征信宝官网吴卫明:锦天城律师事务所 高级合伙人
对于用户画像,官方一些的概念可以借鉴《信息安全技术-个人信息安全规范》(GB/T 35273-2017)3.7的表述:用户画像是通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
通过上述定义,我们可以得出用户画像的如下特征:
1、数据化
用户画像的过程本质是一个统计分析过程,因此,数据化是用户画像的基础与核心。所有的信息,被转化为数据,然后才能被模型分析,并得出准确的结论。当然,非数据化、非定量化的分析,并非不可以,但其精准度难以保障,并且,缺乏数量约束的模型和画像并不具有可操作性。
2、动态化
由于相关分析因子之间存在相互作用的机制,而用户画像本身基于一系列复杂的因子而构建,社会经济生活的复杂性,导致各个因子本身的影响力也在动态中变化。因此,用户画像并不是一成不变的,而是需要根据各个数据的变动做出及时调整。
3、程序化
不同于传统的统计模型构建,用户画像更多的被用于市场调研和产品开发、精准营销,因此,不仅需要高效地构建分析模型,更需要能够快速进行分析。为了满足高效的需求,用户画像的构建及分析通常是通过计算机程序加以实施。
一般来讲,用户画像被分成两大类,一是群体用户画像(profile),二是个体用户画像(persona)。
群体用户画像是指对一定人群的数据进行挖掘和分析,形成数据模型的过程。这里所说的群体并不是某个固定人群,而是根据一定统计学特征归纳的人群,如成年男性、成年女性、年轻白领、产业工人、中小餐饮企业主、在校大学生等等。根据分析视角的不同,群体用户画像的人群还可以做出各种分类。
个体用户画像主要是对特定个体的数据和信息进行分析,从而为特定个体的特征构建一定的标签,以此对个人的偏好、行为倾向等进行预测。当然,群体用户画像并不是简单的对人群进行分类,而是需要分析其统计学意义。有些人群分类方式因为归类的因素并不典型,从而导致用户画像无法产生分析效果。比如上海的20岁人群和北京的20岁人群,就因为对人群进行归纳的特征不具有典型性,而不适于构建用户画像。
2、用户画像的应用场景
在金融或商业的应用中,用户画像应用主要有两个场景。
一是应用于产品开发和行业分析。这一场景中,主要应用的是群体用户画像。通常的流程是,首先采集与目标群体相关的数据信息,并对数据信息进行分类,并从中抽象出相应的特征和因子,构建分析模型,并将其转化为计算机程序和算法,最终构建出一定的群体用户特征。群体画像使用的是某个群体的数据,从而构建出群体特征。基于群体特征和喜好,就可以针对性的开发产品和服务,并进行相应的市场推广活动。
比如,某金融机构需要针对白领人群开发一款理财产品,此时就需要知道这一人群的行为特征,以及这一人群的风险偏好状况。在此基础上,可以规划该理财产品的拟投资方向、预期收益等产品设计方案。因为群体用户画像的群体性特征,决定了该类用户画像具有明确的群体指向,因而可以用于产品开发。同时,也可以成为营销活动的依据。
二是精准营销活动。精准营销使用的主要是个体用户画像。与传统的广告或营销活动不同,传统广告采用广播、电视、报纸、网页广告等方式,传播对象是不特定用户,而精准营销广告则是针对特定的用户。传统营销目的是通过广告找到符合用户画像的人,但由于广告不具有精确指向性,广告效率低下。而精准营销则可以通过对个体用户画像的构建和分析,使得广告的发布方精确地找到用户。
1、用户信息收集过程中的法律问题
用户信息收集过程是金融用户画像的第一步,无论是群体画像还是个体画像,都离不开个人用户信息收集。甚至说,群体用户信息收集就是由无数个个体信息收集过程构成的。虽然群体画像与个体画像的过程有部分重合,但不意味着个体画像的信息收集与群体画像就完全一致。事实上,两者应该是部分重合的关系,在某些情况下,个体用户画像所需要的信息维度要比群体画像需要的信息更加丰富;但在某些情况下,根据已经有的群体用户画像,对于个体进行画像,仅需补充部分资料即可。对于用户信息收集过程,我国的法律、法规、规范主要是从以下几方面加以规制的:
(1)合法收集
合法收集是用户信息获取的基本原则之一,《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循…合法…的原则。”这是法律对于个人信息收集合法性原则的基本规定。当然,从法律应得到社会主体遵守的角度看,在《网络安全法》颁布之前,合法性也是信息收集的基础,只是当时关于信息收集规则散见于其他的法律、法规及监管规则中。合法原则基本内涵是:网络运营者收集个人信息应遵循法律规定的程序,并且不违反法律、法规、规章及规范性文件的规则。合法性原则包括一般规则和特别规则,一般规则是指《网络安全法》及民法总则、个人信息保护的相关规范中规定的一般性原则;特别规则是其他相关法律中涉及的个人信息收集特殊规则。比如统计法、国家安全法、医疗相关法规、测绘法等,也在各自的特殊领域中规定了相应的信息收集规则及禁止规则。
《网络安全法》对于个人信息收集的合法原则规定较为笼统,国家标准化委员会发布并于2018年5月1日起实施的《信息安全技术-个人信息安全规范》对于合法性的规则主要包括以下几点:
其一、不得欺诈、诱骗、强迫个人信息主体提供其个人信息;
其二、不得隐瞒产品或服务所具有的收集个人信息的功能;
其三、不得从非法渠道获取个人信息;
其四、不得收集法律法规命令禁止收集的个人信息。
虽然上述规则较为清晰,但在适用过程中,仍存在容易混淆的地方。
首先,对于何为强迫,一般理解为以强制手段迫使用户提供个人信息,强迫手段可能包括言语威胁、肢体限制。但事实上,网络运营者往往是通过远程手段获取个人信息,言语威胁和肢体限制几乎不可能发生。规则中的“强迫”往往是通过剥夺用户选择权的方式来实现的,如果某网络运营者拥有特定服务领域的市场支配地位,并以用户提供某类信息作为注册或提供服务的前提,即“要么接受条款要么放弃服务”,则因为其市场支配地位的存在,该种信息收集方案可能被认定为违反了“非强迫原则”。对于是否利用市场优势地位强迫收集个人信息,主要的判断方式在于,该信息的收集是否是提供服务所必须的。当然,这一问题涉及到反垄断法与网络安全法的竞合问题,用户可以选择两部法律的规定主张权利。
其次,关于隐瞒产品或服务信息收集功能的问题。通常,网络运营者均会如实说明信息收集功能,但在部分服务中,却可能发生信息收集功能说明不充分甚至刻意隐瞒的情况。比如,在用户安装某个手机应用程序时,服务提供者通常会告知收集功能,但在当次服务完成后,事实上很多应用仍在持续收集用户信息,此时可能会存在部分服务提供者为了获得持续信息而隐瞒信息收集功能的情况。
(2)信息收集范围的必要性
在信息收集范围问题上,法律确定了必要性原则,也被称为信息收集的最小化原则。《网络安全法》第四十一条规定:“ 网络运营者收集、使用个人信息,应当遵循…必要的原…。网络运营者不得收集与其提供的服务无关的个人信息。
什么是与所提供服务无关的个人信息,这一问题,在实践操作中确实存在一些理解上容易混淆的地方,甚至可能为了获取个人信息而恶意扩大解释“收集信息与服务的关联性。对此,可以借鉴法律上的“近因”理论,即服务提供者所获取的信息应直接与所提供服务相关联。
在《信息安全技术-个人信息安全规范》中,对此提出了具体的要求:其一、收集的个人信息类型应与实现产品或服务的功能直接关联,即没有该信息的参与,则产品或服务的功能无法实现;其二、自动采集个人信息的频率应是实现产品或服务的功能所必须的最低频率;其三、间接获取个人信息的数量应是实现产品或服务的功能所必须的最少数量。
对于金融机构而言,能够直接判断一个人信用状况的信息或者有利于直接防范信用违约损失的信息是必要的信息,除此之外,收集更多的用户信息将面临超范围的问题。信用信息包括:姓名、身份证号码、家庭地址、婚姻状况、性别、收入、工作单位、工作岗位、学历、职业履历、收入状况、不动产情况、金融资产状况、投资偏好、诉讼状况、负债情况、违法记录、车辆状况等。而与判定信用状况无关的信息包括:身高、疾病、病史记录、宗教信仰、指纹、虹膜、面部识别特征、声音特征、血型、基因、亲友姓名及电话等信息,这些信息与判定个人信用无直接联系,因而不应被纳入信息收集的范围。
(3)信息收集的明示同意原则
明示同意,是指网络运营者收集、使用个人信息,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。根据《信息安全技术-个人信息安全规范》的界定,收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用规则,并获得个人信息主体的授权同意。
2、用户信息使用过程中的法律问题
对于个人信息使用,《网络安全法》的规定较为原则,该法第42条规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”该法第43条还规定了信息的删除和更正,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
在《信息安全技术-个人信息安全规范》中,对于个人信息的使用则规定的较为细致。总体而言,个人信息使用主要涉及如下问题:
(1)个人信息的访问控制措施,及网络运营者应设置内部严格的权限管理,限制内部工作人员对于个人信息的访问范围。
(2)个人信息展示限制,即通过界面展示个人信息的,个人信息掌握者应采取去标识化处理措施,降低个人信息在展示环节的泄漏风险。
(3)个人信息的使用限制,包括在评估个人信用状况时,可以使用直接用户画像,而用于推送商业广告时,则宜使用间接用户画像。超越告知范围的使用,应再次征得个人信息主体的明示同意。
(4)个人信息访问,个人信息控制者应向个人信息主体提供访问个人信息的方法。
(5)个人信息的更正与删除,个人信息主体有权更正个人信息,并且有权要求删除自身的个人信息。
(6)个人信息主体撤回同意与个人信息主体注销账户。
3、用户信息的对外提供与交换
个人信息的对外提供与交换,是个人信息发挥价值的重要方式,但也是个人信息泄漏的重要渠道,因此,法律也对此进行了严格的规制。《网络安全法》第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。同时,该法还规定,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
在《信息安全技术-个人信息安全规范》中,对于个人信息的共享和转让也做了明确的规定。按照该规范,个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应按照相应规则处理。共享、转让个人信息的基本前提是获得个人信息主体的授权同意,在授权同意环节,需要向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型。当然,该规则也设置了例外原则,即共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外。
事实上,构建群体用户画像的过程我们前面已经论述,主要是涉及个人信息的收集规则。只要按照相关法律、法规、规范严格执行,群体画像的形成过程本身不会有明显的法律争议。
第二个环节,虽然涉及到群体用户画像的输出或标签的输出,并且在这一环节是群体用户画像转化为个体用户画像的过程。用户画像从不具有个人身份特征,转化为具有个人识别功能。也就是说,在这一环节,用户信息具有了识别特定用户的功能,这是用户画像产生经济价值的基础。群体画像虽然具有根据特定人群进行产品开发和构建营销策略的功能,但问题是,仅仅依靠群体画像并不能直接找到用户。如果采用群体画像与传统广告结合的方式,其推广成本无疑是非常高昂的。因此,通过将群体画像与个人识别信息结合,从而将用户画像具体化,是用户画像在精准营销过程中的关键环节。这一环节中,如果只是完成群体用户画像与个人识别信息结合而不涉及信息转移,则一般不会产生额外的合规问题。但如果涉及到个人识别信息的转移,则需要根据授权同意原则进行判断。
第三个环节是推送环节,就是将产品或服务信息推送给用户的过程。推送信息,必然需要使用用户的手机号码、微信号、手机硬件识别码(IMEI)、浏览器cookie信息等。对于手机号码、微信号等信息,一直以来被认为属于个人信息,并无争议。而对于手机硬件识别码(IMEI)、浏览器cookie信息等,则存在较大争议。特别是百度cookie一案,南京中级法院的判决,认定上网浏览记录仅与硬件关联,而不具有个人信息的特征,使得cookie信息在一段时间内不被视为个人信息。当然,这一问题当前已经得到解决。最高人民法院2017年颁布的《关于侵犯公民个人信息案件的解释》第一条,明确将“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”纳入个人信息范畴。按照广义的理解,行踪轨迹也可以包括网络浏览记录。而在《信息安全技术-个人信息安全规范》中,除了沿用这一概念外,还采取列举方式对个人信息进行了表述,其中,个人上网记录(网络日志储存的用户操作记录,包括网站浏览记录、软件使用记录、点击记录等),个人常用设备信息(包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等),均被纳入个人信息范围。按照这一原则,百度cookie案件所确定的原则已经被否定。
也就是说,精准营销的推送过程,将成为个人信息应用规则规制的重要领域,从而也需要从个人信息的授权等角度进行审视。当然,其中涉及较为复杂和细致的法律规则,本文受制于篇幅,不再展开论述。
此外,近期媒体关注的“大数据杀熟”,也可以视为用户画像影响产品定价的案例。
我们知道,定价是企业重要的销售策略,微观经济学中的“价格歧视”其本质也是研究商品的差异化定价问题。然而,在大数据应用下的差异化定价是否只是一个商业的判断问题?抑或是需要法律进行规制?这一问题不仅影响到用户画像的合理使用,也影响到消费者权益。
1、价格歧视的含义
价格歧视(price discrimination)是经济学的一个概念,歧视二字,本身并没有道德褒贬的判断。一般指商品或服务的提供者在向不同的消费者提供相同商品或服务时,采用不同销售价格。价格歧视在日常生活中比比皆是,比如针对不同购买量的用户,往往采购量越大,单价越低。或者针对不同区域的消费者,采用不同的价格策略。最为典型的是看人出价,即根据不同购买能力,报出消费者能够接受的最高价格,如果在这一价格成交,商家将获得最大化的利润。
据此,价格歧视往往被分为三级:
一级价格歧视即看人报价,报出对方能够接受的最高价,攫取最大利润;
二级价格歧视,即根据批量大小定价,从而获得最好的周转率,批量大的消费者活着实惠;
三级价格歧视,是根据销售区域的不同进行差异化定价。
对于后面两种价格歧视,因其具有合理性,且采购批量、采购地域会影响成交条件,商家的差异化定价不会导致消费者之间的不公平,法律并无干预的必要性。但对于一级价格歧视,则因其导致消费者之间的不公平,而存在较大争议。
2、大数据杀熟的法律规制
用户画像的应用,如果产生价格歧视,是否需要规制?在理论与实务界存在争议。一种观点认为,大数据杀熟是企业滥用市场优势地位,法律应予以规制;另一种观点认为,大数据杀熟本质是企业的定价权利,且杀熟的企业并不构成反垄断法所说的市场优势地位,因此法律不应规制。
笔者认为,大数据杀熟使得一级价格歧视成为现实。在传统的商业交易中,一级价格歧视往往只是理论上的一种假设,因为“明码标价”是传统商业一个通行的规则,我国《消费者权益保护法》对此有明确的规定。在店堂陈列的商品,如果明码标价,所有消费者有机会同时看到报价,商家如果采用不同的销售价格,轻则引起消费者反感,重则引发工商行政机关的行政处罚。这些因素,导致针对不同消费者的价格歧视很难实现。
但是在互联网电子商务环境下,针对不同消费者的差异化定价成为可能。消费者在自己的网页或手机终端看到的价格即使与其他消费者看到的价格不同,也很难被消费者及时发现。商家通过用户画像的分析,对于消费者的购买意愿、购买习惯、购买能力可以做出精准的分析,并据此将一个较高的价格推送给消费者。随着用户使用频次的提高,用户画像愈发精准,定价也愈发接近消费者可以承受的价格极限。在互联网和大数据的帮助下,传统商业社会中难以实现的一级价格歧视,在互联网上轻松实现。
事实上,对于大数据杀熟,我国法律中已经有相应的规则进行规范。《消费者权益保护法》第十九条规定:商店提供商品应明码标价。该法第十条规定:消费者享有公平交易的权利。明码标价意味着商品价格展示不应因为消费者不同而不同,由于不同的消费者看到的价格不同,因而大数据杀熟违反了明码标价的原则。消费者获得公平交易的权利,也从另一个角度说明了商品或服务的定价应一视同仁。
当然,如果实施大数据杀熟的商家具有《反垄断法》所说的市场优势地位,则大数据杀熟还会涉及到反垄断法的规制问题。
3、金融机构风险定价规制
笔者认为,与上述一级价格歧视不同,金融机构运用用户画像实施的风险定价不应纳入规制。
金融机构的服务本质是经营风险,不同的借款人、不同的被保险人,其自身的风险是不同的。金融机构依据大数据做出的差异化定价,实质是不同风险的定价。也就是说,金融消费者自身的风险状况决定了其所接受产品的不同,金融机构提供给每个金融消费者的产品是不同的,因此不适用上述的规制原则。
综上,用户画像是金融机构进行产品研发、目标客群分析、风险控制、精准营销的重要方法和工具,用户画像过程是大数据在金融领域的典型应用,也是金融科技的具体应用。但是,用户画像来源于数据,数据来源于个人信息,金融机构在享受用户画像和大数据带来便利的同时,也应重视个人信息保护制度对于用户画像行为的规制,从而规避合规风险,发挥大数据的最大价值。
