2019大数据产业峰会|中国信通院李雅文： 精准营销中的个人信息保护问题探究

与美国不同，欧洲对于精准营销的规定更加直接和简单粗暴。首先GDPR的第22条规定数据主体有权不接受单独的基于自动化处理得出决定的一些制约。这种自动化的处理包括对人产生影响或者近似重大影响的识别分析。基于这一条欧盟GDPR进一步规定个人数据主体享有对精准营销的访问权限，知情权限，同时还规定了对于数据的服务提供者，如果要进行精准营销时有一些透明度的义务，包括应当对该类活动进行告知。当然，在随后出台的针对自动化决策的指引当中，他们有澄清说这种披露并不是对算法本身的披露，只是逻辑的披露，总体来看我们认为欧盟还是对算法的透明度有较高的要求。

最后还规定了数据控制者，数据主体有权要求数据控制者对他进行自动化的决策，刚才说到22条的规则，也有一系列的最佳实践和保障知情权的做法。总的来看欧盟对于这个完全自动化的决策，包括近似重大影响的识别分析做出了比较严的监管，明确赋予了信息主体的各项权利，包括知情、选择、访问、抗辩申诉等等一系列的权利，也有比较强有力的罚责和可操作的范例，保证政策充分的落实。

有关我们国家对于精准营销的监管困境，我认为精准营销当前存在很大的监管困境。其实核心的原因还是在于个人信息权属这个问题没有解决的前提下，如何在设计精准营销监管政策的时候同时兼顾隐私保护，企业的合规成本和产业的技术创新这三个要素。因为这三个要素与精准营销的监管政策之间的关系是非常复杂的，只有合规成本与精准营销的监管政策，我们目前来看是存在一个线性的关系。理性的来说，如果规定更加严格的监管政策将产生更加高的合规成本。但是对于两个要素来说，其实存在非常复杂的相关关系，我们通过一系列的调研发现，对于用户来说如果采取过严的隐私政策，或者说过高的隐私成本，将会使用不直接的选择共享的数据，这也是隐私悖论。如果我们收紧隐私政策，对用户的信任和保护不会有很大程度上的提升。另外一方面我们看精准营销隐私监管政策对创新的影响，就是我们说的自行车头盔的例子，如果对自行车头盔硬度没有任何的要求，用户会因为头盔没有安全性不去购买这个头盔，如果对头盔的硬度有过高的要求，导致头盔的生产成本过高，也会导致用户不使用头盔。这反应到精准营销的问题来说，导致了目前我们看监管政策与技术创新呈现的是U型的相关关系。

综合上述这三个要素，我们认为对于精准营销的监管应该采取一种平衡的监管措施，我们认为如果存在监管不足的状态可能会导致用户数据滥用，用户隐私泄露，降低用户的信任度和实际受损的不利后果。但是如果监管过量，这会导致一系列的不利，包括提高合规的成本，降低智能性的体验，增加法律的风险，降低在线广告的效率，增加市场的不确定性，减少数据的访问和利用。

所以我们认为，对于精准营销的监管应当采取比较适度的状态，对于监管不足的准备我们认为还是要保有一定的监管必要性。针对因为数据滥用而产生的一些实质性和可量化的危害还是应当规定一些最低标准的保护，对于其他的要素，我们认为应当加强用户的参与和支配，用户对于隐私进行个性化保护的权利，并且进一步的提升透明度与参与度。

对于监管过量的部分，我认为其实在现阶段没有必要进行过度的监管，而应当由市场进行动态的调整，给予企业一些权衡的自由。具体来看首先在监管的层面，我们认为还是要对一些局限性的措施进行严格的规定，包括严格落实当前个人信息保护的规定，尤其是针对包括敏感信息等等这些特定信息，或者是像刚才说的儿童等等的特定主体。

其次要保证数据的流通和存储的安全，这个是精准营销运营模式下的基础。

第三我们认为对于明显不公平的决策，歧视性的算法应当还是要进行一定的追责。

用户的参与与支配这个环节，我们认为应当加强用户的权益。一个是知情权，通过更加详细和生动的知情同意的方式来告知用户，哪些信息会被收集用于精准营销，其次也要增加算法的透明度，向用户阐述数据是通过什么样的逻辑进行处理从而得出这样的结果。其次应当加强用户的决定权，是否将信息用于商业使用，最后是用户自身的退出权。在市场动态平衡的角度上，我们认为第三方机构还是应当起到很大的作用。在工业时代向大数据时代的演变中，金融的快速发展诞生了税务师的角色。信息通信发展的时代，将来有没有可能会产生的角色，是算法的审计师，站在比较公平的角度，既保护商业秘密又保护消费者，这需要对算法决策，以及产品隐私保护进行一些比较公平的评测。

同时我们还认为应当规定一些适度的法则，保留企业与用户自由合意的空间。欧盟的GDPR规定了比较严格的法律责任，高额的违反成本，这样的话让企业能够根据自己的风险采取相应的经营管理的策略，以上就是我的演讲，谢谢。

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!