人信息的使用规则。

^[4] 参见《数据安全管理办法（征求意见稿）》第二十三条。

[5] See Art. 21 of GDPR, paragraph 2.