【主题报告】

报告人：姜文 人大2018级非法本法硕

第一篇文章：Behavioral Advertising: The Offer You Can't Refuse （下文称《行为广告》）

作者：Chris Jay Hoofnagle, Ashkan Soltani, Nathaniel Good, Dietrich J. Wambach, and Mika D. Ayenson

《行为广告》一文讨论的是，在由行为广告引起的个人隐私保护问题上应当坚持市场自由还是政府干预。行为广告，是指广告商通过追踪和搜集网络用户的上网活动和浏览记录向特定人或人群推送特定广告从而提高营销水平的“一对一”广告模式。与传统的电话推销相比，行为广告同样涉及隐私侵犯问题，但不同之处在于网络技术的强势使得网购者在决定是否以及如何披露个人信息一事儿更容易丧失选择权。因此，理解政府为何需要规范行为广告的首要关键在于了解广告商是如何运用网络技术来实现行为广告以及在此过程中信息跟踪对网民个人隐私的影响。围绕此核心，《行为广告》的行文逻辑大致如下：介绍个人信息跟踪技术➡阐述关于顶级流量网站跟踪技术使用情况的实证研究（包括已有的研究结果和作者开展的实证研究）➡分析互联网企业在个人信息跟踪和个人隐私保护方面的问题➡辩驳放任市场调节观点，倡议政府隐私干预。

《行为广告》提到，广告商目前主要通过网页追踪以及浏览器指纹识别（browser fingerprinting）两大类方式跟踪和获取获取网民个人信息。第一种网页追踪方式，是指企业在用户浏览网页时在该用户电脑中写入带有独特识别码的文件，而广告商则可以通过该识别码所标识的一个或多个信息识别用户特征。实现网页追踪的技术文件始于互联网初时代的信息记录程序（“HTTP”cookies），之后为了规避“请勿追踪”等隐私保护规范，广告商又发明出Etags、Flash cookies、HTML5 本地储存和Evercookies等技术。《行为广告》一文从技术层面逐一分析了上述五种技术：HTTP cookies（又称作标准信息记录程序）是由 Web 服务器保存在用户浏览器（客户端）上的包含有关用户信息的小文本文件，分为第一方cookie和第三方cookie。其中，第三方cookie是与网站用户毫无关系的其他公司为了跟踪用户而安置在不同网站上的。基于cookie在多个网站跟踪得来的用户信息，比如兴趣、身体状况甚至是政治观点等等，广告商建立用户画像（online profiling），识别用户身份特征，并根据用户特点推送特定广告或者将用户信息转手卖给其他企业。无论是第一方cookie还是第三方cookie，网络用户都可以选择删除cookies文件来避免互联网公司跟踪自己的网页浏览记录。Flash cookie是Adobe Flash的开发者建立在用户电脑上用以储存用户信息的文件。它与HTTP cookie最显著的不同在于，即使用户已经删除，Flash cookies仍然能够在不告知用户的情况下再次生成，继续跟踪用户信息。Etags（实体标签），开发本意是希望通过直接保存历史浏览网页为用户提供更快速的浏览体验，但这种技术也被广告商用来在用户端储存识别码。 HTML5 本地储存方式的优点在于储存时间长、容量大，在苹果研发越来越多的脱离Flash软件的产品之后，HTML5将成为Flash cookie的替代之选，使用范围越来越广。The Evercookie 跟踪机制则是融合前述几种技术，其特点是重复——即便用户删除了某个跟踪文本，另一个追踪文本会立刻恢复生成识别码。第二大类技术，浏览器指纹识别是指服务器一端通过浏览器直接查询用户的电脑属性，比如用户使用哪个浏览器、下载了哪些字体，以此识别用户特征。由于该活动在服务器一端进行，所以用户很难发现和阻挡。综上，跟踪技术从旧到新、不断迭代，都是广告商为了使这些跟踪技术更难被消费者察觉和阻挡，以更隐秘的方式剥夺网络使用者面对广告推送的选择权，从而使行为广告成为“人们无法拒绝的offer”。

《行为广告》先是列举了其它机构的研究成果，包括多家顶级流量网站使用cookies等跟踪技术的情况、向第三方泄露用户信息的网站，随后自己设计实验扒取了美国前一百名网站（基于QuantCast.com的排名），对这些网站上出现的跟踪技术的数量和类型以及cookies是否会再生成等情况进行测试。实验表明，对照2009年的测试结果，2011年各网站的cookies总数量显著增加，跟踪文件愈发难以被用户发现，葫芦网仍然继续使用可再生的跟踪技术。跟踪技术在数量和质量上的变化表明互联网企业在保护个人信息方面的意识和努力都不足以承担网络用户的信任。单凭市场调节，自由市场只会让互联网企业不断创新更加隐蔽的跟踪技术，拉大用户和企业之间的信息不对称，挤压网络用户的选择自由，侵犯消费者的自主权。技术差距造成的信息不对等，很难凭用户一己之力弥补，法律也不应该期待用户为了保障选择自由而专业地学习和掌握网络技术知识。如此，政府出手规范行为广告，规制企业追踪和处理用户信息行为顺理成章。作者指出，主张坚持市场自由的观点忽视了技术规避因素，如果企业故意逃避保障用户选择自由的义务，那用户所做的选择如何能够自由呢？至于那些将政府干预视为“家长主义”的人，作者反驳道，政府制定规范，牵制企业“日益猖獗”的追踪行为，恰恰是替目前处于弱势地位的网络用户挽回了自由选择的权利。

《行为广告》整篇文章建立在实证研究方法之上，实验结果客观反映了企业使用跟踪技术的现状，例证了广告商缺乏重视和保护用户个人隐私的意识，强调政府及时干预行为广告的必要性。基于各网站的测试情况，作者同时在文末给出了两点干预建议：第一，禁止企业使用再生cookies等类似技术手段绕过用户选择，跟踪用户信息；第二，运用信息强制干预尤其是数据增强等手段将利于保护网络用户的自治权。总而言之，政府干预应当以保护用户的选择自由为目标，增强用户的个人选择，在用户和广告商之间搭建良性沟通体系，如此才能为整个市场创造出更多真正有益的用户选择。

第二篇文章：《Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation》

作者：Dr. Frederik J. Zuiderveen Borgesius

第一篇文章讨论的是政府是否应当干预行为广告，其焦点在于广告商使用的跟踪技术，而第二篇文章《在不知道姓名的情况下挑出人》则从行为定向广告过程中所使用的匿名数据（pseudonymous data）是否属于数据保护法规范对象——“个人数据”的角度切入，运用规范解释学方法，论证数据保护法规范行为定向广告的合法性和合理性。除前言和结论两章外，整篇文章可分为三部分：第一部分包括第二章和第三章，主要阐述行为定向广告和数据保护法两个讨论对象；第二部分包括第四章、第五章和第六章，重点聚焦行为定向广告数据用于筛选用户、行为定向广告数据主体姓名匹配、新数据保护条例与匿名数据三个问题；最后一部分，即第七章和第八章则从正反两方分别阐述支持和反对“挑选个体”数据属于个人数据的观点。

第一部分中，行为定向广告（Behavioural targeting）概念与行为广告（Behavioural advertisements）实为同一个概念，在此不再赘述。简而言之，广告公司会使用第三方cookies和其它跟踪技术进行用户信息跟踪，此外还会运用cookie匹配（cookie matching）或cookie同步（cookie synching）来丰富用户档案。依照广告公司的说法，跟踪技术过程中的匿名数据不会显示用户姓名，不属于个人数据，因此匿名数据不属于数据保护法的管辖范围。在欧洲，数据保护法是规范个人数据使用和处理公平的主要法律，主要包括《欧盟基本权利宪章》、《数据保护指令》（1995年）、《电子隐私指令》等法律。这些法律在赋予数据主体权利的同时，也给数据控制者添附了相应义务。

数据保护法的规范对象限于个人数据，因此匿名数据是否属于个人数据成为解答“数据保护法能否规范行为定向广告”的关键。在第三章《行为定向广告数据用以筛选人群》中，作者紧接着就“个人数据”在不同法律规范中的定义进行重点阐述。其中，《数据保护指令》规定：“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息；“可识别的人”是指可以直接或间接识别的人，特别是可通过可识别数字或特定于他的身体、生理、心理、经济、文化或社会认同的一个或多个因素识别的人。针对《数据保护指令》“个人数据”的定义，欧洲数据保护机构第29条工作小组的解释认为，该定义包含四个要素：（1）“任何信息”；（2）“有关的”；（3）“已识别的”或“可识别的”；（4）“自然人”。

基于上述四要素，作者认为行为定向广告所使用的匿名数据符合个人数据的定义。要素一：任何信息自然包括了广告商所追踪的个人网页浏览记录在内的一切信息。要素二：根据工作小组的解释，判断信息与人是否相关可从信息的内容、目的和结果三个方面衡量。内容相关，即信息内容是关于某个人的，比如广告商收集到的某个人感兴趣的网页的数据。结果相关，例如广告商可根据某一结果而对广告对象区分对待，则该信息就实现了它的结果价值。再者，如果广告商使用某个数据就是为了评估、区分和影响某个人的行为或状态，则该信息则属于目的与人相关。因此，尽管某些基于大数据的分析模型在内容上并不涉及个人信息，但只要该分析是针对个人而展开的，从目的相关和结果相关的角度认识，就不能否认分析过程所使用的匿名数据与“个人”无关。要素三：“可识别的”定义中例举了“可识别数字”，即单纯的数字只要具有唯一可识别性就应当是“可识别的”，由此推知，包含了数字和字母的cookies识别码理应也具有唯一可识别性。事实上，广告商可以凭借Cookies和类似技术文件含有的独特识别码从一群人中挑选出某一特定个体，这一挑选过程就体现了“可识别的”功能。虽然某些场景下，比如网吧里的电脑可能由多个人使用，此时的识别码跟踪到的就不只是某一个人的信息，但广告商推送广告确是指向某个个体的，且每个人的浏览记录具有独特性，因此也不可就此否认cookies识别码所关联的信息是“可识别信息”。要素四：“自然人”，将“法人”排除在外。综上，即使数据控制者所持有和处理的数据并没有显示数据主体的姓名，但是他们仍然可以凭借识别码挑出某个特定个体，这一过程本身暗含着识别意义，因此行为定向广告所处理的匿名数据应当属于个人数据。事实上，除澳大利亚外，英国信息专员办公室、荷兰数据保护机构、法国数据保护机构、加拿大隐私专员、美国联邦贸易委员会、国际通讯信息保护工作组在个人数据上也采纳了与欧盟数据保护法类似的定义。

更进一步的是，作者在第五章指出，匿名数据并不会永远停留在匿名状态——数据控制者或是其他公司总能凭借技术手段实现数据主体姓名匹配。为了解释匿名数据去标识化（也就是数据主体姓名匹配），作者假设了四种情形：（1）知道数据主体姓名；（2）不知姓名但数据控制者容易实现数据主体姓名匹配；（3）在数据持有公司不知道且不容易匹配数据主体姓名的情况下，第三方可以轻松实现数据主体姓名匹配；（4）包括数据控制者在内的任何人都难以实现数据主体姓名匹配。普遍共识的是，第一种情形中的数据属于个人数据，且应当适用数据保护法。至于第二种情形，结合《数据保护指令》序言规定，“确定一个人是否可识别，应考虑数据控制人或任何其他人可能合理使用的所有手段”可知，如果企业能够运用合理的手段实现匿名数据主体姓名匹配，则该匿名数据就属于可识别的个人数据。而在实践中，判断合理手段存在与否则应当结合科学、技术、经济成本等因素综合考量。观察当下的网络技术发展现状，数据控制者运用合理手段实现匿名数据去标识化着实不难。文中举例道，在2006年，搜索引擎提供商AOL曾发布过一组无名搜索配置文件的数据集，每个配置文件都绑定一个随机编码。短短几天之内，《纽约时报》的记者就根据这份数据集找到了一位随机编码为4.417.749的搜索者并判断出这位搜索者是一名来自英国利尔伯恩市、养着三条狗的老奶奶。随后《纽约时报》对其进行了采访，证实了这位老奶奶就是4.417.749号搜索者。也正如某位谷歌雇员在一次诉讼庭审中所说，“单单凭借某个搜索查询，我们也能有办法识别用户身份”，数据控制者所称的“匿名数据”实质上并不是真正的“匿名数据”，而是可识别的个人数据。第三种情形就相对复杂了，作者承认，此种情形仍然有待继续探讨。从第26条的规定可以窥见，《数据保护指令》在合理手段方面采纳的是绝对路径（absolute approach），即只要数据控制者或者其他方中的任何一方有办法获取个人识别性信息就达到了“可能合理使用的所有手段”的法律要求。与之相对，相对路径（relative approach）则主张只有数据控制者通过合理方法识别主体姓名的数据才是个人数据，而其他人或机构通过合理手段实现数据主体姓名匹配的数据则不能被认为是“个人数据”。简单地说，绝对路径将扩大个人数据的定义范围，而相对路径下的个人数据范围相对狭窄。不过，尽管欧盟法院在司法判例中时常适用第26条规定也就是绝对路径，但数据保护机构有时也会采用相对路径。英国信息专员办公室也貌似倾向于相对路径。事实上，关于行为定向广告数据中的匿名数据的讨论与IP地址是否属于个人数据异曲同工。然而，行为定向广告搜集的用户信息远不止是IP地址，因而广告商凭借跟踪技术实现数据主体姓名匹配更加容易。最后一种情形，作者认为不能实现匿名数据去标识化的情形非常罕见。更有甚者，即便匿名数据无法添附姓名，不会侵犯用户隐私，但这种数据使用方式仍然会造成许多危害。

历经多年的科技发展和学术讨论，数据保护立法者终于认识到匿名数据问题立法的迫切性，开始行为定向广告的立法探索。在第六章中，作者介绍了欧洲提议制定数据保护条例过程中与匿名数据有关的立法意向。2012年，欧洲委员会提议制定数据保护条例以替代1995年的《数据保护指令》，该提议在个人数据“可识别性”定义上确定了绝对路径。此提议一出，互动广告局和亚马逊、雅虎等互联网公司立马积极游说，试图说服立法者对匿名数据从宽规范。2014年，欧洲议会出台妥协案，此案虽然坚持绝对路径，但却将“匿名数据”作为一种新类型的个人数据。2015年，欧盟理事会也提出议案， 该议案内容上与2014年妥协案相差无几。针对2015年欧盟理事会议案，工作小组再次重申，“可识别性”的内涵应当包括“挑出某个个体”，同时反对将“匿名数据”视为一种新的个人数据类型。12月，欧盟理事会和欧盟议会达成协定，确定了数据保护条例中关于个人数据的定义的最终文字。与1995年《数据保护指令》相比，这份最终文字在定义中增添了“地理位置数据”、“网络标识码”（online identifier）两个例子。同时，在“可识别性”要素上采纳了绝对路径，使用了挑选（“single out”）一词。此外，序言中还增加了“匿名化”的定义。不过，这份协定将匿名化视作一种安全保护措施，并暗示在某些情况下，匿名数据处理公司不需要执行数据主体的数据访问请求。有关《数据保护条例》的一系列提案都明确道，匿名数据可以成为个人数据，并在“可识别性”内涵上吸纳了“挑选某个个体”的概念，但并没有精准界定个人数据定义，有关讨论还将继续下去。

本文的第七章和第八章，作者分别介绍了支持和反对“可挑出个体”的信息是“可识别的”信息的几大理由。支持部分阐述了五大理由：（1）数据保护法的核心是公平和正义，而行为广告公司大规模收集数据的行为内在潜藏的许多风险与数据是否匿名无关。譬如，大规模的数据收集可能会引起“寒蝉效应”，人们会因为害怕网络活动被跟踪而畏手畏脚，对和自己有关的信息丧失控制感；大规模的数据储存更容易发生数据泄露事件；政府情报机构也会借机监查个人信息或者直接访问数据控制者的数据；营销公司掌握了大量的消费者信息，并对消费者进行分级，这种分级行为可能会造成不公正对待。（2）姓名本身只是识别方式之一，姓名甚至不是最高效的识别手段。对广告商而言，跟踪用户网络活动或是推送广告，cookies的识别码比姓名更有用。（3）行为定向广告的要义就是对个体进行追踪、个人画像并向个体推送广告，其行为必然要求运用识别码挑出某个个体。（4）《数据保护指令》的原理就是以基本人权为指导，提供“更高级别”的人权保护，因此在网络时代，将“可挑选个体”的数据纳入“可识别的”数据对“保护私人生活”是十分必要的。（5）如第五章所述，匿名数据主体姓名匹配相当容易实现。

显然，作者是站在“可挑选个体”数据属于“个人数据”观点一方的，因此在陈列反对理由的同时也不忘指出反对理由是如何如何无法成立。反对部分的四大理由分别是：（1）一旦《数据保护条例》适用于匿名数据或“可挑选个体”数据，互联网公司将缺乏动力进行数据匿名化。不过，作者认为，数据匿名化对企业工作便利同样至关重要，因此企业并不会因此而放弃数据匿名化。此外，数据匿名也是防止数据泄露的绝佳手段。（2）行为定向广告纳入数据保护法适用范围将有害社会创新和经济发展。而作者则指出，只考虑创新和效益而忽视人权保护，对于社会发展来说弊大于利，况且法律并不禁止全部的数据处理行为。相反，数据保护立法将推动企业重视人权保护、创新隐私保护技术。（3）对“个人数据”的扩大解释导致个人隐私保护过度，草木皆兵。作者则反驳，与传统的隐私保护不同，数据保护的立法目的不仅在于保护个人隐私更包括追求公平。（4）个人数据概念界限模糊，“挑出个体”数据落实执法不易，法律确定性受挑战。对此，作者指出，正如环境保护法不能解决所有的环保问题，若因执法困难而逃避“可挑选个体”数据立法问题是因噎废食的做法，实不可取。

最后一章《结论》中，作者得出两大结论：第一，行为定向广告适用数据保护法是通行做法。第二，从规范角度看，行为定向广告应当适用数据保护法。首先，行为定向广告的核心是挑出某个个体，涉及跟踪个体、个体画像和确定广告对象。其次，姓名只是联系数据内容与数据主体的识别方式之一。最后，企业非常容易实现数据主体姓名匹配。总而言之，把“可挑选个体”数据视作“个人数据”有利于追求公平和保护隐私，实现数据保护法的立法原意，应当对“可挑选个体”数据适用数据保护法。

《中华人民共和国电子商务法》第十八条

第十八条 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。

电子商务经营者向消费者发送广告的，应当遵守《中华人民共和国广告法》的有关规定。

第九条 本法所称电子商务经营者，是指通过互联网等信息网络从事销售商品或者提供服务的经营活动的自然人、法人和非法人组织，包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。

【自由讨论】

【丁晓东 人大未来法治研究院副院长】

网络经济中的用户画像与个性化营销已经越来越普遍。在商业领域，越来越多的企业开始收集个人的浏览记录、购买记录、交易方式等信息，依据这些信息来分析用户行为和对网络用户进行用户画像（profiling）和精准营销。如果说早期的互联网经济是“人找信息”，那么用户画像与个性化推荐的普遍化，如今的互联网经济开始越来越多地迈向“信息找人”的阶段。

网络经济中普遍存在的用户画像与个性化推荐促进了互联网经济的发展，在很多情形下，用户画像与个性化推荐使得商家可以更为精准地投放广告，节省了无效广告的成本；同时，用户画像与个性化推荐也使得消费者可以更为获取更为有效的商品信息，可以更为快捷有效地获取自己希望购买产品的信息。例如，电商网站普遍存在根据消费者的消费记录而推荐相关产品，很多消费者常常能在这些推荐的产品中找到自己希望购买的商品。

但另一方面，网络经济的用户画像与个性化推荐也对用户的隐私权益保障提出了挑战。在国外，就像这两篇文献所讨论的，对于用户画像与个性化推荐存在巨大争议。例如在美国，对于网络用户的消费行为是否属于个人信息，不同主体存在不同的看法。在有的企业看来，用户的消费习惯不属于个人信息，因为不能根据此类信息来识别特定的个体。而且，企业在收集了此类信息后，一般会将此类信息匿名化处理。但在其他有的人看来，此类信息无疑属于个人信息，因为此类信息本身就是对个人的识别——即使此类识别没有识别姓名，而且结合其他信息，此类信息甚至可以经常能定位到具体的个体。

欧洲对于“用户画像”的法律定位与规制要更为明确。欧洲《一般数据保护条例》直接将“用户画像”纳入了其法律规制的范围，第4条第（4）款规定，“为了评估自然人的某些条件而对个人数据进行的任何自动化处理，特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理”都属于用户画像，都受《一般数据保护条例》的管辖。但如何解释《一般数据保护条例》中的相关条款，以及如何从原理层面分析这些条款，仍然有待于进一步讨论。

在我国语境下，对于这个问题也已经有了司法案例与立法。2013年，一位百度用户就已经据此提起诉讼。在使用 “减肥”“丰胸”等关键词在百度网站上进行搜索后，当她在登陆其他网站时，这些网站都出现了与“减肥”“丰胸”等相关的广告。这位用户因此向法院提起诉讼，认为百度公司未经其同意，收集和记录自己的搜索记录并根据这些记录与信息投放广告，对她的生活造成了困扰。在此案中，虽然法院最终在二审中驳回了原告的请求，但法院的理由是我国的人格权框架并不保护此类隐私。对于从个人信息保护或信息隐私保护出发，法律是否应当保护公民免受此类用户画像与个性化推荐，仍然有必要从法律条文与法律原理进行进一步分析。此外，刚刚通过的《电子商务法》第十八条规定：“电子商务经营者依据消费者的兴趣爱好、消费习惯等特征向其提供搜索结果的，应当同时提供不针对个人特征的选项。”这一条规定如何解读，事实上也涉及到了个人信息保护、用户画像与算法问题。在可预见的将来，这个问题可能会是中国法律问题的一个争议焦点。

【刘晓春  中国社会科学院大学互联网法治研究中心执行主任】

《电子商务法》第18条针对的情形，是根据用户画像进行精准营销行为的一种规制，立法过程文件的解释是为了针对大数据杀熟的场景，但是实际上经过修改，只针对电商平台搜索结果产生约束力，跟大数据杀熟涉及到的消费者知情权等场景其实并不能精准匹配。

另一方面，这种规制究竟是基于什么理由，其实并不清楚。今天读的文献里面是将用户画像在个人信息保护的语境下来进行讨论，作者还是一个偏向权利保护的视角，预设了个人对于自身用户画像应当有控制的权利。但是，我更关注的是，用户画像这个东西，究竟是不是应该由个人来主张权利呢？它与传统的身份证、手机号码这些信息不一样，它首先不一定是精确匹配到个人的，有时候可能是一个行为标签、群体画像；其次，它对于识别身份这样一个功能其实还是没有完全一致，毕竟现在的中国法上个人信息的概念还是与身份识别联系起来。更重要的是，用户画像里面有多个主体的利益，很多时候经营者需要了解他们的用户，才能更好地提供服务，获得竞争优势。经营者做出来的用户画像，也有他们的经营自主权的利益在里面。所以，第一个层面的问题是，用户画像究竟是否属于个人信息，恐怕还是不好直接下定论的。论文作者也并没有完全说服我。

第二个层面，是用户画像如果属于个人信息，那么如果保护和规制利用行为的问题。同意原则应该还是可以适用的。但是除此之外呢？可以根据用户有权介入的程度，画出一个谱系。这一端是一个同意或离开的框架，另一端则是用户可以对于自己的用户画像拥有完全自主权，包括编辑、添加、删除标签等。就好像我们出门之前有权决定自己穿什么衣服，化什么妆。那么电商法给出的规制方式呢，也是一个比较特别的，就是要求可以切换到非个性化推送模式。这个方式听起来有道理，但是如果我是一个只做精准推送的企业，比如头条，抖音，那你非要我提供一个非个性化版本，门户网站式版本，我为什么要承担这个义务呢？用户不想用，用脚投票不行吗？当然，头条和抖音的内容推送有可能是排除在电商法适用范围之外的，但是，如果这种规制模式得到推广，那么使用用户画像进行精准推送的业务模式可能都会受到这种规制的挑战。

【熊丙万 人大未来法治研究院研究员】

个性化推荐的商业和治理逻辑

一

关于个性化推荐，有一个前提性的问题，即何为个人信息？或者说何为《电子商务法》第18条规定的“个人特征”？

在我们读书会以往阅读的文献中，也涉及到过这个问题。之前着重讨论的问题是，个人信息是否经过了匿名化处理？以及，已经匿名化处理的数据能否被还原，以至于还能准确识别个人的主体身份信息？这里关注的核心问题是信息主体的身份识别问题。

但是，在不少的个性化推荐场景中，个性化识别或者是知道信息主体是谁已经不是那么重要，因为，即便不知道信息主体的准确身份信息，常常也可以根据该主体曾经使用的计算机或者智能手机终端的信息，成功地向该主体推送商业广告信息。目前广泛应用的Cookie技术就是一个例子。但这也容易引发问题。例如，两个情人刚住一起，共用一个电子设备终端。如果女友在使用这个终端时，经常收到红灯区的信息；或者反过来，男友在使用这个终端时，经常收到无痛人流的信息。那么，这很可能构成对共同使用统一终端者的隐私的泄露。

这样一个事例告诉我们，个人信息主体总会在不同的情形当中有拒绝数据企业收集自己的信息，并据此进行画像，再用来做相应广告推销的需求。用《欧盟通用数据保护条例》第21条的话来说，数据主体希望拒绝他人对自己进行画像，并利用画像对其开展营销活动。

《欧盟通用数据保护条例》第21条明确赋予了个人信息主体“拒绝权”，即随时反对为了此类营销而处理相关个人数据，包括反对和此类直接营销相关的用户画像。目前，尚不清楚“随时”在商业合规实践中是如何理解和操作的。至少有两种理解的可能性。

一是说，电子商务经营者可以根据个人的画像（包括实名制的画像和虽匿名处理但仍可就特定智能设备终端用户进行画像），并进行相应的营销，但应当赋予个人信息主体事后“一键关闭”的机会和权限。《电子商务法》第18条第2款将个性化广告推荐的规则指向了《广告法》第44条。该条规定“利用互联网发布、发送广告，不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告，应当显著标明关闭标志，确保一键关闭。”这一规则大致就属于这样一种类型。

不过，就像我前面举的男女朋友的例子所表明的那样，一些信息主体可能一开始就不希望自己被画像并作为营销的对象；无论这种画像是实名的，还是虽然匿名当仍然与其智能终端联系在一起的。这就涉及到另外一种理解的可能性，即“随时”理解为包括从一开始就拒绝数据企业对其画像并进行营销的活动。

就像我们之前的好几次读书会都讨论的那样，这里面存在着一种深刻的相互矛盾，或者说利益冲突：一方面，网民希望免费使用网络服务且不允许电商平台经营者利用自己的个人信息；另一方面，电商平台经营者又需要付出大量的成本来搭建和运营平台。要解决这一对矛盾，或许，只有重新评估这类网络服务的成本和对价支付逻辑。

张新宝老师最近撰写了专题论文，提出了一种“普遍免费+个别付费”的个人信息保护模式，应该是很值得考虑的方式。我们在之前的读书会中也曾经接触到这方面的文献。也就是说，如果我们接受“天下没有免费的午餐”这个基本逻辑的话，那么，让那些喜欢安静的人直接支付使用平台服务的对价，是一个更好的选择。事实上，购买过爱奇艺和腾讯视频等平台上的会员服务的朋友都知道，这种付费方式是可行的。付了钱，就可以免受广告之打扰；不付钱，就需要先看一会儿广告，作为对价。当然，我这里只是粗略地谈这一。具体的还有很多类型或者实现技术或者说方式可以讨论。

二

关于《电子商务法》第18条，第1款中的“应当同时向该消费者提供不针对其个人特征的选项”也是值得讨论的问题。很多朋友都知道，这一条最早主要是针对携程网的所谓“杀熟”现象产生的。但这一条置顶之后，会对购物电商平台、搜索引擎平台产生影响。以网络购物平台为例，如果我们在拼多多、淘宝、京东等网站，特别是前两者，搜索“手机”，首先出现的是一种综合排序，旁边有按照价格，或者销量，或者用户评价的排序。这里面至少有三个问题：

第一，我们不妨做一个小小的实验，我们可以看到每一个人的综合排序中，前三栏推荐的手机品牌商品，都不太一样。有的朋友能够从自己现在用的手机品牌或者近期在网络上的搜索记录，找到解释这样一种综合推荐的依据，也就是一种个性化的推荐。但也有朋友找不到合理的解释，很可能与平台在按照商家的广告投入来进行排序的安排有关。也就是说，这一种综合排序，混合考虑了，当事人的个人特征和其他商业因素。问题在于网络平台是否需要披露这种综合算法？是否需要区分个性化推荐和广告推荐？

第二，在综合排序之外，网购平台还提供了按照价格、销量和用户评价排序的选项。问题，在于，这些选项是否构成“不针对其个人特征的选项”？

第三，我在好几个场合针对好几个平台作了测试，结果表明：即便是在同一个教室内上同一门课程的学生，同步选择了按销量或者价格排序，也可能看到不同的推荐顺序。那么，这种排序方式中，是否有针对个人进行推荐的因素考虑？也是值得思考的问题。

【胡柯洋 人大2018级非法本法硕】

解决个性化推荐的规制问题，首先我们应明确的是个人数据的范围问题，也即落在数据保护法范围内的个人数据如何定义的问题，那么在此次讨论会中我们所一直关注的用户画像以及假名化数据问题，是否应落入保护范围还是说应在不同场景中去识别，面对风险以及数据流通有效性之间的紧张关系，也正如“Singling out people without knowing their names – Behavioural targeting, pseudonymous data, and the new Data Protection Regulation”一文中，作者对抽出个人数据定义的四要素进行分析，其中提到“relating to”和“identified or identifiable”的概念，结合“Behavioral Advertising: The Offer You Cannot Refuse”中对数据追踪的相关操作的了解，对于假名化数据，企业可以通过从他方平台获得相关数据，与自身所形成的用户画像，组合成精准或者说偏向于唯一的识别，基于此，数据泄露所带来的风险是相当明确的，也是个人所不可控的，因此我认为其应当落入数据保护法的范围。

其次就是我们讨论到在不同的领域，比如新闻领域及商业领域，是否应当实行不同的针对个性化推荐的规制措施，是否允许用户选择不追踪问题，这就涉及到在市场中用户是否被视作是自主选择的主体问题，很显然，在“Behavioral Advertising: The Offer You Cannot Refuse”中，文章一开始就以电话推销为例，提到了用户选择“不追踪”无效的问题，因为广告商可以采取其他其方法使其无效，所以考虑到用户的选择经常被企业认为无效，那么在不同领域实行不同规制并不显得是一个突出的问题，至少从理论的角度，我们应当是有一个统一的标准来对个性化推荐进行规制。

【孙浩 人大2018级非法本法硕】

关于个人信息收集追踪的问题，在阅读了关于个人信息追踪和收集的相关文献后，我产生的直观感受是——对个人信息的保护可以跳过对信息收集环节的规制。原因在于：1.个人信息的概念难以界定。欧盟关于个人信息的定义是指关于个人的已识别或可识别的能够锁定到具体个体的信息。这一定义本身毫无问题，但在当前数据共享高度发达的技术条件下，任何看似不属于“可识别”范围的信息都有可能与其他毫不相关的信息结合从而识别出个体。2.个人信息保护的大众关注点在于数据的滥用而非收集。每个人每天在现实生活中都会产生大量信息（通过行为话语等方式），在过去没有互联网的时代，这些信息会被周围的人捕获，据此可能产生对此人的画像。那时候人们不会对此感到恐慌。互联网出现后这种对个人的描述只是多了一种途径，为何人们会对此感到被侵犯或恐慌？我认为，这可能是因为数据传播速度分析能力让人们无法产生“预期可能性”，使人心理上产生“失控感”。这种恐慌归结到底是源于数据的利用和二次收集。在收集阶段，大多数人并没有很高的保密意识，甚至，如果数据滥用不被发现或不造成损害结果，很多人可能根本不在意信息被收集。3.信息追踪与收集技术发展迅速，法律因其固有滞后性可能无法追上技术发展的脚步。在阅读behavioral advertising……等两篇文献时，面对用户的拒绝，cookies的不断优化隐藏和追踪技能更加魔高一丈。如果消除浏览痕迹追踪难以执行和监管的话，不妨换个思路——允许收集，但不允许滥用。在数据处理的第二乃至以后阶段，对个人信息保护发力。不过会上熊丙万老师的一句话让我意识到这一观点的局限性，那就是即使跳过个人信息的原始收集，在信息的对第三方提供（二次收集）问题上，原本被回避的收集规制问题会重新浮出水面。这成为了我的一个困惑。

至于个性化推送，我比较赞同读书会上一位同学说的，应当区分新闻类的推送和商品营销推送，这是由两个领域的信息性质和使用目的决定的。在新闻领域，人们需要了解的是多元的全面的新闻信息，针对个体喜好进行推送可能会导致群体极化，自我封闭。而在商业领域，效率有时就是财富，越早准确把握用户喜好越容易赢得客户黏性。当前出现的关于个性化推送的纠纷实际上因为个性化推送智能化程度不能满足用户需求。如果在浏览完同类商品退出界面之前，给予用户一个选择——是否保存当前浏览记录以便进行个性化推送，或者给用户选择喜好标签据此发布推送的权利，是否会降低商品个性化推送领域的纠纷几率？

【张颖 人大2018级法本法硕】

本次读书会的主题是个性化广告采用的用户画像问题。首先是关于用户画像是否是个人信息的讨论，我认为用户画像应该纳入个人信息保护范围。原因之一在于虽然用户画像可能没有名字，但是它可以有一个特定的代码，这个代码可能就是用户在茫茫数据中的身份识别码，是否关联到用户现实中的名字并不重要，这个识别码不仅能够通过用户同意给它的信息以及用户的操作行为对用户进行精准画像，还能通过与其他平台信息共享来补充那些用户没有授权给它的信息，完善用户的画像。其次，虽然这个画像与现实中用户的名字没有关联，但是作为各种APP的使用者，用户是用户画像的产生者，用户的信息及操作行为构成了这个画像；同时，用户也是这个画像被用来推送定制化广告的最终受众，从这个角度来说，用户画像与现实中的用户是关联在一起的。第三个原因在于用户画像泄漏可能导致的危害。用户在很大程度上能够接受在一个平台上接受个性化推荐，比如在淘宝中的定制化广告能够很大程度上的提升用户体验，用户画像越精确，用户体验越好。但假如淘宝将某个用户的画像给了拼多多，拼多多根据这个画像在知乎或者其他平台推送定制化广告，将使用户产生个人信息失控的恐慌，即用户不能预测自己的画像被多大程度的泄露，是否会被用于非法目的或者产生严重损害。基于这种体验，我认为用户画像应该得到法律的保护。

我想讨论的第二个问题是作为消费者，我希望得到什么样的保护。此次读书会的两篇文献都提到的一个问题是广告商利用各种先进技术以及技术的迭代，不断升级自己收集用户信息的方法。在这种情况下，消费者其实是没有能力来对抗的，我们不知道我们的信息如何被收集使用，更不能够使用有效的设置或者方法来防止用户信息被收集。也就是说，用户在广告商面前根本没有进行选择的能力。尤其是现在的实践中，用户隐私协议隐蔽且难以理解。并且用户的选择只有一个，要么全盘接受平台的隐私政策，要么不使用这个平台。很多时候，用户的同意根本没有意义。站在纯粹的消费者立场，我认为有一个理想的“通知-选择”模式：平台将用户的个人信息保护程度进行分级。比如第一个选项是不收集任何信息，核心功能必要的信息除外。这个级别下，平台不能够从用户的使用中获得收益，用户可以采取收费模式。第二个选项是否接受个性化定制广告；第三个选项是是否同意将个人画像与其他平台共享等等。正如熊丙万老师所说，目前我们很难界定个人信息保护的客体是什么，到底个人信息保护的目的是怎样的。根据上面这个机制，即使这个问题的得不到解答，用户也能够决定自己想要保护的利益。比如我个人不愿意受到用户画像被其他平台获取的惊吓，所以我会不同意将淘宝的用户画像与其他平台共享，但是我很乐意接受淘宝本身给我推送个人定制化广告。这样一个简单明了的选择机制能够恢复用户的选择权和自主决定的能力。

【梁新意 中国政法大学宪行专业行政法方向2018级法学硕士】

今天我们讨论“个性化推荐”的规制问题，各类交易、服务平台从规模化、同一化向个性化、定制化发展已是趋势，这种技术手段或者称商业模式只有在侵犯到公民基本权利时才有规制的必要，所以如何界定公民权利被侵犯是第一个问题。第二，现在国际上对于算法规制的主要途径是透明化，但“算法黑箱”这一问题是程序员也无法完全解释的。如何化解这一冲突或者找到更好的规制途径是第二个问题。第三，平台如果以算法推荐仅为技术而非产品，或者是一种商业秘密为理由拒绝公开，那规制途径又该如何选择？第四，仅规制算法推荐技术可以吗？我们是否真的有必要从源头切断平台对数据的利用，因为这势必影响技术创新和经济发展。