文/梁灯,首发于公众号“创投法律顾问”
今天,2022年5月19日中国银保监会发布《银行保险机构消费者权益保护管理办法(征求意见稿)》,向社会公开征求意见。其中一条关于“痕迹数据”的规定让人瞩目。
该意见稿第十五条规定:
【互联网平台】银行保险机构应督促和规范与其合作的互联网平台企业有效保护消费者个人信息,未经消费者授权同意,不得在不同平台间传递消费者个人信息。不得利用痕迹数据对消费者开展未经授权的营销活动。
何为痕迹数据呢?从上述条文的语境看,该条是规范银行保险机构以及与其合作的互联网平台企业的个人信息处理行为,据此可以推断“痕迹数据”应该是消费者网络使用行为所产生的数据,具体可能包括记录用户登陆、浏览记录的cookie等。
痕迹数据属于个人信息吗?
对这一问题的认识在中国实务界经历了一个转变过程。早在2015年Z某起诉百度侵犯其隐私权一案,当时南京市中级人民法院终审判决Cookie记录的浏览记录并不能与个人身份对应识别,因此判定百度不构成侵权,驳回朱某的全部诉讼请求。
但是, 2020年修订的国家标准《信息安全技术 个人信息安全规范》(GB/T 35273—2020)就在其附录A中明确:判断是否属于个人信息的第二条路径是“关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息”。
这个转变也体现在《民法典》中。《民法典》关于个人信息的定义与《网络安全法》不同的一点是把识别的对象从“特定自然人身份”修正为“特定自然人”。这一修正定义的意义在于个人信息所识别的指向不一定是确切知道具体身份的自然人,只要指向是一个特定的人、一个特定目标(甚至只是一个用户终端)即可。我将之称为“从身份到符号”。
这个转变在2021年颁布施行的《个人信息保护法》中得以定型。所以,对于“痕迹数据属于个人信息吗?”这个问题,要分两个层面回答:一方面,孤立的痕迹数据不能识别或与特定个人关联的,不属于个人信息;另一方面,若处理者已识别出特定个人(甚至仅仅是特定用户终端),与该特定个人(或者用户终端)关联的痕迹数据,应属于个人信息。
为何不允许利用痕迹数据进行营销?
痕迹数据记录网络用户的个人偏好,是用户画像的良好素材,而用户画像是互联网服务商推送精准定向广告和个性化内容的数据基础,而这类精准个性化推送,是让当代人困于“信息茧房”的“罪魁祸首”,这种商业模式事实上是“剥夺”了个体对内容、对商品和服务的自主选择权。
所以《个人信息保护法》对以“自动化决策方式”进行的个性化推送作出了限制性规定,该法第二十四条第二款,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
由此可见,今天银保监会所发布的管理办法征求意见稿禁止未经消费者授权地使用痕迹数据进行营销,与《个人信息保护法》对“个人信息”的界定和“自动化决策”的规制是一以贯之的。
数字时代,没有人在乎你是谁,只在乎你喜欢谁。就在这样的时代,法律的使命依旧是维护岌岌可危的人作为个体的人的尊严。
声明
1、本文系“创投法律顾问”梁灯律师原创。本文仅为作者个人观点,不代表作者所任职机构的立场。
2、其他媒体、网站或刊物如需转载,须事前获得作者授权。
3、获得授权的转载须严格遵守以下规范:须在文章首部显著位置注明作者“梁灯”及出处“创投法律顾问”公众号两项信息,且不得改动本文原标题进行转载。
4、本文不能视为正式法律意见。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。