奇点财经推送于8月29日

《个人信息保护法》第24条自动化决策条款，因回应商家大数据杀熟、精准营销等大众广为关注的痛点问题，备受瞩目，在立法过程中经历了数次修改，可谓“明星条款”。今日文章为大家关注这一条的细节。

《个人信息保护法》第73条给出了自动化决策的定义：“指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动”。这一定义中的分析、评估和决策过程，能否包括人为的干预呢？

本文认为，上述过程不能掺杂人为干预，仅能通过计算机程序进行。一方面，从文义解释来看，定义明确了分析、评估和决策都是明确是由计算机程序自动进行的。另一方面，从体系解释的角度来看更为明显，第24条第3款规定，“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人的信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”个人有权拒绝的是个人信息处理者仅通过自动化决策的方式所作出的决定，“自动化决策的方式”不包含人为施加影响的因素。

商家通过在提供商品和服务过程中获取的消费者个人信息，结合行为数据等作出用户画像，并进行精准营销，已成为业界常态。上述行为如果是通过自动化决策作出的，则受到《个人信息保护法》第24条的调整，要求“应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”。从立法过程来看，草案一审稿对于进行商业营销和信息推送，但并未对个人信息主体权益造成重大影响的情况，并未要求个人信息处理者向个人提供拒绝方式，草案二审稿增加了“向个人提供拒绝的方式”，正式稿进一步要求该拒绝方式应当“便捷”。

不过，对于个人信息主体是否可以“免费”拒绝，条文没有直接作出规定。例如，发送退订推送短信，短信信息费谁来承担？但是，明星条款规定了向个人提供便捷的拒绝方式属于信息处理者的义务，若拒绝产生的费用由个人信息主体负担，则会给个人信息主体附加上沉重且可能不必要的义务。从司法实践来看，法院也采用了类似的观点和逻辑。

在北京互联网法院审理的王某与某公司网络购物合同纠纷一案中（参见(2020)京0491民初9057号民事判决书），某公司平台上的《用户协议》及《隐私政策》为用户提供了三种信息拒绝途径：一是要求某公司停止推送；二是根据短信退订指引要求某公司停止发送推广信息；三是通过在移动端设备中进行设置，不再接收某公司推送的消息。法院认为，某公司向王某推送商业广告短信及商业广告信息的退订方式有效，王某发送退订商业短信行为属于行使拒绝接收的权利行使行为，而非义务履行行为，因此，退订商业短信的费用，应当由合同义务一方即某公司负担。

从立法过程来看，一审稿采用的是主观标准，只要“个人认为”个人信息处理者的自动化决策过程对其权益造成了重大影响，个人信息拥有者即享有相应救济权利。这种完全依赖个人信息拥有者的主观判断标准，并没有被二审稿沿用。二审稿删除了“个人认为”且被正式稿采纳，从表述上看可视为一种客观标准，仅仅“个人认为”对个人权益产生重大影响，作为获得救济的理由，可能是不够充分的。

《个人信息保护法》没有对“重大影响”作出定义。重大影响意味着不是微不足道的、不值得法律关注的影响，换句话说，这种自动化决策过程必须对个人信息主体的法律权利直接产生影响或者在事实上影响个人行为的活动，如第二十四条第一款中提到的“在交易价格等交易条件上实行不合理的差别待遇”。在这里，可以参考国家标准《信息安全技术个人信息安全规范》（GB/T 35273—2020）的界定，在个案中进行针对性评估。该国家标准第7.7条对个人信息控制者使用自动化决策机制对个人信息主体权益造成“显著影响”的提出了具体要求，并对“显著影响”提供了典型示例，包括“自动决定个人征信及贷款额度”、“用于面试人员的自动化筛选” 。

（《信息安全技术 个人信息安全规范》7.7条信息系统自动决策机制的使用 个人信息控制者业务运营所使用的信息系统，具备自动决策机制且能对个人信息主 体权益造成显著影响的（例如，自动决定个人征信及贷款额度，或用于面试人员的自动 化筛选等），应：a) 在规划设计阶段或首次使用前开展个人信息安全影响评估，并依评估结果采取 有效的保护个人信息主体的措施；b) 在使用过程中定期（至少每年一次）开展个人信息安全影响评估，并依评估结 果改进保护个人信息主体的措施；c) 向个人信息主体提供针对自动决策结果的投诉渠道，并支持对自动决策结果的 人工复核。）