指的是：通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。

在大数据和移动互联网年代，为分析用户的群体分布特征和多样化、个性化需求，绝大部分网络运营者和网络产品、服务提供者在业务活动中均会使用用户画像（user profiling）。

何为“用户画像”？在具备强制执行效力的、与数据收集和处理相关的法律法规中均未提及该概念，而国家标准《个人信息安全规范》。

将其定义为“通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。”

《个人信息安全规范》为推荐性国家标准，属于国家鼓励采用的标准，并不具有强制执行效力，监管部门不能直接援引该文件作为直接的执法依据。

但是，国家互联网信息办公室网络安全协调局在约谈“支付宝年度账单事件”当事企业负责人时，该局负责人明确指出。

支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神……应严格按照网络安全法的要求，加强对支付宝平台的全面排查。

进行专项整顿，切实采取有效措施，防止类似事件再次发生。可见，在事关全民个人信息安全的热点事件中。

习惯于扩张权力边界的行政部门将推荐性标准作为强制性标准适用一般并不会受到舆论以及肇事企业的质疑。

为此，杨春宝律师团队认为，在实践中，无论对执法机关还是企业而言，《个人信息安全规范》关于用户画像的规定都具有指引性和参照性作用。

《个人信息安全规范》的内容参考了外国关于个人信息保护的相关立法，其中也包括欧盟《通用数据保护条例》（GeneralData Protection Regulation，GDPR于2018年5月25日正式施行）。

GDPR不仅适用于欧盟企业，对于在欧盟内设有分支机构的数据控制者或数据处理者，只要个人数据处理活动发生在分支机构开展活动的场景中。

即使实际的数据处理活动不在欧盟内发生，也应适用GDPR；而对于未在欧盟内设立分支机构的数据控制者或数据处理者，只要为欧盟内的数据主体提供商品或服务（无论是否支付对价）。

或监控欧盟内数据主体的行为，均应适用GDPR。因此，对于在欧盟设有分支机构、开展跨境业务、进行全球化运营的中国企业，尤其是构成《网络安全法》下的网络运营者和网络产品。

服务提供者而言，均应关注是否可能适用GDPR，关注GDPR关于用户画像的规定。

杨春宝律师团队拟通过比较分析GDPR与《个人信息安全规范》关于用户画像的相关规定，以期为相关企业合规使用用户画像提供有益参考。