个人画像服务的个人信息保护

随着大数据技术的不断发展，越来越多的企业大量收集个人信息，利用特定算法/模型对收集的个人信息进行整合分析，评估出个人的消费习惯、水平、爱好、需求等，并以此构建出个人画像。基于个人画像，企业可以为用户提供更精准的个性化服务，更好地满足其需求，也可以为企业推广节约成本、提高效率。但是，使用个人画像为人们的生活带来便利的同时，也出现了个人信息非法收集、泄露、画像滥用等相关问题。当前业界尚无统一有效的针对个人画像处理活动的个人信息保护指南或标准供企业作参考。因此，对个人画像处理活动中的个人信息进行保护，成为亟待解决的问题。本文件针对个人画像处理活动中的个人信息保护问题，根据《中华人民共和国个人信息保护法》等相关法律，规范个人信息处理者在收集、存储、使用、传输、删除等处理环节的个人信息处理活动，旨在最大程度保护用户的个人信息权益。针对个人画像服务，本文件可考虑从个人画像算法/模型（下述“算法/模型”)开发态的数据训练集和算法/模型运行态的个人画像处理环节对涉及的个人信息进行保护。算法/模型开发态包括个人画像算法开发和模型训练，其中模型训练可以采用离线训练或在线训练完成；算法/模型运行态包括个人画像的关键处理环节，其中个人画像的生成包括用于画像生成的用户个人信息处理环节，具体框架见下图。

个人画像全生命周期个人信息保护框架图

a）个人画像算法开发和模型训练：在训练集构建和测试集构建时，对涉及的个人信息进行保护。

b）个人画像的关键处理环节：

1）对用户的个人画像进行保护，包括个人画像的生成、传输与存储、使用、删除等处理环节。

2）用于画像生成的用户个人信息处理环节：算法/模型部署上线后，基于算法/模型生成个人画像时，对涉及的用户个人信息进行保护，包括个人信息的收集、传输与存储、使用与加工、删除等处理环节。个人信息处理者对个人画像算法/模型开发阶段涉及的个人信息、生成个人画像过程中所需的用户的个人信息以及用户的个人画像的处理活动均需遵循合法、正当、必要的原则，具体包括：

目的明确：具有明确、清晰、具体的个人信息处理目的；

合法合规：应符合相关法律法规规定，合法性基础包括充分告知，获得用户同意或具备其他合法性基础；

最小必要：只处理满足用户授权同意的目的所需的最少个人信息类型和数量；

公开透明：以明确、易懂和合理的方式公开个人信息的范围、目的、规则等；

e)确保安全：采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性；

分类分级管理：宜对画像标签进行分类分级管理，可根据标签的敏感度采用差异化的管理。

扫码进星球下载公众号文件

■

责编：梓玥

审核：晓洁