《個人信息保護法》生效,大數據殺熟和算法黑箱可休矣?
2021年11月1日,萬眾矚目的《個人信息保護法》(下稱“個保法”)正式生效。該法自2018年9月納入全國人大常委會的立法規劃之后,就進入到了立法的快車道。從2020年10月第一次公布征求意見稿,到2021年8月正式通過,整個過程還不到一年。再結合今年年初生效的《民法典》,專門在首次獨立成編的“人格權編”中納入了有關“個人信息保護”的六個條文。足見國家對于“個人信息保護”的重視程度。
如果說《民法典》對于個人信息保護的重點還是集中在“個人”,也就是解決單一的個人信息受到損害以后的救濟問題。那《個保法》則從個人信息權益保護、信息處理者的義務以及主管機關的職權范圍等多個方面,為個人信息權利保護與數據流動、數據利用,提供了全面的、體系化的法律依據。
從這個角度而言,信息處理者如何合法合規的處理個人信息,最大程度的避免風險,成了“后《個保法》時代”的當務之急。而各種類型的互聯網企業作為最頻繁接觸和利用個人信息數據的主體,合規義務顯得更為迫切。
對于大部分互聯網平臺及用戶而言,在《個保法》所有條文中,第二十四條的“自動化決策”條款,顯得尤其引人矚目。原因是現在最常見的“個人化推薦”商業廣告,以及引發公眾熱議的“大數據殺熟”等現象,都與之有關。到底該條規定有何特別之處,讓我們一探究竟。
1 什么是“自動化決策”?
根據《個保法》74條的規定:“自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。”
換言之,自動化決策是在沒有人工干預的情況下,計算機自動處理個人信息而產生的對個人有影響力的決策,也就是我們經常說的“算法”的一種。
其實在商業場景中,自動化決策最常見的情形就是“自動化推薦”,它幾乎存在于我們網絡生活的方方面面,比如:
在淘寶天貓等電商平臺,會通過用戶的搜索記錄、消費頻率、購買物品的功能和價格等等分析用戶的偏好、年齡特征以及生活習慣,從而在商品首頁為用戶推薦其可能想購買的物品;
網易云音樂等音樂平臺,會根據你的聽歌習慣自動在每日推薦以及私人FM為用戶推薦其可能喜歡的歌曲;
今日頭條等資訊APP分析用戶的瀏覽記錄分析用戶的閱讀習慣,從而為用戶提供個性化的新聞信息流、推薦用戶可能想看的資訊。
雖然說,自動化決策是一種被網絡平臺普遍應用的常見算法技術,但并不代表只要是技術就是中立的,因為網絡平臺在利用“自動化決策”這種技術時,也可能會帶來很多風險。
原因是部分計算機算法難以被法律和技術規制。而一旦算法有誤,或者夾雜了錯誤性、偏見性的內容時,其預測功能就失去價值。例如,自動化決策強調利益最大化,受此影響,在推送信息中所體現出的傾向性和歧視性特征,一方面使社會財富流動不平衡,另一方面,“算法(大數據)殺熟”現象愈演愈烈,商家的常客反而成為被針對的最佳目標,用戶在網絡交易中易受到不合理的差別待遇。此外,在自動化決策的作用下,“信息繭房”[1]和“回聲室”效應不斷強化,容易使用戶進入自己的舒適圈,形成某種價值取向的固化觀念。[2]
《個保法》第24條,正是為了規制“算法歧視”,打開“算法黑箱”,打破“信息繭房”應運而生的。
2 打開“黑箱”和打破“繭房”的方法
透明度原則和公平合理原則
根據《個保法》第24條第1款的規定,利用個人信息進行自動化決策,不僅要保證決策的透明度和結果的公平、公正,還要求不得對個人在交易價格等交易條件上實行不合理的差別待遇。該條規定提出的“透明度原則”和“公平合理原則”,正是針對“算法歧視”的應對之策,也明確否定了遭人詬病的“大數據殺熟”等現象。
信息處理者的兩項義務
此外,該條第2款還明確,如果利用自動化決策方式進行信息推送、商業營銷,還應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式,比如提供關閉個性化推薦的選項。這也是《個保法》為了保障個人的知情同意權,賦予信息處理者的兩個義務。也就是說,如果用戶不愿意接受平臺針對其興趣愛好、消費習慣等特征的定向推送,平臺要么給他“去個人特征化”的服務選項,要么給他關閉的選項,否則就可能違法。
個人的請求說明權和拒絕權
最后,該條第3款還規定了,對于信息處理者通過自動化決策方式作出的對個人權益有重大影響的決定,個人有權要求說明,也有權拒絕。需要說明的是,個人拒絕權的內容是非人為的全自動化算法的決定,而不是拒絕算法,所以是一種不完全的拒絕權。
從前述規定可以想見,因為24條明確賦予了個人在面對違法自動化推薦時,進行維權的請求權基礎,未來此類糾紛有可能會不斷涌現。而在《個保法》正式生效之前,其實就已經有類似的案例得到了法院的支持。
3 大數據殺熟,攜程被判退一賠三
2021年7月,浙江省紹興市柯橋區人民法院開庭審理的某用戶起訴攜程公司侵權糾紛一案正是此例。
在該案中,原告胡女士一直都通過攜程APP來預訂機票、酒店,因此,是平臺上享受8.5折優惠價的鉆石貴賓客戶。胡女士于2020年7月18日在攜程App預定了舟山希爾頓酒店一間豪華湖景大床房,支付價格2889元,次日卻發現酒店該房型的實際掛牌價加上稅金、服務費僅為1377.63元。隨后,胡女士以攜程公司采集其個人非必要信息,進行“大數據殺熟”等為由起訴到法院,要求“退一賠三”并要求攜程APP為其增加不同意“服務協議”和“隱私政策”時仍可繼續使用的選項,以避免被告采集其個人信息,掌握原告數據。
法院經審理后支持了原告的訴請,并且對具體原因進行了詳細論述:
要求攜程支付訂房差價的三倍賠償金
攜程APP作為中介平臺對標的實際價值有如實報告義務,其未如實報告。攜程向原告承諾鉆石貴賓享有優惠價,卻無價格監管措施,向原告展現了一個溢價100%的失實價格,未踐行承諾。
而且,攜程在處理原告投訴時告知原告無法退全部差價的理由,經調查也與事實不符,存在欺騙。故根據《消費者權益保護法》認定被告存在虛假宣傳、價格欺詐和欺騙行為,支持原告退一賠三。
要求攜程在其APP中,為原告增加不同意其現有《服務協議》和《隱私政策》仍可繼續使用的選項,或者為原告修訂《服務協議》和《隱私政策》,去除對用戶非必要信息采集和使用的相關內容
新下載攜程APP后,用戶必須點擊同意攜程“服務協議”“隱私政策”方能使用,如不同意,將直接退出攜程APP,是以拒絕提供服務形成對用戶的強制。而且,攜程APP的“服務協議”“隱私政策”均要求用戶特別授權攜程及其關聯公司、業務合作伙伴共享用戶的注冊信息、交易、支付數據,并允許攜程及其關聯公司、業務合作伙伴對用戶信息進行數據分析,且對分析結果進一步商業利用。
攜程APP的“隱私政策”還要求用戶授權攜程自動收集用戶的個人信息,包括日志信息、設備信息、軟件信息、位置信息,要求用戶許可其使用用戶信息進行營銷活動、形成個性化推薦,同時要求用戶同意攜程將用戶的訂單數據進行分析,從而形成用戶畫像,以便攜程能夠了解用戶偏好。
上述信息超越了形成訂單必需的要素信息,屬于非必要信息的采集和使用,其中用戶信息分享給被告可隨意界定的關聯公司、業務合作伙伴進行進一步商業利用更是既無必要性,又無限加重用戶個人信息使用風險。
原告因之不同意被告現有“服務協議”和“隱私政策”合乎情理,應予支持。
后《個保法》時代,平臺面臨著什么?
《個保法》24條,顯然對于互聯網平臺普遍采用的“算法推薦”這一商業模式,提出了更高的合規性要求。再加上“技術中立”等平臺慣用的抗辯思路,未來可能會面臨司法機關更為審慎的考查[3],為了防范風險,平臺必然需要在應用具體技術前施加更多的注意義務。
關于“自動化推薦”的規定只是《個保法》的一個縮影,背后體現的可能正是我國對于數據安全和個人信息保護的強監管現狀。但是換個角度來說,個保法的立法目的在于協調個人信息保護和個人數據利用的平衡。所以通過更為細致規定劃定邊界,其目的正是為了保證信息和數據的有序流通。
從長遠來說,希望這是一個更為安全和有序的大數據時代的序幕。