GDPR解读（8）：自动化决策与画像

我们经常听到自动化决策（含画像），那么它们到底是什么呢？

1.自动化决策

自动化决策是指在没有人工干预的情况下，以技术的方式作出决策。比如：

• 基于车辆的速度、方向、车道，以及红绿灯的状态、限速、交通标识，判定车辆是否违章
• 网上申请贷款时，根据申请人的信用分，自动驳回

2.画像

画像（Profiling）是指任何形式的针对个人数据的自动处理，用于评估或预测自然人的某些方面，特别是分析或预测工作表现、经济状况、健康状况、个人偏好、行为特征、位置或行踪等。画像主要使用统计和推论的方法，而判定一个场景是否属于画像，则主要是看是否包含下面这三个要素：

• 自动化处理
• 个人数据
• 用于评估或预测自然人的某些方面

典型的画像结果：

• 信用分
• 标签（比如高富帅、普通用户等）

画像可能用于信贷（如信用卡申领、贷款额度）、保险（费率计算）、就业/入学资格、确定服务价格等场景。

3.自动化决策与画像的关系

基于画像的自动化决策是最为常见的场景。

画像通常用于自动化决策，但也可以不用于自动化决策（比如人工决策）；自动化决策可以使用画像作为输入，也可以使用其他逻辑单元作为输入。

前面提到的两个例子：判定违章属于自动化决策，不属于画像；自动驳回贷款属于基于画像的自动化决策。

4.GDPR要求

第5条处理个人数据的基本原则中有“合法、公正、透明”的要求，而基于画像的自动化决策很可能出现对数据主体不公正的情况。

第13、14条要求在隐私声明（或隐私通知）中说明是否用到自动化决策（含画像）。

第22条提到数据主体享有不受制于自动化决策的权利，在没有法定义务、合同义务等法律基础的情况下，需要征得数据主体的明示同意，且可以撤回同意。

第35条要求执行DPIA（数据保护影响评估）。

本文地址： https://www.janusec.com/articles/privacy/1581080738.html （转载请注明出处）

评论区(共0条评论)