2021年11月1日,大家期盼已久的《个人信息保护法》正式施行。这是继《民法典》《网络安全法》、《数据安全法》实施后,另一部保护公民个人信息的专门法律,它将进一步加强我国在个人数据信息方面的的保护,个人信息泄露、大数据杀熟、算法歧视等问题将得到纠正。最重要的是,在个人信息保护法的严格规定下,互联网企业们也要开始从用户隐私的角度重新思考他们的商业模式。《个人信息保护法》中对企业提出了建立个人信息保护合规体系的要求,似乎企业负担加重,但实际上企业按照《个人信息保护法》的要求来进行合规操作有诸多的价值。
在互联网大力发展的今天,新技术的发展和应用虽然给人们的生产生活带来了诸多便利,但是网络是一把“双刃剑”,人工智能、大数据等新兴技术的爆发式发展让产业得到了快速发展,但是过度的获取个人信息、大数据杀熟、算法歧视等现象,使得人们的个人信息以及其他敏感数据受到了较大的滥用威胁,同时也引发了一系列的社会问题,《个人信息保护法》首次对这些情况做出了规范。
“大数据杀熟”何时休?
“大数据杀熟”,也就是我们俗称的“看人下菜”、“价格歧视”,针对同样的产品或服务,经常使用该产品或服务的“熟客”却比新用户的价格更高;还有一种是通过大数据推算出对某产品有需求或者需求较大的客户,在个性化推送下的精准杀熟,也会抬高价格。相较于以往显而易见的差异化定价,如今消费者在下单时,会收到复杂算法临时生成的各类优惠券、价格组合,实际上,不同账号的价格差异其实比以前更大。这种情况在外卖餐饮、住宿、高铁机票、网约车等领域十分常见,如外卖软件同样的订单价格却价格不同、打车软件老客户使用相同路段显示的车费更高、住宿软件经常使用价格和第一次使用者同时段也会存在不同价格差、更有不同价格的手机下单结果就存在差异等等,而且消费者取证投诉还相当困难。
针对“大数据杀熟”现象,《个人信息保护法》第二十四条作出了明确规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”。
《个人信息保护法》要求,对于企业以商业目的,对用户进行画像、算法,应当在充分告知个人信息处理相关事项的前提下取得个人同意,或者提供一个替代方案。一旦算法决策对个人权益有重大影响,用户对此有权要求企业予以说明,并且有权拒绝。当个人拒绝,企业不得以此为由拒绝提供产品或者服务。
监管介入,互联网企业需要重新自查整改
在10月19日的国新办发布会上,工信部表示,截至9月末,工信部持续开展App专项整治工作。前三季度,累计通报1494款违规APP,下架408款拒不整改的APP。今年国庆前夕,工业和信息化部信息通信管理局组织各省通信管理局,持续推进APP侵害用户权益专项整治行动,加大常态化检查力度。重点对假日出行、民生服务类APP进行检测,并对未按要求完成整改的进行了公开通报。截至2021年10月15日,尚有96款APP未按时限要求完成整改。此外,检测发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多,分别占问题总量比例的37.4%、29.9%、8.0%。依据《网络安全法》等法律要求,相关部门组织对上述96款APP进行下架。
2021年11月1日,工信部发布通知提出相关互联网企业应建立个人信息保护“双清单”——“已收集个人信息清单”和“与第三方共享个人信息清单”,并在APP中展示以便用户查询。首批设立“双清单”的企业包括腾讯、阿里巴巴、美团、快手、拼多多等39家。
立法重罚,互联网企业不容忽视
在数据执法领域,强监管和严格的法律责任是一个监管趋势。个人信息保护》是有史以来最严格的数据安全保护法律之一。
《个人信息保护法》新设了“情节严重”的处罚标准,罚款的最高额度是五千万以下或者是上一年营业额5%的罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。新法通过选择采取设置高额罚款等严厉的事后处罚机制,倒逼企业实现对个人信息的全面保护。
2021年7月2日,国家市场监督管理总局发布的《价格违法行为行政处罚规定(修订征求意见稿)》提到,商家不得有价格歧视、哄抬价格、价格欺诈等行为,否则罚款最高可达到经营者上一年度销售额的10%,对电商平台则是处以上一年度总销售额的1%以上5%以下的罚款,若是“杀熟”情节严重的,甚至会被吊销营业执照。
2021年8月17日,国家市场监督管理总局公布《禁止网络不正当竞争行为规定(征求意见稿)》(下称《意见稿》),对网络虚假宣传、虚假交易、恶意不兼容、数据爬取、数据“杀熟”等行为,从反不正当竞争角度进行规制。
2021年10月29日,最高人民法院发布《关于加强新时代知识产权审判工作为知识产权强国建设提供有力司法服务和保障的意见》提出,要加强对平台企业垄断的司法规制,依法严惩平台强制“二选一”“大数据杀熟”等破坏公平竞争、扰乱市场秩序行为。
值得一提的是,过去个人权益假若受到侵害,想要维权面临的第一道难题就是没有专门的法律作为依据。《个人信息保护法》实施后,公民个人信息保护工作将变得有法可依。
“大数据杀熟”成功维权第一案,胡女士诉上海携程商务有限公司侵权纠纷一案
【案情简介】
胡女士是携程平台上享受8.5折优惠价的钻石贵宾客户。2020年7月,胡女士通过携程APP订购了舟山希尔顿酒店的一间豪华湖景大床房,支付价款2889元。当胡女士到酒店前台开具发票时,酒店工作人员却告诉她发票金额仅为1377.63元,而且这已经是挂牌房价加上服务费、税金的总价。胡女士不仅没有享受到星级客户应当享受的优惠,反而多支付了一倍的房价。胡女士与携程沟通,携程以其系平台方,并非涉案订单的合同相对方等为由,仅退还了部分差价。于是,胡女士以上海携程商务有限公司采集其个人非必要信息,进行大数据“杀熟”等为由诉至法院,要求“退一赔三”并要求携程旅行APP为其增加不同意《服务协议》和《隐私政策》时仍可继续使用的选项,以避免被告采集其个人信息,被告掌握原告数据对原告杀熟。
【法院审理】
柯桥法院审理后认为,携程APP作为中介平台对标的实际价值有如实报告义务,其未如实报告。携程向原告承诺钻石贵宾享有优惠价,然却无价格监管措施,向原告展现了一个溢价100%的失实价格,未践行承诺。
而且携程在处理原告投诉时告知原告携程无法退全部差价的理由,经调查也与事实不符,存在欺骗。故认定被告存在虚假宣传、价格欺诈和欺骗行为,支持原告退一赔三。
新下载携程APP后,用户必须点击同意携程《服务协议》、《隐私政策》方能使用携程APP,如不同意,将直接退出携程APP,正是以拒绝提供服务形成对用户的强制。而且,携程APP的《服务协议》、《隐私政策》均要求用户特别授权携程及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据,并允许携程及其关联公司、业务合作伙伴对用户信息进行数据分析、且对分析结果进一步商业利用。
携程APP的《隐私政策》还要求用户授权携程自动收集用户的个人信息,包括日志信息、设备信息、软件信息、位置信息,要求用户许可其使用用户信息进行营销活动、形成个性化推荐,同时要求用户同意携程将用户的订单数据进行分析,从而形成用户画像,以便携程能够了解用户偏好。
上述信息超越了形成订单必须的要素信息,属于非必要信息的采集和使用,其中用户信息分享给被告可随意界定的关联公司、业务合作伙伴进行进一步商业利用更是既无必要性,又无限加重用户个人信息使用风险。还存在一定客观情况使得原告疑虑被告大数据杀熟,原告因此不同意被告现有《服务协议》和《隐私政策》合乎情理,也应在常情下支持。
【法院判决】
浙江省绍兴市柯桥区人民法院开庭审理了胡女士诉上海携程商务有限公司侵权纠纷一案,并当庭宣判,判决被告上海携程商务有限公司赔偿原告胡女士投诉后携程未完全赔付的差价243.37元及订房差价1511.37元的三倍支付赔偿金共计4777.48元,且被告应在其运营的携程旅行APP中为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项,或者为原告修订携程旅行APP的“服务协议”和“隐私政策”,去除对用户非必要信息采集和使用的相关内容,修订版本需经法院审定同意。
【合规评析】
本案发生在《数据安全法》和《个人信息保护法》出台之前,但该案的发生已充分说明实践中,已经有很多个人信息被违法收集并未经用户或消费者同意便被滥用的情况。
日常生活中,我们用到的很多商业APP在用户下载使用之前,要求用户概括性地同意其《服务协议》和相关的《隐私政策》,这其中有部分条款是不必要的、损害用户利益的,但为了选择使用,用户只能选择同意授权。实际上网络服务的提供者就违反了《民法典》和《个人信息保护法》等相关法律法规对个人信息保护的相关规定。
APP“不全面授权就不能用”、“大数据杀熟”、个人信息收集任性等问题是当今社会人民群众关心、关注的问题。本案正是以司法判决形式对APP“不全面授权就不给用”说不,本案的判决就是要杜绝这种概括性地要求用户授权的行为,更好地保护公民个人信息。
“大数据杀熟”主要涉及两方面问题,一是数据方面的问题,二是算法方面的问题。数据方面的问题体现为个人信息的收集和利用是否合规,算法方面的问题则是算法体现的决策思路是否合规。
数据合规建议
1、企业收集个人信息时,要遵循《民法典》《网络安全法》《个人信息保护法》中的“合法、正当、必要”的原则。避免出现用户在注册时的“一揽子授权”以拒绝提供服务形成对用户的强制,落实《个人信息保护法》关于“拒绝对不同意或撤回非必需个人信息同意的个人提供产品或服务”的规定。企业必须遵循:合法正当和诚信原则;目的明确合理;最小化原则;公开透明原则;数据质量原则;问责制和安全性原则。
2、企业要避免将用户画像等个性特征用于定价的决策导致了“大数据杀熟”等侵犯个人信息的现象。同时要避免因算法的决策思路造成了虚假宣传和价格欺诈。
3、企业需要按照国家要求建立个人信息保护合规制度体系,并成立外部机构监督个人信息保护情况。互联网企业应建立个人信息保护“双清单”——“已收集个人信息清单”和“与第三方共享个人信息清单”,并在APP中展示以便用户查询。
4、当企业发生或可能发生数据泄露时,企业应立即采取补救措施,并通知监管机关和个人。
未来,数据合规将上升至企业的战略高度,甚至可以决定企业的生死存亡。“大数据杀熟”将受到来自立法、执法、司法各方更全面的规制,违规企业也将面临更严厉的处罚,企业对此需要重点关注。