《中华人民共和国个人信息保护法》（下简称“《个保法》”）经过三次审议于2021年8月20日正式颁布，2021年11月1日起施行。在社会数字化转型过程中，《个保法》与《数据安全法》《网络安全法》《民法典》共同构建我国数据治理的法律框架，对公民个人、处理个人信息的境内外企业、机构、组织，乃至政府部门等都有重大影响，草案三次审议和修订都引起了社会各界的关注和讨论。
与一二版审议稿不同，《个保法》正式稿新增了民众关切的“大数据杀熟”“个人信息可携带权”等新规定，该等规定对于以数据及个人信息为核心生产要素的行业将产生直接影响。本文将主要针对《个保法》“大数据杀熟”条款进行探讨和分析。

一、正确认识“大数据杀熟”

此前，浙江胡女士诉携程“天价”酒店一案就引起舆论对“大数据杀熟”的谴责，这种现象在电子商务平台订机票、酒店和旅游服务等，也会经常发现，平台基于搜索频率、停留时长、消费习惯等对购买同一产品的不同用户给出不同的定价，网友纷纷感叹“懂我的伤我最深”？广大公众对《个保法》新增“大数据杀熟”条款的广泛讨论源于前述线上消费被“宰”的生活经验，媒体和公众纷纷对网络平台基于用户个人信息形成用户画像，并利用大数据、人工智能等技术针对不同用户进行自动化决策用于产品和服务的销售及推广持否定度，公众普遍认为法律应该对“大数据杀熟”予以规制。

对于公众的热议和关注，全国人大常委会法工委发言人臧铁伟也曾在记者会上指出“对相关产品和服务中存在的信息骚扰、‘大数据杀熟’等问题，《个保法》会有针对性的规范。”

对相关企业而言，舆论对“大数据杀熟”否定性评价让他们倍感压力，然而差异化定价是行业惯例，并不必然违法，利用特定算法针对不同消费者提供差异化产品和价格对消费者来说可避免不必要的交易成本，更有效率和价值，具有一定的商业合理性，亦是数据经济发展必然结果之一。

对此，笔者认为，不宜先入为主对所谓“大数据杀熟”问题作否定评价，而应该对什么是“大数据杀熟”？或者对“大数据杀熟”的本质有清晰认识的情况下进行理性判断。

“大数据杀熟”并非法律概念，从文义来看，“大数据杀熟”可拆分为“大数据+杀熟”来分析。这里的“大数据”并非指对大量个人信息进行技术处理，形成以容量大、类型多、存取速度快、应用价值高为主要特征且无法识别到特定个人的数据集合，而是基于特定用户个人信息、行为等数据，利用技术或算法分析特定用户的消费偏好、消费习惯、收入水平等情况并形成一定结果的自动化分析和决策技术。

而与“杀熟”最相关的解释是指应用前述“大数据”技术决策的结果是导致同一商品或服务以不同的价格销售给不同的消费者，消费者权益因此受损的情况。法律上表述为差别待遇，也有观点说，“大数据杀熟”本质属于价格欺诈。

笔者认为，基于复杂的交易条件和消费场景，很难准确判断利用前述大数据技术针对不同消费者设置不同交易价格就必然违法，更理性的判断需要针对特定消费场景结合法律规定来评价，不能仅从表象直接得出否定性结论。

分析焦点在于前述“杀熟”，对其否定评价更准确是指“利用算法技术将同一商品或服务以不同且明显不合理的价格销售给不同的消费者”，这种不合理的交易价格要明显偏离实时商品定价，即不合理差别待遇，并且该不合理差别待遇是在相同交易条件和场景下而作出，并考虑消费者权益损害情况，对市场竞争秩序有不利影响等因素。

二、法律对“大数据杀熟”规制现状

如前述，从法律角度分析“大数据杀熟”现象可以归结为平台企业与消费者之间，平台企业利用掌握消费者个人信息、行为数据等使用大数据技术或算法手段在为消费者提供商品或服务时存在差别对待情况，即“大数据杀熟”实际上指的是相同交易条件下实施差别待遇的法律问题，为此，我们梳理了《个保法》和我国现行法律法规对该等行为的规制情况，主要规定如下：

1.《个保法》第24条

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

2.《电子商务法》第18条

电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。

3.市场监督管理总局2021年7月2日发布《价格违法行为行政处罚规定 （修订征求意见稿）》第13条

【新业态中的价格违法行为】违反《价格法》第14条规定，有下列情形之一的，给予警告，可以并处上一年度销售总额1‰以上 5‰以下的罚款，有违法所得的，没收违法所得；情节严重的，责令停业整顿，或者吊销营业执照：（一）电子商务平台经营者利用大数据分析、算法等技术手段，根据消费者或者其他经营者的偏好、交易习惯等特征，基于成本或正当营销策略之外的因素，对同一商品或服务在同等交易条件下设置不同价格的。

4.市场监督管理总局8月17日发布《禁止网络不正当竞争行为规定（公开征求意见稿）》第21条

经营者不得利用数据、算法等技术手段，通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式，对交易条件相同的交易相对方不合理地提供不同的交易信息，侵害交易相对方的知情权、选择权、公平交易权等，扰乱市场公平交易秩序。交易信息包括交易历史、支付意愿、消费习惯、个体偏好、支付能力、依赖程度、信用状况等。

《国务院反垄断委员会关于平台经济领域的反垄断指南》《深圳经济特区数据条例》也有相关规定也可作为参考。

虽然上述法律法规各自有不同的侧重点，但本质内容是基本相同。我们认为，对于差别待遇认定，在交易条件相同，即消费者之间在交易安全、交易成本、信用状况、所处交易环节、交易持续时间等方面不存在实质性影响交易的差别情况下，平台企业依据大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件，或者实行差异性付款条件和交易方式，或者实行差异性标准、规则、算法都可以认定构成差别待遇。

三、《个保法》下企业的合规思路

虽然《个保法》《电子商务法》等并不禁止对消费者实施差别待遇，禁止的是不合理的差别待遇，然而何为合理差别待遇？《个保法》及相关法律并无明确界定，而实施差别待遇又是企业商业运营的常态，在《个保法》第24条对个人信息处理者使用自动化决策条件和结果有明确合规要求，《个保法》的实施将直接影响企业业务开展和日常运营。

对此，依据《个保法》第24条，结合其他法律法规及实践经验，笔者认为企业可从以下几个方面进行合规应对：

1.采取措施实现决策透明度

如前述，“大数据杀熟”以用户个人信息和数据为前提，笔者认为，基于用户个人信息进行自动化决策必须事前告知用户该自动化决策所涉及需要处理的个人信息类型和范围，并且取得用户明确同意，这是决策透明度的基础，也是数据来源和处理合规的前提。

在涉及差别待遇的决策结果下，决策透明度应结合具体业务场景适当考虑进一步解释差别待遇决策的基本原理、运行机制规则标准及特定的考量因素。

亦如前述，如何保证决策透明度并非没有明确的界定标准，这要求企业在现行法律框架和合理商业实践基础上尽可能采取措施说明自动化决策的透明度，同时要求企业把自动化决策全过程予以展示，客观上既不现实也不合理，同时可能也涉及企业知识产权和商业秘密等，因而对于决策透明度问题，实际交易中双方难免会存在争议，企业需要跟进立法细化规定及对执法实践的动态把握。

2.实现合理差别待遇与结果公平公正

《个保法》第24条禁止不合理的差别待遇，故而合理差别待遇不仅将不禁止，而且还具有一定积极效应。

在涉及差别待遇结果情况下，决策结果的公平公正实质与合理差别待遇指向是相同的，结合法律规定，企业在对同一商品或服务提供不同交易价格时，如果能够说明符合特定条件，即构成合理差别待遇，或者交易条件不同，不构成差别待遇。具体如下：

（1）根据交易相对人实际需求且符合正当的交易习惯和行业惯例，实行不同交易条件；例如，设置不同用户会员等级和相应等级的优惠方案。

（2）针对新用户在合理期限内开展的优惠活动，常见的新用户领券促销等。

（3）基于平台公平、合理、无歧视的规则进而实施的随机性交易；例如，通过发放和领取不同优惠券叠加可以获得不同的优惠。

（4）能够证明行为具有正当性的其他情形。

相反地，以下这种情况就不构成合理差别待遇：

（1）通过收集、分析交易相对方的交易信息，对交易条件相同的交易相对方不合理提供不同的交易信息；比如设置对一个月消费多少次以上的用户提高配送费。

（2）通过浏览内容及次数，对交易条件相同的交易相对方不合理提供不同的交易信息；比如因某用户短时间内频繁查看产品页面而提高价格。

（3）通过交易时使用的终端设备的品牌及价值等方式，对交易条件相同的交易相对方不合理提供不同的交易信息；比如针对苹果、安卓手机用户设置不同价格等。

总而言之，对合理差别待遇的认定目前大都停留在文本层面，但实践千奇百怪纷纷扰扰，落入实践如何认定，具体还要结合司法、执法的动态发展进行把握。

3.为用户提供拒绝或者投诉、结果复核的渠道

大数据、人工智能技术下特定算法应用于电子商务领域销售和推广，其目的本身是为了高效触达消费者，一定程度上提高了用户选择的效率，有利于资源合理分配，然而，在自动化决策营销或者推荐下，存在天然的信息不对称，消费者权益存在潜在威胁。在此情况下，《电子商务法》第18条和《个保法》第24条都规定了为用户提供不针对其个人特征的选项，《个保法》更是规定要求提供便捷的拒绝方式，在自动化决策明显涉及歧视性待遇等对用户权益有重大影响的情况下，用户还可以直接拒绝。

举重以明轻，如果企业在进行自动化决策的告知用户时一并提供拒绝方式，或在提供自动化决策结果时如果条件允许，提供非自动化决策选项，保障用户的选择权，则不会构成不合理的差别待遇，当然具体实操中对于以算法为主的商业机构如何去设置、展现这个非自动化选项，可能还需要观察立法与实践的进一步联动。此外，企业还可以考虑向用户提供针对自动化决策结果（差别待遇）的投诉渠道，为用户提供对自动化决策结果（差别待遇）的人工复核的渠道。

4.开展个人信息安全影响评估

针对自动化决策涉及的差别待遇场景，事先开展个人信息保护影响评估，可以作为实施差别待遇合理与否的参考。最新版《个人信息安全规范》对此也规定了至少每一年进行个人信息安全影响评估。另外，也建议定期对自动化决策所使用的数据源、算法等提供优化。

５.可使用间接用户画像

依据特定自然人以外的信息，如依据用户所在群体特征，而形成模型，并不需要个人同意，即所谓的间接用户画像，其所作的决策也并非针对特定个人，因而并不受《个保法》第24条的限制，在此基础上形成的差别待遇并无明确禁止。

四、结 语

《个保法》颁布开启了我国个人信息保护的新纪元。从《民法典》隐私和个人信息保护专章到《个保法》，我国个人信息保护的顶层制度框架已成形，对企业而言，虽然本文探讨的所谓“大数据杀熟”条款很多问题有待于立法细化和出台配套规定，但企业对产品和服务的提供方式需要尽快根据《个保法》进行调整，落实合规义务，实现更好发展。笔者后续将持续对《个保法》其它关键条款进行分析，欢迎大家继续关注。