大数据时代的到来使得数据技术被互联网企业广泛利用,通过对网络空间中的用户行为痕迹信息加以收集、分析从而获悉用户的消费习惯、水平、爱好和需求,并据此对用户进行“画像”,在此基础上向用户推送信息内容、提供商品或服务的搜索结果,实现定向推送。定向推送是科学技术发展的产物,作为良好的营销手段,增加用户黏性的同时降低了市场交易成本,为用户带来了便利。但是,也给个人信息安全带来了挑战,如何平衡互联网企业有序发展和个人信息权益保护成为亟待解决的问题。我国《电子商务法》第18条明确规定了电子商务经营者在提供个性化产品时要提供不针对消费者个人特征的选项。《个人信息保护法》第24条也进行了类似规定,即以自动化决策方式向个人推送信息或进行商业营销的,个人信息处理者必须提供不针对信息主体个人特征的选项或便捷的拒绝方式。本文以定向推送为切入点,分析定向推送的基本概念、运行技术逻辑以及定向推送中个人信息保护存在的问题及法律困境,并借鉴欧美有益的个人信息保护经验,分析《个人信息保护法》框架下定向推送中保护个人信息的路径,以期对定向推送中的个人信息保护有所助益。本文除引言、结语之外,主要包括以下四个部分:第一部分:定向推送与个人信息处理。一方面,分析定向推送的概念、特征及技术逻辑,定向推送是信息处理者通过cookie及同类技术对用户信息进行挖掘收集,并分析这些信息形成用户画像,再基于用户画像利用算法向用户推送信息内容、提供商品或服务的搜索结果;另一方面,分析定向推送中的个人信息处理行为,定向推送广泛运用,网络服务提供者收集并分析网络用户信息后构建用户画像,并基于用户画像进行定向推送,离不开对个人信息的处理。根据定向推送的运行原理,该技术应用中主要涉及个人信息的收集行为、加工行为、使用行为,有必要对个人信息权益加以保护。第二部分:定向推送中个人信息保护的法律困境。该部分主要分析了定向推送中个人信息法律保护存在的不足及法律适用困境,主要包括以下几种情形,一是告知同意规则有效性不足,虽然《民法典》等成文法已经明确规定了处理个人信息应当取得个人同意,但在实践中网络服务提供者履行告知义务流于形式,存在信息过载及其规模效应问题和强制同意困境,个人难以进行有效同意,告知同意规则存在有效性不足的困境;二是用户网络行为信息和用户画像的个人信息法律属性不明;三是定向推送中的同意撤回机制不健全,难以切实保护个人信息;四是匿名化个人信息由于再识别技术的使用面临被再识别的风险,定向推送中使用的个人信息难以达到匿名化的极值。第三部分:定向推送中个人信息保护的比较研究。面对诸如定向推送等自动化决策应用对个人信息带来的挑战,欧盟通过《一般数据保护条例》赋予数据主体反自动化决策权和算法解释权以保护个人信息权益。美国《2018年加利福尼亚消费者隐私法案》在传统的公平信息实践准则基础上,赋予了信息主体知情、选择、参与以及信息安全的权利,但也倡导个人信息的开放和流通,为基于用户画像的定向推送等算法应用营造了包容的法治环境。《2019年算法问责法案》建立算法问责机制为消费者个人信息和隐私提供了制度保障,在此基础上,美国又发布了《2022年算法问责法案》,要求企业在使用自动化决策系统做出关键决策时,对偏见、有效性和相关因素进行系统化的影响评估。第四部分:《个人信息保护法》框架下定向推送中保护个人信息的路径。首先,根据我国《个人信息保护法》的规定,基于用户画像的定向推送落入自动化决策的定义范畴,可以将自动化决策规则适用于定向推送,促使网络服务提供者实施规范的个人信息处理行为以保护个人信息安全。其次,进一步强化告知同意机制的有效性,充分履行告知义务,保障信息主体知情权,根据敏感程度分类管理个人信息,建立赋予信息主体选择权的同意体系。再次,明确网络用户行为信息和用户画像的个人信息性质,提供个人信息法律保护。同时,赋予个人撤回同意的权利,即个人信息主体有权取消其“同意信息处理者处理其个人信息”的授权意思表示。最后,借鉴隐私设计理论,将个人信息保护的相关规则嵌入应用设计,实现定向推送中个人信息保护的目的。