千人千面，还是信息茧房？互联网精准推送利弊谈及如何寻找破茧之路（下）

首刊于律商视点（2021-03-16)

客观来说，基于对大量用户个人信息数据的收集、分析和预测而进行精准推送是互联网技术的又一次腾飞。如同新生儿诞生，饱含价值的某项技术发明问世，在给人类带来诸多便利和好处的同时或也夹杂着麻烦乃至坏处。而后者未必是技术本身造成的，其根源大概还在于人性固有的弱点，例如逐利、贪婪。纪录片《社交困境》(Social Dilemma) [1]里警告，在互联网和社交平台上，人的心理弱点正被不断利用以至用户的网瘾越来越大；同时因为社交媒体的存在，这个时代想要煽动群体情绪，大概比此前任何一个时代都来得更加容易。精准推送等新涌现的技术让社交媒体情境下作为用户的公众变得越发不安，一方面良知在告诫自己网络成瘾不健康，另一方面又难以自拔，戒过烟的人大概对此体会更深…… 表示 “不作恶”、 “科技向善” 的互联网大平台们企业们在这场正越演越烈的网络信任危机中正在扮演怎样的角色，又该扮演怎样的角色？

语焉不详的隐私声明

翻看我国互联网购物、搜索、娱乐、资讯等大平台的用户隐私声明，会看到有的措辞诚恳和亲切些，有的相对更霸气一些，但是在涉及Cookie 收集信息的目的或个人画像或广告推送等关键问题时，普遍存在语焉不详、含混其词的通病：

首先，关于Cookie使用目的的描述，尤其是否必要问题上，往往措辞模糊。大平台们的隐私声明中普遍强调Cookie的使用是为了“网站正常高效运转”， “便于您使用网络产品和服务，获得更轻松的访问体验”， “帮助网站统计独立的访客数量”等。声明中罕有直接用词 “精准营销“，”精准推送“，而是裹藏在 “推荐您可能感兴趣的内容”，“周到化的个性化服务，并允许设定服务选项”等糖衣之中，突出对用户有利的一面，而闭口不谈“硬币的反面”。

其次，关于已经放置的Cookie如何清除，大平台们给予用户的指导往往简单潦草。有的甚至直接贴了一个第三方英文网站的链接AboutCookies.org，让用户自己去看去琢磨吧……  这样的全英文的第三方网站，完全不带中文翻译，无异于在广大并不精通英语的用户面前筑起了一道壁垒。

第三，在消除Cookie指示得不清不楚的同时，大平台们如出一辙地警示用户清除Cookie和不接受Cookie放置将产生后果：“无法登录或使用依赖于Cookie的服务或功能” ，等等。至于哪些功能和服务是非有Cookie不可的，并没有更详细的说明。而除Cookie “在某些情况下可能会影响您安全访问网站和使用我们提供的服务” 之类的笼统警示，恐怕也会让本有意减少被Cookie包围的用户因对笼统提示的 “安全” 顾虑而就此止步不前吧。

第四，有意思的是，个别娱乐大平台还生造出了 “精准屏蔽”的概念，称信息推荐等功能可能是由算法等非人工自动决策机制做出的；用户点击“不感兴趣” 就能精准屏蔽，帮助用户对推送信息的控制与自主决策。试问：“精准屏蔽” 的仅仅是某一条推送短视频，还是这一类，抑或其它？推荐算法对于普通用户来说已经是一个黑箱，而精准屏蔽一说更是另一个让用户更摸不到头脑的黑箱了。

对“上网免费”的误解——其实数据即有价资产

时下绝大多数搜索、购物乃至一些娱乐网站的基础服务并不向用户收费，给人的感觉是这些互联网提供服务是免费的。其实这是误解。当用户在网站上浏览、下单或发表意见时，在网站Cookie 的跟踪和记录下，用户正在将自己大量的个人信息，包括各种网上行为信息，慷慨地提供给了网站。网站本身及其授权的商家或者广告企业对于这些信息加以分析并做出精准推送，就产生了可观的商业价值。欧盟法域内不少法学学者已经指出：个人用户同意被收集其信息数据的，就构成付费服务的一种形式[2]。这个观点直接指向互联网平台以“免费提供用户服务”自居而互联网用户人群及其信息的轻慢。以色列学者尤瓦尔·赫拉利在《今日简史》一书中指出，“数据是相当有价值的资产“。从这个意义上来说，用户同意向网站提供了自己的个人信息，其交易对价 (consideration) 并不薄于支付十几或者上百元的会员费。

因此，关于个人信息数据的价值的认识应当有进一步的深化和转变。“数据是信息时代的石油”。那么，来你的地盘打石油，至少得经过你同意吧？你真的同意了吗？

同意，还是被同意？—— 精准推送的弱监管状态

公开透明是个人信息保护的基本原则之一，在我国《民法典》、《网络安全法》，《个人信息保护法》（草案），《信息安全技术 个人保护安全规范》等均有涉及。公开透明的核心要点在于以明确、易懂和合理的方式公开处理个人信息的范围、目的和规则等，并接受外部监督。与公开透明原则一脉相承，法律法规还进一步树立了选择同意原则，即信息处理者需要向个人信息主体明示个人信息处理目的、方式、范围和规则等，征求其授权同意。

在个人信息保护的法律语境下，互联网用户是个人信息主体，开展个人信息处理的网站等是个人信息控制者或者信息处理者。

基于公开透明原则和选择同意原则，没有强制法律效力但可以被理解为良好实践的国家推荐标准《信息安全技术 个人保护安全规范》要求，向消费者个性化展示商品和服务的，在个性化展示的同时，应当同时提供非个性化展示的选项；个性化推送新闻信息的，应当为个人用户简单直观地提供退出选项。这里的个性化展示可以被理解为互联网语境下通常所称的精准推送和精准营销。

虽有法律原则和推荐标准里列示的操作规程，面对包括大平台们在内的各类网站在通过放置Cookie以收集个人信息，进而实现用户精准的操作，恰是一地鸡毛般的弱监管地带：

普象之一：用户首次登录和注册时，网站会提示Cookie设置并请求用户点击“同意”，通常网站也会一并提供“不同意”的选项。但是，倘若用户真的点击了“不同意”，往往就无法浏览该网站了。所以实际上用户不得不在同意接受 “Cookie” 和放弃上网之间做选择，即 “要么拿走，要么你走”（take it, or leave it）。网站在请求用户同意Cookie时显得客气，其实霸气；

普象之二：用户点击“同意“Cookie, 就等于同意网站放置的各种类型的Cookie。国内目前很少有网站在请求“同意” 界面上列出不同功能的Cookie供用户分别选择同意与否；

普象之三：一旦同意Cookie放置，就等于接受永远被它记录和跟踪上网。清除Cookie比同意Cookie要复杂得多的多，并且成功清除后通常从此就上不了这个网站了；

普象之四：大多数网站没有清楚直白地列示用户可以退出个性化、精准推送的选项。用户至少要花上一番功夫，在网站各个栏目下“翻箱倒柜”一番才能找到这个选项。

综上，在Cookie设置上，用户“选择同意”的权利几乎是一纸空文，现况是用户如果想上某个网站，几乎就必须同意其Cookie设置。小小Cookie给互联网商家们贡献了丰实的利益，也给作为用户的公众带来了诸多困扰。而这困扰不仅在我国广大的互联网用户间存在，在其它法域包括欧盟目前也仍然是一大挑战。

我国以及欧盟法律法规相对明确予以约束的一类场景是精准推送的“近亲”，即“利用个人信息进行自动化决策”，具体指当运用个人画像（如基于工作表现、经济状况、身体状况、个人兴趣、行为稳定性、地理位置和运动轨迹等标签）对个人权益产生重大影响的，个人有权要求对自动决策的结果进行人工复核。我国和欧盟都将银行贷款额度的授予、网上面试的自动筛选等视为属于对个人权益产生重大影响的情形。换言之，贷款额度和面试决定不能只听机器的，而需要有人的介入以做判断。

“利用个人信息进行自动化决策”和精准推送确实有不少相似之处：两者的数据基础都源自于用户画像，并且都依赖算法来做决策。两者差异的方面在于前者事关贷款和求职，后者广泛覆盖商品广告和新闻资讯的推送。事实上，被列示为产生重大权益影响的贷款和面试等情形虽然重要但毕竟属于偶发情况，毕竟普通人并不需要经常申请贷款或者求职找工作。倒是每一天打开计算机和手机就感到精准推送的广告和资讯正如影随形地跟着我们每一个人，成了生活的新常态，常常让人不快、不爽。所以，法律和监管不仅要算法对于那些重大决策事项的自动化决策要做干预，也应该强化对每时每刻在影响民众生活的精准推送予以适当的约束和调整了。

如何破茧 ——将决定权和控制权交回到用户的手中

面对精准推送产生正向价值的同时也带来的负面后果，法律和监管该从何切入以作调整？

其实我国法律对于这方面的问题也并非空白，只是着墨有限，落实更有限。在《个人信息保护法》（草案）和《信息安全技术  个人保护安全规范》提及个性化展示概念之前，在2019年1月1日生效的《电子商务法》的第十八条已作规定：“…根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益”。可见，个性化展示、精准推送是个人信息保护和消费者权益保护等多个法律领域共同涉及的问题。然而，虽已有法律要求，面对越织越密的信息茧房，生效已经两年多的《电子商务法》和陆续出台的个人信息保护法律法规并没有露出多少牙齿。

如欧盟在近期推出《数字服务法案》 (Digital Services Act) [3]时所指出的，在向用户提供服务的互联网平台日益规模化、并且大型网络平台与算法日益紧密结合的情况下，互联网服务提供方与用户消费者之间的信息不对称正日益加剧。

既然个人信息保护已经建立了公平透明和选择同意的原则，如何做到原则能落地实施、融汇于日常的商业实践之中，而非处于两层皮的不融状态？精准推送等数字科技迅速发展，如何确保个人用户对于其自身的“有价资产”即个人信息一直握有决定权和控制权？笔者以为：

（一）由用户来掌握个人信息处理的决定权和控制权，首先得建立在对Cookie “知情”的基础上，即能够真实、准确地了解Cookie的功能与后果，以及真实的选择方案。用户的权利赋能所对应的就是企业要尽到其责任和义务。实现公开透明，互联网企业需要以简洁、明了的语言解释与用户利益有关的技术问题，例如拒绝某一种Cookie究竟对用户上网意味着什么，而不是语焉不详，试图浑水摸鱼；企业提供给用户的选择也应该是真实、有意义的选项，如在各种不同Cookie设置中的选择，以及个性化显示和大众化显示的选项，而不是要么接受（任何）Cookie，要么就无法浏览界面的霸王式作风。

关于怎样的语言称得上简洁、明了，笔者想起自己刚开始律师职业时，曾被前辈教育法律文件的用词要能让70岁的老太太听得明白。律师和企业法务可否尝试以这样的方向来努力化繁就简，让网站隐私声明易懂，也方便用户的行权操作？

（二）保障用户的知情权和决定权的另一个重要构成部分是允许用户“反复”：在同意Cookie 设置后有权撤回同意或者缩小同意设置的范围；选择了精准推送个性化显示之后，仍可以在之后自由切换到大众化显示，或者此后再切换回个性化状态。是否允许用户行为“反复”，恰恰表明用户对于其个人信息的主动权和控制能力的程度。破除用户的切换壁垒，降低在Cookie选择，精准推送个性化选择时的程序和技术障碍，是衡量企业是否确实尊重用户权利，保障用户决定权和控制权标尺。

欧盟在其GDPR等一系列的个人信息保护法律以及欧盟统一数字市场战略等政策文件中，一再强调个人信息权利是公民的基本人权之一，并以此为出发点规划和落实个人信息保护的全景图。有些人会嘲笑欧盟显得太过保守，甚至由此阻碍欧盟数字科技的进程而导致其落在美、中之后。但是，随着数字科技登峰造极般地越发显示出其魔力和魔性，人脸识别监控、Cookie跟踪、精准推送编织出信息茧房等在一项项新科技问世后既带来了生活便利又造成公众梦魇时，欧盟的保守态度又何尝不是体现其“不忘初心”的拙朴作风？如果偏离了为人类福祉做贡献的航道，再高再快的科技其意义又何在？

注：

[1] Documentary Film: The Social Dilemma. Netflix 2020 出品

[2] Weizenbaum Institut 课题Data as A Means of Payment Frameworks for Data Markets: Weizenbaum Institut (weizenbaum-institut.de); The future of targeted advertising in the EU, Out-Law Analysis, Nov 16, 2020 The future of targeted advertising in the EU (pinsentmasons.com)

[3]  EU Digital Service Act (proposal), Page 9, EUR-Lex - 52020PC0825 - EN - EUR-Lex (europa.eu)