作者：兰台律师事务所 商事合规团队　　

　　浏览商品后，网页的广告都变成了最近浏览的商品；生了孩子后，开始收到母婴产品的打折信息；总是接到银行理财产品的营销电话，互联网时代，大数据进行精准营销为广告、推广提供了新的方向，由于其更好的营销效果和更高的转化率，也被越来越多的企业所青睐。但大数据精准营销所涉及的信息收集、数据分析、广告推送等步骤均蕴含着法律风险，不恰当地使用大数据精准营销可能给企业带来声誉损失乃至处罚风险。

　　一、基本模式

　　大数据精准营销，即在大数据技术的基础上，对某一类特定群体或对象的某项特征进行抽象的分类和概括，形成不同的标签，根据一个特定群体的多项特征构成，输出包含多个标签的用户画像，再根据人群画像中的识别标签与用户标签相匹配，找到符合条件的精准用户，为其推送适当的广告。比如一家酒店经过分析，会发现住客大多需要停车位、短住一晚或两晚居多、带孩子、房间迷你吧消费较少，酒店可以形成自己的用户群体画像：短途家庭旅游，因此通过购买家庭游论坛、公众号的广告位进行宣传。

　　大数据精准营销服务的实现分为三个关键步骤：

　　1）信息收集，网络经营者收集信息主体的年龄、通话、短信、APP访问、网址访问、位置等信息，形成海量数据信息库；

　　2）数据分析，通过对信息的汇聚和分析绘制用户画像，形成不同的识别标签；

　　3）用户画像应用，根据客户选定的标签关联具体信息主体，制定价格策略或将产品或服务信息推送给信息主体。

　　在这三个步骤中均可能产生合规性问题，进而导致合规风险，本文作者将在下文简要分析网络经营者提供大数据精准营销服务时，以上三个步骤可能涉及的法律风险及相应合规建议。

　　二、法律分析

　　（一）信息收集

　　网络经营者所提供的大数据精准营销服务中通常会获取用户的基础信息、消费、行为等信息，包括通话接触、关键词搜索、APP访问、短信、网址访问、位置等信息。

　　在《网络安全法》中对个人信息的定义是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。在《信息安全技术-个人信息安全规范》中，以列举的方式确定了个人基本资料、个人身份信息、网络身份标识信息、个人通信信息、联系人信息、个人上网信息、个人常用设备信息、个人位置信息等均属于个人信息。

　　《网络安全法》第41条提出了对个人信息收集的底线要求，即合法收集原则，最小必要原则和明示同意原则。《信息安全技术-个人信息安全规范》中也对前述原则进行了细化。

　　具体而言，合法性原则要求收集方充分告知信息主体相关数据收集使用的情况、不涉及非法获取、购买个人信息的情形，从第三方获取的个人信息，同样需满足上述要求。最小必要原则，要求收集的个人信息类型应与实现产品或服务的功能直接关联，即没有该信息的参与，则产品或服务的功能无法实现；自动采集个人信息的频率应是实现产品或服务的功能所必须的最低频率；间接获取个人信息的数量应是实现产品或服务的功能所必须的最少数量。明示同意原则，要求收集方的收集使用，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经信息主体的同意。根据《信息安全技术-个人信息安全规范》的要求，收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用规则，并获得个人信息主体的授权同意。

　　因此，在直接收集个人信息前，网络运营者应通过隐私政策明确收集使用的目的、规则、收集的信息类型、收集方式和频率、存放地域和期限、安全保护能力、对外共享转让公开披露的有关情况等，且隐私政策应当单独成文、易于访问、不会造成阅读困难。对于通过公开或半公开渠道收集信息的，应遵守“三重授权原则”，即“用户授权平台方+平台方/第三方授权+用户授权第三方”，而对于从第三方供应商处获取个人信息的，对供应商进行法律合规评估，要求第三方数据源就用户授权提供有效、充足的承诺与证明。

　　同时，对网络经营者已经收集的相关个人信息，应当以是否取得“完全、明示、有效”的授权为标准，进行区别和分类，对于已经符合相关法律法规要求进行收集的，可以正常开展大数据营销活动；对于存在收集瑕疵的个人信息，建议尽快完善收集的授权环节，完善之前，审慎对相关个人信息进行处理、使用和共享。

　　（二）数据分析

　　根据本文作者对用户画像业务的理解，在此步骤中，通过对已有信息的清洗、聚合、分析，形成不同业务模式下的人群画像（比如形成购车偏好人群包、视频偏好人群包等），在不同的人群包内，有着不同的识别标签用以识别特定人群。

　　用户画像作为信息使用的其中一个类别，《网络完全法》中的规定较为原则，仅通过41条明确了合法、正当、必要的原则，要求公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　但在2020年10月1日即将实施的《信息安全技术-个人信息安全规范》中，细致要求了用户画像的使用限制，包括但不限于用户画像的使用不得侵犯公民、法人和其他组织的权益或危害国家安全、荣誉和利益；在业务运营或对外合作过程中尽量避免使用直接用户画像，例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像。

　　《个人信息安全规范》将用户画像区分为直接用户画像与间接用户画像：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像；使用来源于特定自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型，称为间接用户画像。在此环节，由于尚不涉及信息的输出，在仅生成间接画像而非直接画像、且明确告知用户后，群体画像的形成本身不会有较大的合规风险。但对于用户画像的生成与标签的选择，仍应遵循合法、正当、必要的原则，且避免出现包含淫秽、色情、赌博、迷信、恐怖、暴力的内容，表达对民族、种族、宗教、残疾、疾病歧视的内容。

　　（三）用户画像应用

　　大数据精准营销可以帮助投放个性化广告投放和制定价格策略。对于个性化广告投放，网络经营者根据用户画像筛选出投放人群后，通过DSP、SSP、RTB等程序化广告平台，实施个性化广告精准投放。对于制定价格策略，网络经营者听过用户画像判断消费者的价格敏感程度、购买能力、消费习惯等，对用户购买行为进行预测，并制定销售策略和定价策略。

　　对于个性化广告投放，法律法规并无禁止性规定。但按照《电子商务法》《信息安全技术-个人信息安全规范》以及尚未生效的《数据安全管理办法（征求意见稿）》的要求，个性化展示的同时，应当显著标明个性化展示明显提示“定向推送”，并提供关闭“定推”、提供非个性化展示的选项。此外根据《互联网个人信息安全保护指南》，完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利。

　　对于销售和定价策略的制定，网络经营者可以通过对用户画像的分析，制定统一的营销策略，如在某个特定时期打折以提升购买率，但应避免根据用户画像对不同的消费者区别定价，即“大数据杀熟”。大数据杀熟使经济学中理论上一级价格歧视成为现实，商家可以根据每一个消费者的特性区别定价。此种低价方法导致消费者之间的不公平，存在着较大的合规风险。《中华人民共和国消费者权益保护法》第十条规定：消费者享有公平交易的权利，《反垄断法》17条第6款规定，具有市场支配地位的，没有正当理由，对条件相同的交易相对人在交易价格上实行差别待遇，系滥用市场支配地位的行为，《电子商务法》第18条第1款规定，电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。因此，通过用户画像差别定价，可能存在着反垄断、侵犯消费者知情权、公平交易权等诸多法律风险。

　　通过对信息收集、数据分析与处理等数据合规相关问询的梳理，可以发现监管机构对数据合规的审查呈现出更为全面、深入、频繁、严格的整体趋势。网络经营者开展大数据精准营销等业务，应着重布局数据合规治理工作以应对数据合规的挑战、规避相关法律风险。

　　（声明：本文系作者授权新浪网转载，文章仅代表作者观点，不代表新浪网立场。）

微信扫码，“码”上知道