个保法系列解读 | 关于个性化推荐，这些事情不要做-轻识

正式实施的《个人信息保护法》（以下简称“《个保法》”）已经成为各类个人信息处理者的基本行为规范。为了帮助企业更好地了解《个保法》的合规要求，TalkingData法务合规部特别撰写系列文章，解析重点议题与对应法条，并对企业实践情况进行调研，供相关从业者参考。

为了回应大数据杀熟、违规个性化推荐等热点问题，《个保法》第24条特别规定了自动化决策的相关规则，国家网信办在此基础上又出台了《互联网信息服务算法推荐管理规定（征求意见稿）》（以下简称“《规定》”）来进一步细化互联网信息服务算法推荐活动的监管要求，本文将对此深入分析。

一、自动化决策

1.什么是自动化决策？

自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。利用算法给用户进行个性化推荐就是典型的自动化决策行为。自动化决策仅适用于对个人的决策，不涉及针对公司的自动化决策，例如自动评估供应商公司的风险。此外，自动化决策必须是利用个人信息进行的活动，不包含基于非个人信息的自动化决策活动。

2.如何保证自动化决策的透明度？

《个保法》提出了保证决策透明度的要求，《规定》对此予以细化，合规要点总结如下：

合规要点	具体解释
明确告知	以适当方式公示算法的基本原理、目的意图、运行机制等。
策略优化	综合运用内容去重、打散干预等策略，并优化检索、排序、选择、推送、展示等规则的透明度和可解释性，避免对用户产生不良影响。
解释说明	如果通过自动化决策方式做出对个人权益有重大影响的决定，个人有权要求相关企业对此予以说明，并拒绝仅通过自动化决策的方式做出决定。但此处应特别注意《个保法》采用的是客观标准，需要客观上有重大影响，并不以用户的主观想法作为决定性依据。《个保法》没有明确“对个人权益有重大影响的决定”的具体含义，在理解适用时可先参照欧盟WP29工作组发布的《自动化决策和用户画像指导规则》（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679）中的内容，其指出影响某人财务状况的决定，例如信贷；影响某人获得健康服务的决定；剥夺某人就业机会或使其处于严重不利地位的决定；影响某人接受教育的决定，例如大学录取，都属于典型的对个人权益产生重大影响的决定。

3.如何实现公平公正？

《个保法》提出相关企业应保证自动化决策的结果公平、公正，结合《规定》的相关要求总结出以下合规要点：

合规要点	具体解释
审核评估	相关企业在利用个人信息自动化决策前应进行个人信息影响评估，重点评估个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应。具体评估流程可参考TalkingData参与编写的《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020）。定期审核、评估、验证算法机制机理、模型、数据和应用结果等，不得设置诱导用户沉迷或者高额消费等违背公序良俗的算法模型。从事具有舆论属性或者社会动员能力的算法推荐服务的相关企业应开展安全评估。
关闭选项	通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或便捷的拒绝方式。一旦用户选择关闭的，相关企业应当立即停止服务。
投诉举报	设置便捷的投诉举报入口，及时受理和处理公众投诉举报。　　建立用户申诉渠道和制度，规范处理用户申诉并及时反馈。
标签管理	应当加强用户模型和用户标签管理，完善记入用户模型的兴趣点规则，不得将违法和不良信息关键词记入用户兴趣点或作为用户标签并据以推送信息内容，不得设置歧视性或者偏见性用户标签。建立完善人工干预和用户自主选择机制，向用户提供选择、修改或者删除用于算法推荐服务的用户标签的功能。

4.如何实现平等交易？

针对大数据杀熟的问题，《个保法》特别强调相关企业不得对个人在交易价格等交易条件上实行不合理差别待遇。差别待遇的认定可参考《国务院反垄断委员会关于平台经济领域的反垄断指南》（以下简称“《指南》”）的内容，即是否基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件；是否实行差异性标准、规则、算法；是否实行差异性付款条件和交易方式。但是《指南》还提出根据实际需求且符合正当的交易习惯和行业惯例，实行不同交易条件；或针对新用户在合理期限内开展的优惠活动；或基于平台公平、合理、无歧视的规则实施的随机性交易属于正当的差别行为。禁止不合理的差别待遇并不是禁止所有的差别行为，只是禁止会导致不公平结果的歧视性交易条件。

二、对广告推送业务的影响

1.相关法律规范对现有的广告推送业务有什么影响？

《规定》和《个保法》为规制广告推送业务提供了更明确的法律依据，但这并不意味着禁止广告推送，而是要求广告推送时应通过制度设计和算法技术来保障用户的选择和干预机制，避免出现歧视结果。相关法律规范对个性化广告推送业务的确会产生一定的影响，提供便捷关闭选项的要求可能会使得用户选择关闭个性化广告推送，因此个性化广告推送业务的触达范围可能会有所缩小。但是具体还是要看广告推送关闭按钮的设置情况及用户的自主选择情况。

2.在广告推送场景下应如何落实合规要求？

广告推送业务的拒绝机制设计和算法公平保障是重要的合规要求，相关企业需要依据相关法律规范调整自身的商业模式。

从制度设计上看，进行广告推送的同时应提供不针对其个人特征的选项，或向个人提供便捷的拒绝方式。同时还应向用户提供选择、修改或者删除用于算法推荐服务的用户标签的功能。拒绝方式应简捷且有效，例如某些App的关闭个性化设置需要用户点击9次才能关闭，某些App会在用户关闭后的几个月内自动恢复个性化广告，这些都可能被视为是违规行为。此外，建议在进行个性化广告推送页面上同时为用户提供单纯依照点击量、发布时间等统计结果的不针对个人的选项，并设置用户的申诉渠道和制度。

从算法技术上看，进行个性化广告推送前往往需要通过算法来确定目标人群，而算法需要保障公平公正。从输入的数据来看，此算法模型应加强用户标签管理，加强对输入模型中的数据类型审核，不能将违法和不良信息关键词作为用户标签并据以推送信息内容，不得设置歧视性或者偏见性用户标签。从算法结果来看，不能根据消费者的偏好、交易习惯等特征，利用算法在交易价格等交易条件上实行不合理的差别待遇。依据业务场景进行算法模型选择时应特别注重模型架构不能包含不合理的目标变量、特征或结构，并在运行前对算法决策是否会产生歧视性影响进行评估。

三、企业实践情况调研

经过调研Apple App Store前30免费App的个性化推荐规则，所有的App均会默认开启个性化推荐功能，超过70%的App都在隐私政策中明确告知关闭个性化推荐的具体途径，但仅20%的App可在小于等于4次的点击内实现个性化推荐的关闭。

*可关注本公众号，发送关键词「个性化推荐规则」，获取完整版调研报告

首先，约76%的App均在隐私政策中告知个性化推荐的关闭途径，其中约43%的App披露了具体的关闭途径，例如“QQ”和“拼多多”，具体截图如下：

QQ隐私政策

拼多多隐私政策

其次，为方便用户迅速关闭个性化推荐，约33%的App还会在隐私政策中提供关闭个性化推荐的链接，点开链接后可以直接关闭个性化推荐，例如支付宝，具体截图如下：

支付宝隐私政策

其中“淘宝”、“淘特”、“京东”App在关闭的链接界面还提供了标签管理机制，为用户提供更具体的关闭选择。具体截图如下：

淘宝隐私政策

京东隐私政策

《个保法》不仅要求提供关闭个性化推荐的路径，还要求关闭的方式应非常便捷，因此App的关闭路径过于复杂也广受诟病。虽然法律并没有对具体的关闭操作次数做出限定，但是App专项治理工作组在2019年发布的《App违法违规收集使用个人信息行为认定方法》中指出，进入App主界面后，需多于4次点击等操作才能访问隐私政策等收集使用规则属于违规行为。

因此，以4次为界，经过调研Apple App Store前30免费App发现，仅20%的App能在小于等于4次的操作内实现个性化推荐的有效关闭，其中“剪映”的关闭方式最为便捷，可在3步内完成关闭，即“设置-个性化推荐设置-关闭”。“支付宝”最为复杂，需在7步内完成，即“我的-头像-实名认证-查看更多-隐私权政策-我们如何使用(7)的链接-关闭”或“我的-消费者权益保护-用户隐私中心-查看你的隐私设置-支付宝广告、推荐设置-个性化推荐-关闭”。

最后，约33%的企业还会在隐私政策中单独介绍个性化推荐和个性化广告的相关运作原理、关闭效果等相关情况以帮助用户更好地了解个性化推荐，例如“抖音”，其还插入了视频来进行讲解，具体截图如下：