新零售企业数据合规指引手册

5 6 7 8 10 13 15 16 16 17 19 20 20 21 23 24 24 26 28 29 29 29 33 34 34 35 37 38 38 40特别声明：本手册不代表上海市华诚律师事务所或其律师出具的任何形式之法律意见或建议。上海市华诚律师事务所对本手册的全部内容拥有包括著作权在内的完整知识产权，受法律保护。未经本所书面许可，任何单位及个人不得以任何方式或理由对本手册的任何部分进行复制、修改、抄录、传播、销售或以任何其他方式使用。凡侵犯本手册知识产权的，上海市华诚律师事务所保留依法追究其法律责任的权利。7为了网络服务运营中不可或缺的重要部分，在实现网页通讯、免去用户重复登录并记录用户的偏好设置等方面发挥了作用。但同时，由于知界面采取弹窗方式进行告知。早在2015年，法院在“北案”中认为，百度网讯公司在《使用百度前必读》中已经明确告知网络用户可以使用包括禁用cookie、清除cookie或者提供禁用按钮等方式阻止个性化推荐内容的展现，尊重了网络用户的选择权。该法院在当时运用了民事上的普通注意义务理论对当事人的“知情-同意”作出了论证，因而认定百度网讯公司一方不构成侵权。2017年，在陈某与杭州阿里妈妈软件服务有限公司网络服务合同纠纷案中，法院认为，根据《阿里妈妈服务协议》5.1个人信息条款的约定，用户在使妈妈提供的服务时，同意被告收集其cookie记要根据cookie记录对原告等淘宝客进行流况下进行的，且使用cookie具有合理者的身份和联系方式等基本情况、保存期限和同时，网站应以公开且易于访问的形式向用户告知个人信息处理情况及规则；明示收集、使用信息的目的、方式和范围。企业可以将前述访问链接呈现于选择框旁的显著位置，且保持链接跳转流畅。在链接跳转后，用户应当可以清晰、8工具，帮助网站所有者获取用户与该站进行信息访问互动的cookie，从而实现广告的定向投放。结合我国《个人信息保护法》的要求，对于第三方合作中开展的个人信息共享、转让、委托处理、共同处理等活动，企业作为“个人信息处理者”，应当履行对个人信息的安全保障义务，应通过尽职调查、风险评估、合同保障、持续监督等措施，确保在与第三方合作的业务过程中，个人权益托/受托处理关系，那么企业应当对于该服务商的资质、个人信息安全保护能力进行充分调查，并签订严格的数据委托处理协议。如果界定为个人信息共享，在与该第三方共享信息时，企业应当遵守《个人信息保护法》第二十三条、五十五条等有关规定，事先开展个人信息保护影响评估并行为信息（浏览记录、点击记录等）前，应获得用户的单独授权同意。此外，还应注意与共享方一般情况下，新零售企业下属相同功能的平台之间，打通会员数据体系具备明确、合理的目的，并且和处理目的直接相关，具备合法性基础。事实上，各平台打通会员数据，应当视为对已处理者使用、加工个人信息，需要具备明确、合理的目的，并应当与处理目的直接相关，并且需程序三个平台的核心功能都是网上购物，将这三者的会员体系打通，实现会员档案、个人订单、购物车内容等同步，将有助于用户更容易地查阅和管理自己的购物行为、查看自己的购物记录。如果不打通会员数据，反而产生不好的用户体验。在此情况下，新零售企业通常只需要将该处理9新零售企业下属不同功能的平台之间打通会员能的延续，打通会员数据便存在一定的合理目的。因此，在实践中，对于新零售企业运营的不同功能平台，在联通会员数据前，应在前端注册、登录界面进行充分告知并获取用户的明确同意。根据《个人信息保护法》的个人信息处理“最小必要原则”和《常见类型移动互联网应用程序的个人信息，除非获取访客的同意。通常情况下，访客意味着网站、APP、小程序基本功能的使用者。同一家企业间不同的数字化平台之间数据打通，并非提供基本功能所需，因此，我们不建新零售企业在不同的业务场景下，需要通过布局各类智能终端设备和数字平台，实现消费者引流、消费者数据收集、营销推广等多个环节。目前，新零售企业主要数字平台包括移动互联网越多地通过APP和小程序处理消费者的个人信息，APP和小程序的们通常也会参考《信息安全技术移动互联网应用程序（App）收集个人信息基本要求》的具体要•弹窗展示：弹窗面积合适，背景简洁，弹窗内文字颜色与背景应对比明显，字体的大小易于阅读；弹窗设置明显、有效的关闭按钮，按钮大小、位置、颜色应易于操作辨认，保证用户可•弹窗内容：隐私弹窗应包括APP隐私政策的核心内必要个人信息类型和目的、APP需调用的敏感设备权限等；仅在该弹窗中索取服务场景实际需要的权限，不得在服务场景未实际发生时一揽子索取权限。如涉及敏感权限的，建议单独弹窗告知•退出机制：通过调研，我们发现目前市面上大部分APP在隐私弹窗环节，一旦用户点击“不同意”，便将无法继续进入APP。结合网信办《常见类型移动互联网应用程序必要个人信息范围》要求，企业最合规的做法是，即便在用户点击“不同意”的情形下，APP仍然应当向该用户提根据工信部《关于开展“信息通信服务感知提升行动”的通知》和《26号文》规定，要求企业息种类、使用目的、使用场景和共享方式。APP“双清单”的要求是个人信息保护公开透明原则的消费者造成困惑，进而导致消费者要求企业提供解释；另一方面，应用商店也极有可能要求企业进行说明或整改，否则可能会面临发版受阻的后果。因此，在制定“双清单”时，展现的个人信息其次，企业在准备“与第三方共享个人信息清单”时，不应出现逻辑上的错误（例如，APP隐私政策中明确承诺消费者个人信息不会提供给第三方，而在清单中却出现了第三方并且“与第三方共享个人信息清单”可以包括SDK提供商，但无需包括相关技术服务方（个人信息受托处理根据近年来发布的行政法规、部门规章、相关标准文件以及监管部门的态度来看，企业应当息范围》第二条第二款规定，“App包括移动智能开放平台接口开发的、用户无需安装即可使用的小程序”。《信息安全技术移动互联网应用程序放接口实现的、用户无需安装即可使用的移动知提升行动的通知》中明确“重点对象”包括“在国内单一应用市场内下载量/安装量达500万次以上的APP应用（含快应用和小程序等新应用形态）ℽ,并要求该类小程序优化隐私政策和权限调用展示方式、优化开屏弹窗信息展示方式、建立个人信息保护“双清单”。2023年，工信部发布的据此，将小程序按照传统APP进行合规检查，是目前的监管趋势。从降通常，新零售企业为了满足消费者基本交易功能，会收集消费者的支付、收件等信息。同时，出于更好地引流、打磨用户画像等目的，新零售企业往往会制定一套消费者会员体系，并基于此收集消费者的基本个人信息、消费偏好、行为信息等。在这一过程中，新零售企业应当注意：一方面，应当获取消费者的明确同意；另一方面，所收集的会员个人信息仍然应符合《个人信息保对于访客，APP提供的基本功能为网上购物。根据《常见类型移动互联网应用程序必要个人对于会员，除了网上购物基本功能，通常还会收集其他基本个人信息（比如生日、所在城市、邮箱等）以便向会员提供生日福利、相关活动推送等。为了提升会员的用户体验，APP会收集其行为信息（例如浏览记录、点击记录、加购记录等）以预测其消费偏好，进而为其呈现或推送感理论上，当访客打开一款以网上购物作为基本功能的APP/小但在实践中，不少企业采取的做法是访客首次打开APP/小程序时，须同意隐私弹窗和隐私政策后方能进入。这一做法广泛为市场所接受，且目前为止未有明确的处罚案例。我们认为原因包括如下：从网络信息安全层面看，不管是访客还是会员，APP/小程序后台大概率都会收集其设备击等行为；从提升消费者整体体验来看，哪怕是访客在使用APP/小程序时因此，实践中，APP/小程序收集访客的个人信息往往不限于《常见类型移动互联网应用程序必要个人信息范围规定》所列示范围，而是会获取其设备信息、网络信息和部分行为信息，并将这些SDK是指第三方软件开发工具包，主要是一些被软件工程师用于为特定软件包、软件框架、硬件平台、操作系统等创建软件的开发工具的集合。和API（应用程序接口）所不同的是，API根据《26号文》规定，APP运营者应当加强SDK的使用管理，集中展示并发者、版本号、主要功能、使用说明等基本信存储个人信息的，应当单独作出说明。根据该要求，APP应当在隐私政策或SDK列表中披露实践中，我们通常会参考信安标委发布的《信息安全技术应用商店的移动互联网应用程序开源框架是一种提供给用户的框架软件，它的源代码是免费提供的，而且用户可以下载、修改、和使用它。相比于自行编写代码，使用开源框架具有很多优点。例如，开源框架能够简化系统的开发过程，减少反复更改代码的工作量；开源框架一般是经过严格测试和审查的，可以保证系统的稳定性和可靠性；此外，开源框架往往支持多种技术栈和各种平台，可以更好地辅助工作。收集的信息传输至第三方（包括独立的个人信息处理者和受托处理方），因此，通常不需要在SDK列表或与第三方共享信息列表中进行展示。但考虑到目前主流应用商店的专业检测手段，开源框架收集的移动设备信息仍然可能被检测到，以至于被应用商店要求披露。对此，我们也发现，度字段，例如设备信息、网络信息、应用信息、合规治理（2023年，工信部通报了多批存在侵害用户权益行为的APP和SDK各家应用商店对例如，对于设备信息，越来越多的APP将其披露到了各类具体的设备ID、设备型号等；对于网在实践中，SDK提供者往往以提供服务为主而不具备自己独立的个人信息处理目的，因此宜界定为个人信息委托处理/受托处理关系。当然也存在部分SDK具备独立的个人信息处理目的或定。对于APP、小程序运营者及SDK提供者而言，除了遵守《个人信息保护法》原则性要求以用者告知用户，征得用户同意，并提供用户权利保障功能，SDK提供者应协助SDK使用者完成SDK提供者的基本信息，如公司名称或姓名、联系方式等，有法律、行政法规规定应当保密围，及其必要性。涉及敏感个人信息的，应明确标识或突出显示，显示方式不限于文字高亮、对外提供、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型，目前，算法服务已经广泛应用于电子商务、支付清算等领域。同时，算法服务监管也在积极根据《算法推荐规定》第2条规定，在中华人民共和国境内应用算法推荐技术提供互联网信息服务，适用该规定。其中，算法推荐技术，是指利用生成合成类、个性化推送类、排序精选类、日第十三届全国人大常委会第三十次会议记者会上指出，自动化决策，包括用户画像、算法推荐的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。结合这一定义，我们初步认为《算法推荐规定》所规制的“生成合成类”、“个性化推送类”、“排序精选类”、“检索过滤实践中，也存在不少观点，即，在算法推荐服务中如果有任何人工干预行为的加入，将导致预行为是否必然导致不适用《算法推荐规定》仍然需要结合具体商业场景进行分析。在人工干预行为对计算机程序分析、决策过程影响微乎其微的情况下，仍然应当认定为《算法推荐规定》所实践中，APP、小程序、网站等数字化平台运营者、商家碰到的问题往往在于，技术上难以完全做到上述要求，其中重要的原因在于数字化平台的技术、运维是由供应商或者第三方平台所提供，在履行“算法推荐服务者”的义务时，需要依赖供应商或平台方的技术支持。针对这种情况，我们建议商家需要积极和供应商、平台方等沟通，并援引《算法推荐规定》的有关规定，要求其服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。我们认为该条款的主要目的在于保障用户的知情权和公平交易等权利，而并非要求商家披露具有商业秘密属性的算法公式、机理甚至代码。通常情况下，商家在收到用户要求披露算法机理的请求后，需要说明商家所采用的算法基本原理、所依据的数据类型、算法对于用户权利的影响等，如因使在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息，履行备案手续。算法推荐服务提供者的备案信息发生变更的，应当在变更之日起十个工作日内办理变更手续。算法推荐服务提供者终止服务的，应当在终止服务之日起二十个工作日内办理注销备案手续，并作出妥善安排。对于企业来讲，上述要求的关键问题是，如何判断企业自身是否具有“舆论属性”或“社会务，包括1）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能2）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。因此，若企业运营的网站、APP、小程序若技术新应用，使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或者社会动员能力发生重大变化的3）用户规模显著增加，导致信息服务的舆论属性或者社会动员能力发生重大变化的4）发生违法有害信息传播扩散，表明已有安全措施难以有效防控网络安全风险的5）地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容结合上述定义不难看出，深度合成和我们前面提到的算法推荐、自动化决策十分相似，即都是涉及算法的使用，且都是由算法决策、制作形成结果。因此，在判断一项商业场景是否适用《深度合成规定》时，关键在于生成的内容是否由算法制作形成。例如，目前市面上不少具有美颜功能的APP或小程序，以“美图秀秀”为特征进行编辑，如智能优化、添加滤镜等，还是“人像美容”功能，即对图像中的生物特征进行人，通常情况下，APP、小程序、网站若提供深度合成服务，那么这些平台的运营者都属于深度合同服务提供者。而深度合成服务技术支持者，是指为深度合成服务提供技术支持的组织、个人，高于前者，导致市场上后者的数量也往往少于前者。某些情形下，企业可能同时属于深度合成服务提供者和深度合成服务技术支持者，但大部分情况下，深度合成服务提供者仍需依赖第三方技《深度合成规定》对深度合成服务提供者提新闻内容合规：不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的，应当依法转载互联网新闻信息稿源单位发布的新闻信息；信息安全主体责任：应建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度，具有安全可控的技规则制定和公布：应当制定和公开管理规则、平台公约，完善服务协议，依法依约履行管理实名认证要求：应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式，依法对深度合成服务使用者进行真实身份信息认证，不得向未进行合成内容管理：应当加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者特征库管理：应当建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。深度合成服务提供者发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告；对相关深度合成服务使用者依用户权利响应机制：应当设置便捷的用户申诉和公众投诉、举报入口，公布处理流程和反馈训练数据管理：深度合成服务提供者和技术支持者应当加强训练数据管理，采取必要措施保“告知-同意”：深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的，技术管理：深度合成服务提供者和技术支持者应当加强技术管理，定期审核、评估、验证生安全评估：深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的，应当依法自行或者委托专业机构开展安全评估1）生成或者编辑人脸、人声等生物识别信息的2）生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、添加标识：深度合成服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施信息公示：完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应术支持者仅在提供技术服务的范围内履行自己的义务。和《互联网信息服务算法推荐管理规定》《深度合成规定》要求深度合成服务提供者履行实名认证要求，但许多服务提供者向消费者提供的（提供深度合成服务的）APP、小程序、网站本身是由技术服务支持者提供，如需完成实名认建立健全识别违法和不良信息的特征库义务，通常情况下，也需要深度合成服务技术支持者提供然需要履行告知义务，包括1）通过在生产的内容上添加显著的标识以告知用户该内容由深度合成而来2）公示或告知关于深度合成的使用规则、管理规则、服务协议等。应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示民整体的48.8%。网络直播行业迅速发展、市场需求巨大，同时也成“直播营销”是指，商家、主播等参与者在电商平台、内容平台、社交平台等网络平台上以直播指在直播营销平台上注册账号或者通过自建网站等其他网络服务，开设直播间从事网络直播营销指在网络直播营销中直接向社会公众开展营销的个人。通常情况下，直播营销人员即与用户直接在关于直播营销的规范文件中，通常以不同角色身份划分合规义务，不同角色对应各自不同的义务。在不同的直播合作形式中，新零售企业可能作为不同的角色；在同一种合作模式中，企业可能同时作为多种角色；企业即使与合作方有关于责任划分的约定，也不必然免除企业对外承直播营销的合规义务通常包括但不限于以下几个方面1）内容审核和管理2）规范广告宣传3）保护消费者权益4）实名认证。其中，内容审核和管理尤为重要，可能对企业产生坚持正确政治方向、舆论导向、价值取向，构建良好产业生态，为广大网民特别是青少年营造积设定直播账户名称、使用的主播头像与直播间封面图应符合法律和国家有关规定，不得含有违法但是就实践而言，何为“违法及不良有害信息”，并非人人都自然拥有“判断”对于“正确政治方向”的审核，要求具有较为充分的背景知识。因此，从持续安全经营的角度，首先，应当规范直播互动时的用户行为。根据《相关规定，网络直播用户参与直播互动时，不得在直播间发布、传播违法违规信息；不得组织、煽动对网络主播或用户的攻击和谩骂；不得利用机器软件或组织“水军”发表负面评论和恶意除强化直播互动时的用户行为规范之外，直播间运幕等直播互动环节的实时管理，配备相应管理人员。根据《网络直播营销管理办法（试行）》第21条规定，直播间运营者、直播营销人员应当依据平台服务协议做好语音和视频连线、评论、弹从有关规定和实践角度来看，虽然网络平台可能配备了互动内容管理机制内容采取“后台屏蔽不予显示”等措施以进行实时管理。但是，面对海量、多变的互动信息，平台管理机制可能偶尔失灵，且内容管理义务也不局限于网络平台。如果互动内容管理失当，也会要求主播避免作出不良互动引导，对于违法违规互动信息及时采取恰当措施。同时，企业也应考直播营销行为可能同时构成商业广告，也可能不构成商业广告。判断其是否属于商业广告，适用《广告法》等法律法规规制，仍要参考具体的直播营销行为是否符合商业广告的特征，即通过一定媒介和形式、直接或者间接地介绍自己所推销的商品或者服务。根据《互联网广告管理办法》相关规定，直播营销构成商业广告的，商品销售者或者服务提供者、直播间运营者、直播营商品销售者或者服务通过互联网直播方式推销商品或者服接受委托提供广告设计、制作、代理、接受委托提供广告设计、制作、代理、以自己的名义或者形象对商品、服务作规范商品或服务营销范围。商品经营者通过网络直播销售商品或提供服务，应遵守相关法律法规，建立并执行商品进货检查验收制度。不得通过网络直播销售法律、法规规定禁止生产、销售的商品或服务；不得通过网络直播发布法律、法规规定禁止在大众传播媒介发布的商业广告；规范广告审查发布。在网络直播营销活动中发布法律、行政法规规定应进行发布前审查的广告，应严格遵守广告审查有关规定。未经审查不得发布医疗、药品、医疗器械、农药、兽药、保广告具有可识别性。直播间运营者或者直播营销人员在直播营销活动中始终显著标明其为直播营销商品经营者或者服务提供者；直播间运营者在直播页面或者其他位置显著标明或者提示直服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务；为年满十六周岁的未成年人提供网络直播发布者账号注册服务时，应当对其身份信息进行认证，并征得其父母或者其他监护人同意。此外，中央文明办等在《关于规范网络直播中尤其强调，对利用所谓“网红儿童”直播谋利的行为加强日常监管，发现违规账号从严采取处置答记者问中提到，对风险较高和可能影响未成年人身心健康的行为采取弹窗提示、显著标识、功播，聘请已满16周岁的未成年人担任主播的，应当征得其父母或者其他监护人同意；且应当尽），其次，对于参与互动的直播用户，根据《互联网直播服务管理规定》第十二条规定，应当进此外，根据《未成年人网络保护条例》第三十一条第二款规定，网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制。根据强制性标准GA1277.1—2020《互联网交互包括但不限于对用户真实身份信息进行有效核验；互联网交互式服务，指通过互联网为用户提供向社会公众发布信息以及基于信息交互提供的相关服务。显然，直播营销符合“互联网交互式服对于企业而言，就实名身份认证，通常有赖于合作的网络平台去完成。企业应当关注网络平台对实名认证的落实情况，并作出有关约定。如果是通过企业自身网站（APP）进行直播，那么在广告精准营销的场景下，通常会使用到用户数据收集、自动化决策等。随着广告监管力度不断加强，如何在做好营销的同时，又避免可能存在的法律风险，是新零售企业当下值得关注的广告归因通常用于确定一个广告在多个媒体曝光/点击并发生转化后效果的归属的一套逻辑或者规则。企业必须清楚了解自身常用渠道平台之间的数据差异问题，确保能够从多个角度看待数据，综合分析归因制定营销计划，才能推动成交易，用户如何与APP进行交互，以及这些行为和是把转化分配给消费者转换途径中的各个触点，通过了解消费者采取您希望的动作时该归功于哪实现广告归因，企业一般需要收集能够反映消费者行为特征的消费者行为信息（如浏览记录、页面点击记录）和能够识别到具体消费者的设备信息或手机号。其中，对于后者，我们通常也可告ID使用。在网页广告中，广告ID一般就是网站Cookie，网站开发者通过向用户的浏览器在移动设备上，通常会使用到设备识别码，例如IMEI、MEID、固定MAC地址、UDID、和应用商店的做法，企业越来越多仅通过可变设备标识符来用于广告投放、效果监测、转化度量、访客而言，是有权拒绝企业收集其设备信息、行为信息进行广告归因，并且不影响其正常使用APP的基本功能。因此，通常情况下我们会建议企业在隐私政策中对于收集设备信息、行为信息等进行披露，并且声明广告归因行为仅在统计、集合数据层面进行分析，用于评估广告投放效果新零售企业通常为了满足消费者基本交易功能，会收集消费者的支付、收件等信息。同时出于更好地引流、打磨用户画像等目的，往往会制定一套消费者会员体系，并基于此收集消费者的基本个人信息、消费偏好、行为信息等。在这一过程中，新零售企业应当注意，收集会员个人信型移动互联网应用程序必要个人信息范围规定》和市场监管总局《信息安全技术移动互联对于会员，除了网上购物基本功能，通常还会收集其其他基本个人信息（比如生日、所在城市、邮箱等）以便向会员提供生日福利、相关活动推送等。为了提升会员用户体验，APP会收集其行为信息（例如浏览记录、点击记录、加购记录等）为预测其消费偏好，进而为其呈现或推送保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。实践中，自动化决策的应用场景十分广泛，例如征信机构根据用户的消费及还款情况自动决定个人征信及贷款额度、根据高速行车超速情况自动出具罚单等。对于互联网平台、零售企业而言，自动化决策通常即“分析、评估”和“决策”，尽管实践中这两个环节有可能重叠为一个动作。有不少企业、学者认为《个人信息保护法》下的“自动化决策”必须是完全无人工干预。但事实上，目前为止《个人信息保护法》及其他相关规定、解读并未提供清晰说明。实践中，我们一般认为结合《个人信息保护法》第24条文义，可以看出自动化决策的核心是“决策”这一结果是自动化实施且已对用户形成了一定的影响。如果有人工干预，只要该干预不影响“自动化决策”的结果形成，则仍然应当构成“自动化决策”。化内容呈现的，应当提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式（即Opt-实践中，不少使用自动化决策进行商业营销的互联网平台企业和零售企业会在移动应用程序精准营销提供合法性基础，但从另外一个层面来看，Opt关于自动化决策的同意，不代表可以免去在设置中提供Opt-out的功能选项。事实上，对于国内用户同意，仍然可能被应用商店要求添加Opt-out选项功能，否则就面临被下架的风险。因此从新零售企业数据合新零售企业数据合)合规系列知识产权、数据合规、侵权责任等问题也根据《著作权法》第三条规定，作品是指“文学、艺术和科学领域内具有独创性并能以一定形式表现的智力成果。”从该定义看，可知，构成作品需要满足的要件为1）是文学、艺术和科学领域内的成果2）具有独创性3）属于可被他人客观感知的外在表达以及4）属于人类的智力成果。目前，关于AIGC能否构成作品的争议，近年法院