海底捞说你是啥，你就是啥？

海底捞的回应并不能令人信服，所举出的内部合规制度或进度并不能作为违法抗辩事由，何况如若真的“整改完毕”，那也不见得合规。讽刺的是，在海底捞最近更新的《隐私政策》中，其并未对用户画像行为进行交代，显然违反了个人信息收集的透明性等原则

□罗浏虎钱春雁

近来，让我们吃惊的是，我们可能也活在海底捞的评价中——海底捞说你是啥，你就是啥。有网友爆料称，海底捞一些门店暗自在后台系统，对会员进行饮食喜好、体貌特征甚至行为方式的评头论足。

“标签”的定性：用户画像？

自动化决策是指，在没有任何人工参与的情况下，通过自动化的方式作出决策的过程。这些决定可以基于事实数据，以及经由加工的个人资料或推断数据。自动化决策通常涉及到用户画像，但不必然。

由上可见，自动化决策与用户画像在外延上具有部分重合性，用户画像可被作为实现自动化决策的手段。本文即将该意义上交替使用该二术语。

我国个人信息保护法没有明确界定何为用户画像。综合欧盟《通用数据保护条例》（GDPR）与我国《信息安全技术个人信息安全规范》来看，用户画像有三大构成要件：它是一种自动化处理形式；它所处理的是个人信息；进行画像的目的是，对某特定自然人的个人特性进行分析、评价，由此预测或推导出某种结论。就“个人特性”而言，这尤其是指对自然人的职业、经济、健康、教育、个人喜好、信用、行为方式等方面的特点。

值得注意的是，如果仅是依据年龄、性别、身高等已知因素对客户进行分类，以便于进行大体的数据统计，则并不必然构成“用户画像”。其中关键是出于何种目的进行统计，是否为了进行行为预测而处理个人信息。

那么海底捞标签具有何种法律属性？在海底捞事件中，海底捞后台系统的内容项包括：“喜好菜品前五名”“个性需求前五名”“体貌特征”“历史个性需求”“历史体貌特征”等。

例如，有顾客被备注为“25岁左右，喜好在APP上投诉”；有顾客被备注为“吃橙子需要服务员剥”。就上述三大构成要件而言，海底捞无疑使用了自动化的处理系统，样貌特征、饮食爱好亦构成个人信息。如果诚如海底捞所言，贴标签是为了有针对性地提供服务，而非单纯出于统计客户数据的目的而进行信息处理行为，那么海底捞贴标签的行为较大可能构成用户画像。

风险问题：

画像行为有何不妥？

如前所述，在时下的商业环境中，对用户进行画像，谋求精准营销并非罕见。在一定场景下，还能给客户带来便利和惊喜。那么人们依旧会对海底捞标签事件颇感吃惊？这其中涉及很多因素，如海底捞的行为缺乏透明性、出于海底捞贴标签的目的之恐惧等。不过归根结底在于这一事件映衬出了个人信息保护的一种现代化路径特点——出于风险而对个人信息处理行为进行规制。标签与评价看似无关痛痒，殊不知，薄冰之下可能是万丈深渊。例如，信用分析影响信贷资格、工作表现影响招聘结果、行为异常甚至招来“牢狱之灾”。

因此，我国个人信息保护法和电子商务法均禁止对个人在交易价格上实行不合理的差别待遇，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。美国弗吉尼亚州《消费者数据保护法》（CDPA）规定，出于“用户画像”目的处理个人数据时，如果可能给消费者带来不公平或欺诈待遇，可能造成财务、身体或名誉损害，可能侵犯消费者隐私或其他重大影响，数据控制者应进行隐私影响评估。

其次，画像行为可能严重影响个人权利和自由。在美国，有一类“用户画像”一直被激烈批判，那就是“犯罪画像（criminalprofiling）”。“犯罪画像”通过分析年龄、性别、婚姻状况、药物滥用史、逮捕记录和犯罪记录，来预测未来犯罪或者获释后再次犯罪的可能性。根据美国司法部数据，黑人在美国被逮捕的几率是白人的两倍多，导致基于“犯罪画像”而采取的询问、调查和逮捕等决策具有很明显的种族歧视。

例如，美国警察系统使用预测性警务技术（PredPol）来预测犯罪行为并据此提前警告或监视，美国司法系统广泛应用“作为替代性制裁工具的矫正罪犯分析管理系统”（CorrectionalOffenderManagementProfilingforAlternativeSanctionstool，以下简称“COMPAS”）来预测再次犯罪的可能性，并据此作出量刑裁定。2016年，美国人埃里克·卢米斯因涉嫌枪击遭逮捕（卢米斯辩称只是逃避警察），COMPAS预测卢米斯有再次犯罪的高风险，法院遂基于COMPAS报告判处卢米斯六年有期徒刑，外加五年监外管制。

最后，自动化决策遗留算法“黑箱”。人类社会一直在追寻“看得见的正义”，自动化决策就是如此。大部分自动化决策依赖于算法自动化处理并产生结果，而学习型算法的运行程序往往不被人理解，由此产生的结果如果对个人权益有重大影响，个人很难对此提出质疑并得到救济。

为了应对算法黑箱，我国和欧盟采取了限制“纯自动化决策”的立场。我国个人信息保护法和电子商务法均要求自动化决策应当保证透明度和公正性，如果自动化决策对个人权益有重大影响，个人有权要求个人信息处理者对于该等自动化决策进行说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

法律评价：海底捞错了么

从上可知，用户画像是一种颇有风险的个人信息处理行为。有鉴于此，欧美都颁布了相应的规制法律或指南。

在欧盟看来，用户画像作为一项数据处理活动，应当受到GDPR的约束。控制者进行用户画像须具有合法性基础，应向数据主体提供关于画像的简明、易懂、易于获取的信息，遵循目的一致性原则和数据最小化原则，保证画像基础数据的准确性。

欧盟第29条工作组在所发布的《关于自动化个人决策和用户画像的指南》中着重强调了数据主体对“用户画像”的知情权、查询权、更正权、删除权、限制处理权与拒绝权。第29条工作组还提到，“用户画像”一般需要对数据主体进行定期和系统监控；为了满足问责要求，建议控制者指定数据保护官（DPO），并开展隐私影响评估。

海底捞的回应并不能令人信服，所举出的内部合规制度或进度并不能作为违法抗辩事由，何况如若真的“整改完毕”，那也不见得合规。讽刺的是，在海底捞最近更新的《隐私政策》中，其并未对用户画像行为进行交代，显然违反了个人信息收集的透明性等原则。

粗略看来，海底捞至少存在以下问题：侵犯客户知情权而未告知用户画像行为的存在性；未征得用户同意甚至单独同意而处理敏感个人信息；未告知用户画像的目的，未保障用户的知情权、拒绝权、更正权、删除权；超越数据收集的目的与存储期限，持续性地让门店工作人员使用存量数据对用户进行评价。此外，从新闻曝光的情节来看，海底捞显然缺乏数据安全保障措施，未对能接触到用户画像数据的人的权限进行合理管控，致有导致数据泄露之虞。

针对海底捞标签事件，江苏省消保委总体持批评意见。其认为，首先，经营者收集消费者信息应当具有合理性和必要性。比如海底捞作为餐饮企业，可以收集用户对食物的口味和喜好，但外观等信息并不是必须的。其次，经营者要妥善保管消费者的信息。最后，消费者有权拒绝经营者给自己贴标签。

但以上表态似乎还不够，这让笔者想到个人信息保护的执法问题。目前尚待落地的靴子是，执法机关会否依据个人信息保护法对海底捞进行罚款或处罚？对于时常爆出的个人信息保护舆情事件，执法机关的缺位是不应该的。