.png)
.png)
.png)
.png)
作者:数据合规业务委员会
· 前言
通常所说的“大数据杀熟”,一般是指互联网服务平台商家利用大数据技术,通过算法分析处理收集到的用户信息并做出数据画像,对价格不敏感者特别是熟客施行同物不同价的“价格歧视”政策,以此实现自身利益最大化。
2021年7月13日,公众号“人民法院报”发布了题为《大数据杀熟,携程被判退一赔三!》【1】的文章,介绍了由浙江省绍兴市柯桥区人民法院就胡女士诉上海携程商务有限公司(下称“携程公司”)侵权纠纷一案所作的一审判决【2】。
一石激起千层浪,几天时间内该篇文章浏览量就达到了“10万+”,可见天下苦“大数据杀熟”久矣。虽然携程公司始终坚持认为其在案涉服务中“不存在虚假宣传及欺诈行为”并保留上诉权利,但依既有事实判断,法律仍会给出公允的判决。我们细究该案,所谓“大数据杀熟”更多只是“标题党”,法院判决的落点更多集中在“大数据杀熟”中的数据,系对互联网企业强制用户同意“隐私政策”、用户画像、共享用户信息等行为的认定与干预。因此,从个人信息保护视角看待这一判决,也许会更有价值。
· 评析
实务中,差别定价并不必然等于“大数据杀熟”,核心还是在于是否通过算法基于不同的用户画像实行价格歧视。实践中,由于能够证明算法价格歧视的关键数据都在互联网企业掌控之下,消费者取证极为困难,起诉“大数据杀熟”往往难以胜诉。
上述“携程”案中,对于携程是否存在“大数据杀熟”或价格歧视行为,法院并未予以认定,而是认为携程存在虚假宣传、价格欺诈和欺骗行为,进而根据《中华人民共和国消费者权益保护法》第五十五条“经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的三倍”,判决携程公司承担退一赔三的法律责任。
尽管如此,我们认为,“大数据杀熟”或价格歧视的核心问题仍然是数据的不当使用。现阶段,我国对不当收集、处理用户个人信息行为的规制主要依靠刑事和行政手段。
《刑法》专门设立了“侵犯公民个人信息罪”【3】,来对侵犯个人信息的行为予以规制。(详见之前推送从“滴滴事件”看数据安全的刑事风险)
早在去年,行政监管部门对互联网企业的监管大幕就已拉开。尤其是今年以来,工信部已多次发布通报,下架存在违法违规行为且未完成整改的APP,天涯社区、途牛旅游、脉脉等知名APP赫然在列,足见行政监管力度之大。
回顾近期热点事件,国家互联网信息办公室于2021年7月4日发出《关于下架“滴滴出行”App的通报》,直指“滴滴出行”App存在严重违法违规收集使用个人信息问题,引发社会关注。根据网信办、工信部、公安部、市场监管总局于2019年11月28日发布的《App违法违规收集使用个人信息行为认定方法》,监管部门明确了“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”、“未公布投诉、举报方式等信息”等行为的认定方法。结合近两年监管部门对规范App运营的系列执法行动,行政监管部门对App的整治重点已逐渐向“个人信息违法违规收集”方向倾斜。
2021年3月12日,网信办、工信部、公安部、市场监管总局四部门发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了常见的39类App收集必要信息的范围。按照该规定,携程公司作为基本功能服务为“酒店预订”的酒店服务类APP,必要个人信息仅包括:1.注册用户移动电话号码;2.住宿人姓名和联系方式、入住和退房时间、入住酒店名称。本案中,法院认定携程APP收集的日志信息、设备信息、软件信息、位置信息属于非必要信息这一结论很可能参考了该规定。
至于民事领域,虽然《民法典》第1035条已规定了“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”,但区别于刑事司法机关和行政机关的主动查处、打击的特征,民事诉讼遵循“不告不理”的原则,相关的民事案件数量较少。仅有的个别案例,法院也只调整个案中用户与互联网企业的法律关系。比如郭兵与杭州野生动物世界有限公司服务合同纠纷一案【4】,虽然一审法院认为被告杭州野生动物园收集原告及其妻子的人脸识别信息超出了必要原则的要求,不具有正当性,但在判决主文中也仅要求被告删除原告办理指纹年卡时提交的包括照片在内的面部特征信息,未要求被告删除其他用户的面部特征信息。
而本案中,法院不仅在事实认定部分对携程APP“服务协议”、“隐私政策”中要求用户特别授权携程公司及其可随意界定的关联公司、业务合作伙伴共享用户信息并进行商业利用等条款直接作出了违反法律的认定,更是在判决主文中直接要求携程公司作出整改,包括为胡女士增加不同意“用户协议”、“隐私政策”亦可使用APP的选项,或删去“服务协议”和“隐私政策”中对用户非必要信息采集和使用的相关内容,并要求修改后的“服务协议”和“隐私政策”版本需要经法院审定。
——《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
2021年7月28日,最高人民法院发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确将“未征得单独同意或未依法征得书面同意便处理人脸信息”、“违反明示或双方约定的处理人脸信息的目的、方式、范围”等行为定性为“侵害自然人人格权益”。《人脸识别司法解释》虽只及于人脸信息,但我们认为,其中包含的规则与理念对于从司法角度规制“大数据杀熟”中滥用用户画像的行为仍具有一定的参考价值。
当信息处理者以“提升用户体验”等目的为由,收集用户画像所需的各类个人信息,实则用于“大数据杀熟”、谋取更高额的利润,那么参考《人脸识别司法解释》,这显然就违背了用户同意的个人信息处理目的、方式,构成对人格权益的侵害。
如果信息处理者擅自变更信息处理目的、方式的行为难以取证,用户个人也可以从征求同意的方式入手。参考《人脸识别司法解释》,如果仅将授权进行用户画像的内容写在用户协议、隐私政策中,而不是征求用户的单独同意,仍然可能构成对人格权益的侵害。
另外,《人脸识别司法解释》第四条明确,与其他授权捆绑要求用户同意、要求用户同意处理非必要的人脸信息才提供产品或服务以及其他强迫或变相强迫用户同意的行为都不能作为信息处理者的抗辩理由,这与本案判决对于携程APP强迫用户同意的认定意见不谋而合。
随着相关司法规则的逐渐细化和完善,从个人信息保护角度切入、发起民事诉讼,有望成为规制“大数据杀熟”的有效手段。
· 结语
本案的柯桥法院判决携程公司为原告或增设允许不同意“服务协议”、“隐私政策”仍可使用App的选项,或去除对用户非必要信息采集和使用的相关内容,但结合法律规定与实践情况,这两项措施可能未必恰当。
1、APP有关不同意“服务协议”、“隐私政策”便不可使用软件的设置具有一定的合理性,且并不为现行法律所禁止,理由如下:一方面,“服务协议”、“隐私政策”中必然有合理、合法且必要的条款需要用户遵守,如果用户不同意这些合理规定,APP便不允许其使用软件,合情合理;另一方面,根据《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》(GB/T 35273-2020),法律也仅仅是要求APP不得以用户不同意收集非必要信息为由拒绝用户使用,并未禁止APP以用户不同意必要信息为由拒绝用户使用。
2、法律并未对通过收集用户信息的方式对用户进行画像并进行个性化推送的行为一概予以禁止。《电子商务法》和目前尚在二审稿阶段的《个人信息保护法》均规定,在满足公平、平等以及提供非个性化推荐的选项等要求的情况下,个性化推荐是可以使用的,并不是一刀切的禁止个性化推荐。
本案中法院给出的“整改措施”看似合情合理,但也不乏与现行法律、监管要求存在出入之处,想必这一点将会成为二审时的争论焦点。
· 注释
【1】人民法院报公众号(微信号:renminfayuanbao)2021年7月26日文章《大数据杀熟,携程被判退一赔三!》。
【2】根据中国庭审公开网信息显示,该案案号为(2021)浙0603民初790号,且已于2021年7月7日当庭宣判。但因该案目前处于一审判决阶段,故判决书目前尚未在网上公开。庭审直播回顾详见:
http://tingshen.court.gov.cn/live/21339944。
【3】《中华人民共和国刑法》第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
【4】案号:(2019)浙0111民初6971号;该案二审已宣判,案号为(2020)浙01民终10940号。
