咨询热线:010-85199916

创新是引领发展的第一动力,保护知识产权就是保护创新。

——摘自习近平总书记在十九届中央政治局第二十五次集体学习时的讲话(2020年11月30日)

专业研究

法律咨询热线:010-85199916

大数据“杀熟”,从个人信息保护谈起

2021-09-24


3.jpg


大数据“杀熟”,是社会公众对互联网平台利用大数据和算法对用户进行“画像”分析,从而收取不同价格等行为的概括性说法。大数据“杀熟”现象在机票、酒店、旅游等在线服务平台普遍存在,表现为千人千价、个性化定制、定向推送等商业营销模式,本质上是电子商务经营者根据消费者的支付能力、消费偏好、使用习惯等特征对其进行“用户画像”,针对不同的消费群体,利用平台经营者和用户之间的信息不对称,从而做到差别定价,以实现平台利润的最大化。新颁布《个人信息保护法》的一大亮点,便是从个人信息保护的角度,对大数据“杀熟”现象作出相应规定,进一步梳理相关法律法规,可以发现我国法律针对这一现象,分别从消费者、电子商务经营者的角度,从行为具体表现、法律责任承担、及依法合规经营等层面作出相应规制。


一、对于消费者来讲,主要涉及个人信息保护和消费者权益保护。


(一)公民个人——个人信息保护


《民法典》第四编人格权设专章对个人信息保护作出规定,第一千零三十五条:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。并且应明示处理信息的目的、方式和范围。”个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。新颁布《个人信息保护法》具体规定了处理个人信息应遵循的原则和方式:处理个人信息应当遵循合法、正当、必要和诚信,以及公开、透明的原则;具有明确、合理的目的,收集和处理限于实现处理目的的最小范围、采取对个人权益影响最小的方式;禁止非法处理;保证个人信息的质量;采取必要措施保障所处理的个人信息的安全。并且规定了公民对其信息享有的权利:个人对其个人信息的处理享有知情权、决定权、有权限制或拒绝他人对其个人信息进行处理、有权查阅、复制其个人信息,有权请求更正、补充、删除其个人信息、有权要求个人信息处理者对其个人信息处理规则进行解释说明等。并进一步规定个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,拒绝个人行使权利的请求的,个人还可以依法向人民法院提起诉讼。


互联网平台通过收集、分析、评估数据形成用户画像,进而进行大数据“杀熟”,明显超出了《民法典》、《个人信息保护法》规定的处理个人信息的方式和范围。《个人信息保护法》第二十四条针对大数据“杀熟”现象具体规定:“个人信息处理者利用个人信息进行‘自动化决策’(通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动),应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”并进一步要求个人信息处理者在利用个人信息进行自动化决策前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估包含:1.个人信息的处理目的、处理方式等是否合法、正当、必要;2.对个人权益的影响及安全风险;3.所采取的保护措施是否合法、有效并与风险程度相适应。并且个人信息保护影响评估报告和处理情况记录应当至少保存三年。


这与欧盟GDPR(通用数据保护条例)的规定大体一致,在全国信息安全标准化技术委员会发布的技术文件《网络安全实践指南—欧盟GDPR关注点》中:GDPR规定,在数据主体明确同意、欧盟或者成员国法律的明确授权、履行合同所必需的情形下可以使用用户画像。同时还提出,在征得数据主体同意时,应对画像相关数据来源、算法原理及相应影响等予以充分告知,并赋予数据主体反对权、删除权、更正权和限制处理权等权利。并且,数据控制者在进行数据处理之前,基于数据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时,应实施DPIA(数据保护影响评估)。


《消费者权益保护法》规定“消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》也同时规定“App开发运营者基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益。”将于2022年1月1日实施的《深圳经济特区数据条例》还进一步规定:“数据处理者对自然人进行用户画像的,应当向其明示用户画像的具体用途和主要规则。并且数据处理者应当以易获取的方式向其提供拒绝的有效途径。”


(二)消费者——消费者权益保护


《消费者权益保护法》规定消费者享有知情权(消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利)、自主选择权(消费者享有自主选择商品或者服务的权利)、公平交易权(消费者在购买商品或者接受服务时,有权获得质量保障、价格合理、计量正确等公平交易条件,有权拒绝经营者的强制交易行为)。当互联网平台经营者实施价格歧视行为时,消费者的上述权益均无法得到保障。《消费者权益保护法》、《侵害消费者权益行为处罚办法》还针对大数据“杀熟”明确规定“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”《电子商务法》第十八条规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”《个人信息保护法》也规定了“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”即电子商务经营者通过自动化决策方式向个人进行信息推送、商业营销或搜索结果时,应分别提供针对用户个人特征和不针对其个人特征的两种商品或服务选项供消费者进行选择,或者提供便捷的拒绝方式。


综上,在《个人信息保护法》施行后,电子商务经营者者通过“自动化决策”方式向用户(消费者)进行信息推送、商业营销,或提供商品或者服务的搜索结果时:1.需取得消费者的同意,并且该同意须由消费者在充分知情的前提下自愿、明确作出;2.在处理个人信息前,须以显著方式、清晰易懂的语言真实、准确、完整地向消费者告知相关事项,如果是通过制定个人信息处理规则的方式告知的,处理规则应公开且便于公民查阅和保存;3.须事前进行个人信息保护影响评估;4.个人信息的保存期限应当为实现处理目的所必要的最短时间;5.须同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式;6.不得以消费者不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务(处理个人信息属于提供产品或者服务所必需的除外);7.应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。


二、对于电子商务经营者来讲,主要涉及不正当价格行为与滥用市场支配地位。


电子商务经营者通过收集和分析用户相关数据,可以更好的了解用户的参与度和偏好,有利于为消费者提供更具有针对性和优质的商品或服务,更优质的商品或服务会吸引更多的用户加入平台从而产生更多的数据,而更多的数据又助于平台进一步提供更优质的商品或服务。这种现象又被称为“飞轮效应”,“飞轮效应”源于亚马逊的运营策略,指的是公司的几个业务模块可以像齿轮一样互相咬合,a模块的增长可以赋能b模块,b模块的增长又能赋能c模块,而c模块的增长最终又能赋能a模块,这样几个模块相互赋能,最终推动整个公司的发展。这种效应将可能导致用户、第三方服务提供商或平台内经营者对平台愈发依赖,进而导致平台市场集中度越来越高,最终形成垄断地位。


实践中,市场份额多寡会直接影响到大数据“杀熟”实现的可行性。存在激烈市场竞争的情况下,除了平台间存在垄断协议的情形下,普通电子商务经营者很难大范围实施大数据“杀熟”。只有在市场中存在具有垄断地位的平台经营者的情况下,这种现象才会广泛存在。


(一)电子商务经营者——不正当价格行为(价格歧视)


对于经营者实施的价格歧视行为,我国法律早有规定。实施多年的《价格法》第十四条“经营者不正当价格行为”包括:“提供相同商品或者服务,对具有同等交易条件的其他经营者实行价格歧视。”只不过,这里受损害的主要是“其他经营者”。针对电子商务经营者的特殊性,《电子商务法》、《深圳经济特区数据条例》等均作出了相应规定,并且,重庆市印发的《重庆市网络社区团购合规经营指南》第二十二条进一步针对广受关注的网络社区团购经营者实施的价格歧视行为规定:“社区团购经营者应当依法、合理利用通过平台收集的各种信息和数据,不得利用数据优势,无正当理由对交易条件相同的交易相对人实施差别待遇,损害消费者合法权益。” 市场监督管理总局近期公布的《禁止网络不正当竞争行为规定(公开征求意见稿)》第二十一条对大数据“杀熟”现象作出回应:“经营者不得利用数据、算法等技术手段,通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式,对交易条件相同的交易相对方不合理地提供不同的交易信息,侵害交易相对方的知情权、选择权、公平交易权等,扰乱市场公平交易秩序。” 


上述法律法规主要规制不具有市场支配地位的电子商务经营者、或者具备一定的市场势力的电子商务经营者实施的,但由于平台经济领域新业态、新模式等特征,暂时难以通过《反垄断法》进行调整的“价格歧视”行为。


(二)垄断平台经济经营者——滥用市场支配地位(差别待遇)


《反垄断法》禁止具有市场支配地位的经营者没有正当理由,对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称《指南》)明确大数据“杀熟”可能构成滥用市场支配地位差别待遇行为:1.《指南》明确了构成差别待遇可以考虑的因素,其中包括平台经济领域经营者基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件。2.关于认定交易相对人是否“条件相同”,《指南》特别规定,平台在交易中获取的交易相对人的隐私信息、交易历史、个体偏好、消费习惯等方面存在的差异不影响认定交易相对人条件相同。3.《指南》还规定了根据交易相对人实际需求且符合正当的交易习惯和行业惯例,实行不同交易条件;针对新用户在合理期限内开展的优惠活动;基于平台公平、合理、无歧视的规则实施的随机性交易等正当理由。


今年以来,针对平台经济领域经营者要求商家“二选一”、大数据杀熟、未依法申报实施经营者集中等涉嫌垄断问题,市场监管总局、广东省、吉林省等多地开展互联网平台企业行政指导会,指导平台经济领域经营者依法合规经营,促进平台经济规范有序创新健康发展。滴滴、美团、携程等多家互联网企业公布《依法合规经营承诺书》。其内容主要集中在:保证不干涉平台内经营者的自主选择权,不实施“二选一”、大数据“杀熟”、搭售、低于成本销售等滥用市场支配地位的行为;加强消费者权益保护,保障消费者知情权、自主选择权和公平交易权等权利;不非法收集和滥用个人信息,严格按照法律法规要求保护个人隐私。


《个人信息保护法》第五十八条针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了下列义务:1.按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;2.遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;3.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;4.定期发布个人信息保护社会责任报告,接受社会监督。


三、法律责任


(一)行政责任


对于违法处理个人信息,或者处理个人信息未履行个人信息保护义务的行为,《个人信息保护法》规定“由相关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上相关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”《消费者权益保护法》规定:“经营者侵害消费者个人信息依法得到保护的权利,依照法律、法规承担相应的行政责任;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照;并且除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。”


对于电子商务经营者实施的价格歧视行为,《电子商务法》规定:“由市场监督管理部门责令限期改正,没收违法所得,可以并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。”《价格违法行为行政处罚规定(修订征求意见稿)》规定:“电子商务经营者利用大数据分析、算法等技术手段,根据消费者或者其他经营者的偏好、交易习惯等特征,基于成本或正当营销策略之外的因素,对同一商品或服务在同等交易条件下设置不同价格的。给予警告,可以并处上一年度销售总额1‰以上5‰以下的罚款,有违法所得的,没收违法所得;情节严重的,责令停业整顿,或者吊销营业执照。”《深圳经济特区数据条例》规定:“违反本条例关于‘差别待遇’规定的,侵害其他市场主体、消费者合法权益的,由市市场监督管理部门或者相关行业主管部门按照职责责令改正,没收违法所得;拒不改正的,处五万元以上五十万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最高不超过五千万元;并可以依法给予法律、行政法规规定的其他行政处罚。法律、行政法规另有规定的,从其规定。”


由《电子商务法》“最高五十万元的限额罚款”到《价格违法行为行政处罚规定(修订征求意见稿)》“上一年度销售总额1‰以上5‰以下的罚款”,再到《深圳经济特区数据条例》“处上一年度营业额百分之五以下罚款,最高不超过五千万元”。罚款数额越来越高,可见对违法实施“价格歧视”的电子商务经营者的处罚越来越重。另外,《反垄断法》对具有支配地位的电子商务经营者滥用市场支配地位实施的“差别待遇”行为,规定由反垄断执法机构责令停止违法行为,没收违法所得,并处上一年度销售额百分之一以上百分之十以下的罚款。


(二)民事责任


以往因大数据“杀熟”遭遇差别待遇而提起的民事诉讼中,当事人均依据《消费者权益保护法》主张大数据“杀熟”侵犯了其知情权、自主选择权和公平交易权等合法权利。《消费者权益保护法》规定了消费者在购买、使用商品和接受服务时对经营者享有的权利,并且规定经营者侵害消费者个人信息依法得到保护的权利的,应当承担停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失等民事责任。


《消费者权益保护法》还明确规定了网络交易平台提供者的责任:“消费者通过网络交易平台购买商品或者接受服务,其合法权益受到损害的,可以向销售者或者服务者要求赔偿。网络交易平台提供者不能提供销售者或者服务者的真实名称、地址和有效联系方式的,消费者也可以向网络交易平台提供者要求赔偿;网络交易平台提供者作出更有利于消费者的承诺的,应当履行承诺。网络交易平台提供者赔偿后,有权向销售者或者服务者追偿。网络交易平台提供者明知或者应知销售者或者服务者利用其平台侵害消费者合法权益,未采取必要措施的,依法与该销售者或者服务者承担连带责任。”《反垄断法》也规定“经营者实施垄断行为,给他人造成损失的,依法承担民事责任。”


当事人还可以依据《民法典》、《个人信息保护法》的规定提起侵权诉讼。根据《个人信息保护法》,对于侵害个人信息权益造成损害的行为适用过错推定责任原则,即“个人信息处理者不能证明自己没有过错的,才应当承担损害赔偿等侵权责任。”但在相关案例中,在其他交易条件均相同的情况下,法院认为购买时间段不同(就外卖配送业务来说:白天和夜晚、高峰期和普通时段),存在合理价格变动属正常现象,以此认定被告无过错,不需要承担侵权责任,这便是司法实践中很难认定大数据“杀熟”的原因。就损害赔偿责任来说,按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。


在浙江省绍兴市柯桥区人民法院审理的胡女士诉上海携程商务有限公司(以下简称“携程”)侵权纠纷一案中,胡女士以“携程”采集其个人非必要信息,进行大数据“杀熟”等为由提起诉讼,要求“退一赔三”并为其增加不同意《服务协议》和《隐私政策》时仍可继续使用的选项,以避免被告采集其个人信息并进行“杀熟”。


就大数据“杀熟”来说,“携程”认为这种情况是因为消费者的会员等级不同,或是酒店参与了不同的活动而导致的。法院认为,大数据“杀熟”很难确证,因此建议不在本案中进行确证,而就本案存在的损害事实,原告可以追责。法庭经审理认为,“携程”作为中介平台未如实报告标的的实际价值,未向用户践行优惠价格承诺,根据《消费者权益保护法》认定被告“携程”存在虚假宣传和欺诈行为,进而支持了原告“退一赔三”的诉讼请求。


就“采集其个人非必要信息”来说,法院认为,“携程”的“隐私政策”要求用户授权其自动收集用户的个人信息,进行营销活动、形成个性化推荐,并对订单数据进行分析,从而形成用户画像,以便能够了解用户偏好。上述信息超越了形成订单必须的要素信息,属于非必要信息的采集和使用,既加重了用户个人信息使用的风险,还使得原告有理由怀疑遭到大数据“杀熟”。因此法院判决:“携程”应在其运营的携程旅行APP中为原告增加不同意其现有《服务协议》和《隐私政策》仍可继续使用的选项,或者为原告修订携程旅行APP的《服务协议》和《隐私政策》,删除对用户非必要信息采集和使用的相关内容,修订版本需经法院审定同意。


虽是一审判决,“携程”保留提起上诉的权利,但本案依然有一定的参考价值:1.虽然实践中大数据“杀熟”很难确证(交易条件相同难以认定),但只要确实存在损害事实,原告便可以向被告追责。2.实践层面阐述了“个人数据的采集应遵循最小必要原则”:限于实现处理目的的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。3.数据处理者不得以自然人不同意处理个人数据为由,拒绝向其提供相关核心功能或者服务(该个人数据为提供相关核心功能或者服务所必需的除外);或者为用户修订《服务协议》和《隐私政策》等相关服务条款。




(本文为原创文章,作者为王俊林律师、孔繁琳律师助理。欢迎转载,转发请注明出处,侵权必究)

分享到:

返回列表