美國弗州管控“用戶畫像”與“定向廣告”

梁曉軒

越來越多的企業將用戶數據視為企業的財富，但這本就是一把雙刃劍

2021年3月2日，美國弗吉尼亞州州長諾瑟姆簽署了該州《消費者數據保護法案》（CDPA），上述法案對歐盟《通用數據保護法規》（GDPR）和美國《加利福尼亞州消費者隱私法》（CCPA）進行了吸收并予以修訂。這是美國東海岸地區第一部個人隱私保護法，其特點在于對“用戶畫像”“定向廣告”做了進一步細分，將于2023年1月1日生效。

“用戶畫像”無處不在

每當我們結識一個陌生人，我們心里便會對其產生第一印象：諸如衣著打扮、舉止態度、性格秉性等，后續回憶起此人時，腦海中便會不由自主地浮現他（她）的“畫像”。這些“畫像”就像是別人在我們腦海中儲存著的標簽一樣，能夠幫助我們有效識別目標人物。

在經濟社會中，對于“用戶畫像”的使用越來越普遍。諾貝爾經濟學獎得主、耶魯大學教授羅伯特·希勒曾對一家流媒體播放平臺Netflix（網飛）做過一個實驗，他發現：如果“網飛”僅依據種族、收入、郵編這些傳統因素定價，可以把利潤提高0.3%;但如果“網飛”收集人們線上平臺使用的數據，進行一定數量的“用戶畫像”分析并以此形成精準投放，則可以把利潤提升至14.6%。這是一個天然的篩選機制，在此基礎上，能夠確保目標用戶有更大概率被大數據精準匹配到。

“用戶畫像”面前，個人隱私無所遁形?

為了給父母查詢藥物信息，用戶卡爾在互聯網上搜索了胰島素、阿司匹林等藥物。不久，卡爾發現，其電腦的搜索引擎及瀏覽器此后便會置頂一些關于慢性病的推薦信息。“這讓人感到很不適。我懷疑我的cookie被追蹤了，我被打上了生病的標簽，這是不公平且不正確的。”上述以及身邊的無數案例證明——用戶個人的設備或者網絡賬戶正在遭受越來越多的追蹤。這當中，搜索引擎尤為令人關注，其無所顧忌地給用戶打標簽進而個推廣告的行為也最終招致監管處罰。

譬如，谷歌卷入的“隱私和透明度標準案”。2019年，谷歌因違背歐盟《通用數據保護法規》的規定，未能在用戶信息保護上達到“隱私和透明度標準”被行政處罰5000萬歐元。2020年6月19日，法國最高行政法院駁回谷歌此前因未向其用戶說明如何處理個人信息而必須支付5000萬歐元罰款的申訴，確認了數據監管機構（CNIL）先前的調查結果，即谷歌并未向安卓用戶提供“足夠清晰”的信息提醒。這就意味著，谷歌沒有獲得將用戶數據用于“定向廣告”的合法性同意，其侵權行為具有懲罰的必要性。

“畫像分析+精準匹配=大數據殺熟”是否成立

互聯網公司進行“用戶畫像”的行為顯然不止個推服務那么簡單，當某個數據變得足夠大，就可發揮更大的“經濟效益”。

2020年初，全球第三大個人保險公司——好事達（Allstate），為了更新汽車保險費率，應監管需要，向馬里蘭州監管機構提交并公開了一份珍貴的文件。這份文件主要描述了好事達涉及汽車保險的復雜算法，據稱這一算法包含幾十個參數，將直接決定所有參保人未來需要繳納的金額數量。

為了保護商業秘密，保險公司一般不會主動披露自己的保費計算算法——這份資料也顯得彌足珍貴。美國的調查媒體當然不會錯過這個機會，2021年2月25日，總部設在紐約的著名非營利性調查媒體The Markup迅速發表了一篇報道，公布了針對這份公開文件的詳細調查結果。

調查的結果十分有趣，The Markup對好事達提供的文件進行分析發現，盡管好事達聲稱其保險算法十分復雜，實際上并非如此，其本質就是“用戶畫像”——好事達建立了一個馬里蘭州保險消費者的“冤大頭”列表，這些“冤大頭”參保者都是大戶，好事達的新算法會從他們身上榨取比其他人更多的利潤。舉例來說，那些在好事達投保了最高檔保費（大概每半年1900美元）的人，按照好事達的最新算法，保費到期上漲之后，他們將承擔高達20%的漲幅，而那些投保價格比較低的人，只會面臨5%的漲價。

最終，“殺熟”這件每位消費者都在懷疑的事情，在美國保險行業被這份文件坐實了。

隱私立法迫在眉睫

越來越多證據表明，美國正在加速對“用戶畫像”及有關隱私保護的落地進程。2021年2月18日，《消費者數據保護法》在美國弗吉尼亞州議會參議院和眾議院通過，3月初即被州長簽字通過并將于2023年1月1日起施行。這一天也恰好是美國《加州隱私權利法案》（CPRA）的執行日期（2023年1月1日）。此外，美國華盛頓州正在審議《華盛頓州隱私法案》。這意味著美國各州隱私立法將迎來一波小高潮。這些新法不斷細化，一些典型違規行為將被納入管制。

筆者認為，美國弗吉尼亞州《消費者數據保護法》存在兩大亮點：

其一，細化了“定向廣告”的概念，將其定義為“基于從特定消費者一段時間內在非關聯網站或在線應用的活動中所獲得的個人數據，來預測該消費者的偏好或興趣，并以此選擇廣告的展示”。鑒于概念具有較高的動態屬性，立法以舉例的形式做了反向界定以盡可能拓展定義空間。即“定向廣告”不包括：1. 基于消費者在控制者自身網站或在線應用程序內活動的廣告;2. 基于消費者當前搜索查詢、訪問網站或在線應用的上下文的廣告;3. 針對消費者要求提供信息或反饋而向其發送的廣告;4. 僅為衡量或報告廣告業績、覆蓋范圍或頻率而處理的個人數據。

其二，新法不斷完善“用戶畫像”的合規指引。新法中提及“用戶畫像”共有3次。分別對應“定義”“用戶權益保護之進行用戶畫像的前置條件”（以下簡稱“前置條件”）、“數據保護評估之用戶畫像的禁止性事項”（以下簡稱“禁止性事項”）。具體包括：

1.“用戶畫像”指的是為了評估自然人的某些條件而對個人數據進行的任何自動化處理，特別是為了評估自然人的經濟狀況、健康、個人偏好、興趣、可靠性、行為方式、位置或行蹤而進行的處理。

2.“前置條件”包括：賦予用戶權利，使其可以選擇是否接受平臺推送廣告、出售個人數據的選項，以及其他具有重大影響的畫像行為。

3.“禁止性事項”包括：不得導致不公平或欺詐對待（如價格欺詐），或造成違法影響;不得對消費者的財務或名譽產生損害;不得對消費者身體或其他產生損害，禁止冒犯行為（如干擾消費者不被打擾的權利）;不得對消費者造成其他實質性傷害（即兜底條款）。

新法進步甚多

據了解，此前出臺的《加州隱私權利法案》，并沒有“定向廣告”這個直接對應的概念，而是定義了“跨場景行為廣告”：即基于從消費者在跨企業、跨獨立品牌網站、應用程序或服務的活動中獲得的個人信息，而非基于消費者有意與之互動的企業、獨立品牌網站、應用程序或服務的活動，向消費者定向展示廣告。

也就是說，弗吉尼亞州《消費者數據保護法案》直接以“定向廣告”界定相關概念，《加州隱私權利法案》則借“跨場景行為廣告”兼容了實踐中“定向廣告”行為的合規要求。從定義來看，表達及外延略有不同，但內核相通，即基于消費者的個人信息，預測該消費者的偏好和興趣，選擇特定廣告向該名消費者推送。此外，《消費者數據保護法案》與《加州隱私權利法案》均將“定向廣告”限定在跨站追蹤、跨場景追蹤的情形，即必須是根據跨站、跨場景追蹤消費者獲得個人信息，然后根據這些個人信息對消費者做廣告推送，才算得上美國州法層面定義的“定向廣告”。

綜上，新法較以往立法進步甚多。

編輯：黃靈? yeshzhwu@foxmail.com