算法下的廣告推送與個人信息保護

蘇牧青 袁航

互聯網算法推送廣告日益普遍，其針對性一方面大大提高了商品營銷的效率，提高了消費者選擇商品的便利性，但另一方面在對消費者信息的收集和處理上卻存在著侵犯消費者個人信息的問題，個人信息權益的保護與商業化利用之間的矛盾是互聯網算法推送廣告發展中必須要解決的矛盾。本文試著從法律層面對這一矛盾進行分析并探究其解決路徑。

矛盾緣起：互聯網算法推送廣告與個人信息的交互

（一）互聯網算法推送廣告的運作機制

廣告作為市場營銷的重要手段之一，其與潛在客戶的匹配度越高，廣告的效用也就越大。對用戶信息進行收集和預測是互聯網算法推送廣告得以實現的核心，而這又依賴于用戶畫像和用戶行為定向技術的發展。互聯網公司對平臺發布的網頁、圖片、視頻等數據貼上相應的標簽，再通過用戶行為定性技術給使用某一設備的用戶在瀏覽上述內容時貼上相應的標簽，進而形成用戶畫像。具體來講，就是互聯網公司在用戶的設備中安裝“小型文本文件”（cookie），用戶瀏覽過的網頁、圖片、視頻等蹤跡會被記錄在cookie中，由于網頁、圖片、視頻等已被打上了標簽，互聯網公司再對cookie中儲存的用戶蹤跡信息進行收集，分析后給用戶打上對應的標簽，最后形成對用戶的數字模型，也就是用戶畫像。互聯網算法推送廣告利用算法將需要推送的廣告與用戶畫像進行匹配，進而將廣告推送至匹配的用戶設備上。

（二）互聯網算法推送廣告中個人信息的特征

《個人信息保護法》第四條規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。由此可見“識別性”和“關聯性”是個人信息區別于其他信息的重要特征，那么根據互聯網算法推送廣告的運作原理可以看出在互聯網算法推送廣告中個人信息具有以下特征：

1.直接用戶畫像所收集、處理的信息是個人信息

以是否直接使用某一特定人的信息為依據，可以把用戶畫像劃分為直接用戶畫像和間接用戶畫像，前者是指直接使用特定自然人的個人信息所形成的用戶特征信息，后者是指通過來源于個人信息以外的數據（多為設備數據）所形成的用戶特征模型。通過直接用戶畫像進行的廣告推送，是直接使用個人信息的行為。

2.間接用戶畫像所收集、處理的部分信息具備成為個人信息的可能性

由于間接用戶畫像并不收集特定個人的信息，所以基于間接用戶畫像的廣告推送不侵犯個人信息。但隨著數據挖掘和數據分析技術的應用，固定的標簽組合在某些場景中所確定的推送群體，很可能因為目標用戶數量過小而導致對某個特定人的識別，這時基于設備的信息具備個人信息屬性的可能性，為避免商業利益驅使下對個人信息的濫用和泄露，對該部分信息進行收集、使用和處理中也應遵守相關法律對個人信息保護的要求。

矛盾現狀：互聯網算法推送廣告中個人信息法律保護的問題

（一）法律法規缺位

隨著互聯網經濟的發展，個人信息在經濟社會中的地位越來越重要，我國對個人信息保護的法律制度日益完善，《民法典》第六章對隱私權和個人信息做出了明確規定，厘清了隱私權和個人信息的關系，《個人信息保護法》的出臺進一步明確了個人信息的保護范圍，為個人信息的保護提供了法律基礎。但我國目前對互聯網算法推送廣告中個人信息的保護缺乏專門的法律規定。我國《廣告法》第四十四條雖然加強了對互聯網廣告的規制，規定了應針對互聯網頁面以彈窗等形式發布的廣告提供退出機制，但其并未明確將各類網站、搜索引擎、社交媒體等日益多樣化的互聯網商業廣告發布主體納入廣告法的調整范圍。《電子商務法》第十八條為規范電子商務經營者進行互聯網算法推送廣告提供了法律依據，要求電子商務經營者向消費者推送搜索結果時提供關閉針對個人特征的選項，確立了定向搜索的退出機制。但《電子商務法》第十八條一方面并未明確“搜索結果”能否涵射所有的廣告類型；另一方面其僅是對客戶能明確感知到的接收端的規范，而對客戶無法明確感知的信息收集、處理、利用并未規定，《廣告法》第四十四條也存在這一問題。

綜上，我國現行法律法規關于互聯網領域的信息保護制度散見于各部法律規范中，雖可涉及互聯網算法推送廣告領域，但針對性不強，且未能對個人信息保護的全流程進行覆蓋。

（二）行業自律規則與個人信息保護的現實需要不匹配

2014年3月中國廣告協會互動網絡分會頒布并實施的《框架標準》，是我國第一部專門針對互聯網算法推送廣告用戶信息使用的行業標準，在《民法典》《個人信息保護法》等法律未對個人信息進行規定的情況下，為規范互聯網算法推送廣告行業的用戶信息保護發揮了重要的指引作用。由于當時我國并沒有關于個人信息法律層面的定義，《框架標準》更多從隱私保護的角度出發規范互聯網廣告行業的相關行為。但隨著國家對個人信息保護的日益重視，《民法典》《個人信息保護法》等法律的相繼出臺，對個人信息從范圍到使用規則作出較為完備的規定，而《框架標準》作為互聯網算法推送廣告領域的專門自律規范的歷史局限日益凸顯。

（三）行政執法監管機構不明

《個人信息保護法》第七章第六十六條規定了違法處理個人信息或者不履行個人信息保護義務的行政責任，規定了行政執法的主體和行政處罰的類型。根據該法第六十條的規定，履行個人信息保護職責的部門包括國家網信部門、國務院有關部門和縣級以上地方人民政府有關部門，其中除國家網信部門作為統籌協調機構可以直接依據該條被認定為履行個人信息保護職責的部門外，其他履職主體還需按照其他法律、行政法規或國家有關規定確定。具體到本文討論互聯網算法推送廣告，作為廣告的一種，《廣告法》雖然將互聯網廣告納入了市場監督管理部門監管的范圍，但其側重對廣告內容、投放主體和過程是否合法進行監管，而非對個人信息處理的監管。

矛盾化解：互聯網算法推送廣告中個人信息的保護路徑

（一）完善互聯網算法推送廣告中個人信息保護的法律法規體系

《廣告法》和《電子商務法》規定了互聯網領域廣告的退出機制，《個人信息保護法》的出臺一定程度上彌補了前兩部法律關于個人信息保護不全面的弊病。但作為行業領域的專門法，《廣告法》和《電子商務法》應與時俱進，及時跟進《個人信息保護法》的進程，拓寬對互聯網廣告個人信息處理的全鏈條規制。另一方面，互聯網算法推送廣告作為目前重要的廣告營銷模式，應在《廣告法》和《電子商務法》中對該模式進行規定，以明確互聯網算法推送廣告過程中個人信息處理的適用依據。

（二）優化互聯網算法推送廣告領域的行業自律機制

作為個人信息保護制度的有益補充，互聯網算法推送廣告行業的良性發展離不開行業自律機制的完善。一方面，中國廣告協會應依據《民法典》《個人信息保護法》等法律，對《框架標準》及時做出調整和更新，推動相關概念的統一性，避免語義上的不同造成適用上的困境。如《框架標準》對單位在數據處理時規定了“去身份化”的義務，而《個人信息保護法》則使用了“去標識化”“匿名化”的概念，含義更加細化。另一方面，建立個人信息合規體系以及相配套的認證制度，增強自律機制的約束力。《框架標準》執行與監督部分增加個人信息合規體系及認證制度的設置，推動互聯網廣告行業建立個人信息合規體系，并由第三方每年度對互聯網廣告行業相關公司進行評估，評估通過的獲得認證，并建立適當的獎懲制度。

（三）明確互聯網算法推送廣告中個人信息保護的監管機構

在《個人信息保護法》確立的由國家網信部門統籌協調個人信息保護工作，有關部門依職責范圍管理的總體分工框架下，需修改《廣告法》，一方面增加市場監督管理部門作為監管廣告領域個人信息的職責，為市場監督管理部門監管互聯網算法推送廣告中個人信息處理行為提供法律依據；另一方面明確與網信部門的權力邊界，減少重復性執法或執法不力產生的矛盾和沖突。