指的是：通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。

在大數(shù)據(jù)和移動互聯(lián)網(wǎng)年代，為分析用戶的群體分布特征和多樣化、個性化需求，絕大部分網(wǎng)絡運營者和網(wǎng)絡產(chǎn)品、服務提供者在業(yè)務活動中均會使用用戶畫像（user ）。

何為“用戶畫像”？在具備強制執(zhí)行效力的、與數(shù)據(jù)收集和處理相關的法律法規(guī)中均未提及該概念，而國家標準《個人信息安全規(guī)范》。

將其定義為“通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。”

《個人信息安全規(guī)范》為推薦性國家標準，屬于國家鼓勵采用的標準，并不具有強制執(zhí)行效力，監(jiān)管部門不能直接援引該文件作為直接的執(zhí)法依據(jù)。

但是，國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡安全協(xié)調(diào)局在約談“支付寶年度賬單事件”當事企業(yè)負責人時，該局負責人明確指出。

支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發(fā)布的《個人信息安全規(guī)范》國家標準的精神……應嚴格按照網(wǎng)絡安全法的要求，加強對支付寶平臺的全面排查。

進行專項整頓，切實采取有效措施，防止類似事件再次發(fā)生。可見，在事關全民個人信息安全的熱點事件中。

習慣于擴張權(quán)力邊界的行政部門將推薦性標準作為強制性標準適用一般并不會受到輿論以及肇事企業(yè)的質(zhì)疑。

為此，楊春寶律師團隊認為，在實踐中，無論對執(zhí)法機關還是企業(yè)而言，《個人信息安全規(guī)范》關于用戶畫像的規(guī)定都具有指引性和參照性作用。

《個人信息安全規(guī)范》的內(nèi)容參考了外國關于個人信息保護的相關立法，其中也包括歐盟《通用數(shù)據(jù)保護條例》（ ，GDPR于2018年5月25日正式施行）。

GDPR不僅適用于歐盟企業(yè)，對于在歐盟內(nèi)設有分支機構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要個人數(shù)據(jù)處理活動發(fā)生在分支機構(gòu)開展活動的場景中。

即使實際的數(shù)據(jù)處理活動不在歐盟內(nèi)發(fā)生，也應適用GDPR；而對于未在歐盟內(nèi)設立分支機構(gòu)的數(shù)據(jù)控制者或數(shù)據(jù)處理者，只要為歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務（無論是否支付對價）。

或監(jiān)控歐盟內(nèi)數(shù)據(jù)主體的行為，均應適用GDPR。因此，對于在歐盟設有分支機構(gòu)、開展跨境業(yè)務、進行全球化運營的中國企業(yè)，尤其是構(gòu)成《網(wǎng)絡安全法》下的網(wǎng)絡運營者和網(wǎng)絡產(chǎn)品。

服務提供者而言，均應關注是否可能適用GDPR，關注GDPR關于用戶畫像的規(guī)定。

楊春寶律師團隊擬通過比較分析GDPR與《個人信息安全規(guī)范》關于用戶畫像的相關規(guī)定，以期為相關企業(yè)合規(guī)使用用戶畫像提供有益參考。