今天的内容是GDPR正文第4条第(4)款。
01、 法条原文
Article 4 Definitions | 第四条定义 |
For the purposes of this Regulation: | 为本条例之目的: |
(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; | (4)“用户画像”是指为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估或预测该自然人的工作表现、经济状况、健康、个人偏好、兴趣、可信度、行为方式、位置或行踪而进行的处理; |
关联Recital
(24)欧盟境内未设立的控制者或处理者对欧盟境内数据主体的个人数据的处理,在涉及对欧盟境内数据主体的行为进行监控时,也应适用本条例。因为他们的行为发生在联盟内部。为了确定一项处理活动是否可以被视为监控数据主体的行为,应确定是否在互联网上跟踪自然人,包括随后可能使用的个人数据处理技术,包括对自然人进行剖析,特别是在以便做出有关她或他的决定,或分析或预测她或他的个人偏好、行为和态度。
(30)然人可能与其设备、应用程序、工具和协议提供的在线标识符相关联,例如互联网协议地址、cookie 标识符或其他标识符,例如射频识别标签。这可能会留下痕迹,特别是当与服务器接收的唯一标识符和其他信息相结合时,这些痕迹可用于创建自然人的个人资料并识别他们。
(72)用户画像受本条例管理个人数据处理的规则的约束,例如处理的法律依据或数据保护原则。根据本条例设立的欧洲数据保护委员会(“委员会”)应该能够在这种情况下发布指导。
02、评注大意
2.1 理论基础与政策支撑
在制定GDPR的立法审议过程中,对于用户画像,尤其是自动化决策过程和在线追踪,给予了相当多的关注。儿童被特别指出需要在用户画像实践中获得特别保护。因此,GDPR的许多条款中都提到了用户画像,这就需要对该术语给出一个具体的定义。
2.2 立法背景
2.2.1 欧盟立法
DPD并未将用户画像作为一个单独的概念进行定义,也没有特别讨论用户画像,一种情境除外:在某些类型的完全自动化决策过程中使用用户画像。
这些过程将对相关个人产生“法律上或重大效果”的,并基于“自动化处理数据以评估与个人相关的某些方面,如工作表现、信用度、可靠性、行为等”(DPD第15条第(1)款)。
DPD第12条第(a)款补充了第15条的限制,赋予个人在至少涉及第15条(1款)提到的自动化决策情况下,“了解任何涉及其数据的自动化处理逻辑”的权利。
DPD中的许多其他条款间接地对生成用户画像的过程设定了限制,因为这涉及个人数据的处理。
2.2.2 国际文件
Convention 108无论是原始版本还是现代化版本,均未包含专门处理用户画像的条款。OECD隐私指南和APEC隐私框架亦同。
然而,在2010年,欧洲理事会的部长委员会通过了一项关于在用户画像背景下对个人进行自动处理个人数据保护的建议。该建议将“用户画像”定义为“一种自动数据处理技术,包括对个人应用‘画像’,特别是为了对其做出决策或分析、预测其个人偏好、行为和态度”(附录第1条(e款))。这一定义成为GDPR第4条(4款)中“用户画像”定义的主要灵感来源之一。
2.2.3 各国立法
在GDPR通过之前,欧盟/欧洲经济区成员国的数据保护法律中包含了转化DPD第15条的条款,尽管转化方式不一。除此之外,这些法律很少直接讨论用户画像,更不用说定义这个术语或其变体了。
瑞士法律提供了一个罕见的例子,对一个密切相关的术语——“个性画像”(‘Persönlichkeitsprofil’)进行了法定定义,瑞士联邦数据保护法将其定义为“允许评估自然人个性重要方面的数据组合”。
2.2.4 判例
欧盟法院(CJEU)尚未对GDPR中的“用户画像”定义进行解释,也没有根据DPD第15条或《欧盟基本权利宪章》(CFR)第7至8条在其判例中解释用户画像的含义。在国家层面上,有少量案例法涉及解释转化DPD第15条的国家条款或处理与之密切相关的规则,但这些案例法并未将用户画像作为一个术语进行定义。
2.3 分析
一般而言,用户画像指两个过程:
(i)推断个人或一群人的一系列特征(即创建画像的过程);以及
(ii)根据这些特征对该个人、群体或其他个人/群体进行处理(即应用画像的过程)。
GDPR第4条第(4)款基于这一理解,但将用户画像的范围限定为GDPR目的下的自动化处理个人数据,这包括评估与自然人相关的某些个人方面。
“自动化”标准仅指处理的手段,并不排除人为输入——不同于GDPR第22条第(1)款涵盖的决策过程。至于评估标准,似乎包括了画像生成和画像应用的过程。然而,在控制者仅尝试对自然人进行画像而不进行评估的情况下,这会落在定义的范围之外。
该标准的具体化(“特别是分析或预测”)表明,评估并不一定涉及预测个人的(未来)行为。尽管如此,“评估”这个动词通常暗示着判断、计算或评估的行为。在这方面,WP29曾表示,仅基于已知特征(如年龄、性别和身高)对个人进行的简单分类,并不一定构成GDPR第4条第(4)款所指的画像,除非这种分类进一步发展为对个人做出预测或得出结论。
GDPR第4条第(4)款的定义借鉴了DPD第15条第(1)款的部分措辞,但通过提供更多可能包含的用户画像示例而有所不同。因此,它不仅限于工作表现、信用度、可靠性和行为,还包括健康、个人偏好、兴趣、可靠性、行为、位置或移动情况。另一个区别在于,该定义不包括“意图”标准(不同于DPD第15条第(1)款涵盖的“旨在评估某些个人方面的数据处理”)。这限制了仅作为自动化处理附带效果而产生的画像可能不在定义范围内的可能性——这一点可以说是阻碍了DPD第15条第(1)款的应用。
GDPR第4条第(4)款的定义在LED第3条第(4)款和EUDPR第3条第(5)款中得到复制。因此,这些法律文件中的“用户画像”术语应当被统一解释(参见EUDPR序言第5段)。
03、读后感
自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
《个人信息保护法》
GDPR和《个人信息保护法》在这个定义上还是比较一致,主要分成两步:(1)利用计算机分析、评估个人习惯、性格等;(2)运用结果作出判断。
因此GDPR相关的监管思路还是非常值得参考,对于影响自然人权益的自动化决策,如放贷、定罪量刑等,应该严格监管、限制。
