大数据精准营销是大数据应用的典型场景之一,也是互联网推广行业升级转型的重要体现。然而,大数据精准营销在发展过程中,也面临着法律与合规的问题,其中最为突出的是数据获取与数据使用。本文旨在结合案例,对此做出简要分析。
一、大数据精准营销的含义与流程
所谓精准营销,是指在大数据分析的基础上,构建群体性的用户画像,并通过将用户画像中的识别标签与互联网用户的身份识别信息关联,精准找到用户,并将商品或服务信息推送给用户的过程。
从上述定义不难看出,精准营销通常会包含三个环节,其一是构建群体用户画像,或者根据用户画像简化出几个具有显著特征的用户识别标签;二是通过画像与特定的身份识别信息进行关联,从而精准找到用户;三是将信息推送给目标用户。
二、大数据精准营销各环节合规风险
第一个环节,构建群体用户画像的过程主要是涉及个人信息的收集规则。群体用户画像并不涉及具体个人的身份识别信息,只要按照相关法律、法规、规范严格执行,群体画像的形成过程本身不会有明显的法律争议。
第二个环节,则涉及到群体用户画像的输出或标签的输出,并且在这一环节是群体用户画像转化为个体用户画像的过程。用户画像从不具有个人身份特征,转化为具有个人识别功能。也就是说,在这一环节,用户信息具有了识别特定用户的功能,这是用户画像产生经济价值的基础。群体画像虽然具有根据特定人群进行产品开发和构建营销策略的功能,但问题是,仅仅依靠群体画像并不能直接找到用户。如果采用群体画像与传统广告结合的方式,其推广成本无疑是非常高昂的。因此,通过将群体画像与个人识别信息结合,从而将用户画像具体化,是用户画像在精准营销过程中的关键环节。这一环节中,如果只是完成群体用户画像与个人识别信息结合而不涉及信息转移,则一般不会产生额外的合规问题。但如果涉及到个人识别信息的转移,则需要根据网络安全法所确定的授权同意原则进行判断。
第三个环节是营销信息推送环节,就是将产品或服务信息推送给用户的过程。推送信息,必然需要使用用户的手机号码、微信号、手机硬件识别码(IMEI)、浏览器cookie信息等。对于手机号码、微信号等信息,一直以来被认为属于个人信息,并无争议。而对于手机硬件识别码(IMEI)、浏览器cookie信息等,则存在较大争议。特别是百度cookie一案,南京中级法院的判决,认定上网浏览记录仅与硬件关联,而不具有个人信息的特征,使得cookie信息在一段时间内不被视为个人信息。当然,这一问题当前已经得到解决。对此,本文在下一部分将专门说明。
三、重新审视百度cookie案
1、案情与法院判决
事实与诉由:原告朱某在家中和单位上网浏览相关网站过程中,发现利用百度搜索引擎搜索相关关键词后,会在百度广告联盟的特定网站上出现与关键词相关的广告。朱烨认为,百度公司未经其知情和选择,利用网络cookie技术记录和跟踪朱烨所搜索的关键词,将其兴趣爱好、个人需求等显露在相关网站上,并利用记录的关键词,对其浏览的网页进行广告投放,侵害了其隐私权,使其感到恐惧,精神高度紧张,影响了正常的工作和生活。2013年5月6日,朱某向南京市鼓楼区人民法院起诉百度公司,请求判令立即停止侵害,赔偿精神损害抚慰金10000元,承担公证费1000元。
南京市鼓楼区人民法院一审判决认为,个人隐私应包含个人的私人活动和私有领域。朱某利用特定词汇在百度进行网络搜索的行为,将在互联网空间留下私人活动的轨迹,而这一活动轨迹展示了其个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上标识个人基本情况和个人私有生活情况,属于个人隐私的范围。因而,一身判决百度公司构成侵犯个人隐私。二审则认为:收集网上浏览信息,该信息的匿名化特征,不符合个人信息的“可识别性”要求,而对于信息推送问题,二审法院认为,推送信息的终端是浏览器,而不是具体个人。
本案还有一个焦点,即百度公司在隐私政策中的告知是否充分。一审法院认为,虽然百度在网页中有《使用百度前必读》,但位置处于网页最下端,且字体名下较小,不足以起到明示告知和选择同意的效力。二审法院则认为,因为百度公司在《使用百度前必读》已经明示了使用cookie技术的方式、使用cookie技术的后果,且提供了禁用cookie的渠道,因此,视为百度已经明示告知,从而不构成侵权。
2、《网络安全法》视角的重新审视
由于该案件发生在《网络安全法》及2017《关于侵犯公民个人信息案件的解释》、《信息安全技术——个人信息安全规范》等法律、规范性文件颁布和生效之前,南京鼓楼区法院与南京中级法院的判决各有论据。
如果以新的规则审视该案件,以下两点是需要特别关注的:
其一、cookie信息是否属于个人信息?
最高人民法院2017年颁布的《关于侵犯公民个人信息案件的解释》 第一条,明确将“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”纳入个人信息范畴。按照广义的理解,行踪轨迹也可以包括网络浏览记录。而在《信息安全技术——个人信息安全规范》中,除了沿用这一概念外,还采取列举方式对个人信息进行了表述,其中,个人上网记录(网络日志储存的用户操作记录,包括网站浏览记录、软件使用记录、点击记录等),个人常用设备信息(包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等),均被纳入个人信息范围。按照这一原则,百度cookie案件所确定的个人信息判定原则已经被改变。
其二、cookie信息的获取方式和使用方式告知是否充分?
《网络安全法》等法律法规、规范对于信息收集和使用,均确立了明示同意原则。即网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。根据《信息安全技术——个人信息安全规范》的界定,收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用规则,并获得个人信息主体的授权同意。
明示同意,意味着网页的告知内容及禁用某项应用的内容应相对醒目和便于用户识读。对此,由于已经无法获得当时百度网页的告知内容,故无法做出明确的判断。但法官基于自由心证的判断,在保护网络用户与维持网络经营者经济利益面前,应采取衡平的准则,偏向弱势一方的利益保护。
网络精准营销是互联网时代的大数据应用典型案例,也是个人信息保护领域需要关注的问题。百度cookie案的审理,以及在新法规形势下的再审视,对于衡平个人隐私与企业商业利益不无裨益。