随着互联网经济和大数据技术的高速发展，相关产品和服务中存在的“大数据杀熟”等问题频繁出现，引发社会各界的高度关注。近期颁布的《中华人民共和国个人信息保护法》完善了个人信息处理规则，并对应用程序过度收集个人信息、“大数据杀熟”等问题作出有针对性的规范。本期专题将在《个人信息保护法》的视角下，对“大数据杀熟”的监管重点以及企业合规要点作出梳理分析。

一、“大数据杀熟”的定义与特征

（一）现象描述与定义

“大数据杀熟”是2018年的年度生活类流行语之一，泛指同样的商品或服务，呈现给老客户的价格反而比新客户贵出许多的现象。该现象最早可追溯到2000年的某互联网公司定价事件，有老用户发现删除浏览器cookie后商品价格降低近1/6。虽然该互联网公司称只是随机定价实验，但其也反映出企业可能希望有更多经营自主权。

（二）特征概括

关于大数据杀熟现象的产生原因，一种观点认为，企业为了获得更多的利润空间将用户进行分类，分为价格敏感型客户与非价格敏感型客户。针对不同类型的客户推送不同的价格以获取更多的利益。其实现方式就是企业根据海量的用户数据，形成涵盖消费能力、消费偏好、消费水平和消费意愿强烈程度的精准用户画像，根据该用户画像推送不同的商品价格。

一般来说，“大数据杀熟”的特征有以下几点：

1. 企业收集了有关用户的海量数据；
2. 企业根据用户的海量数据进行了特征分析，形成了精准的用户画像；
3. 企业根据精准的用户画像，使用算法进行自动化决策，向用户推送了相同商品或服务的不同价格。

二、“大数据杀熟”的违法性质分析

（一）用户画像构建中的不合规

企业在构建用户画像时，出于获客可能性最大化、精准营销的需求，必然会根据用户的隐私信息、交易历史、个体偏好、消费习惯等信息的不同，使用相关算法分析用户可能会下单的商品/服务，并向用户推送。　

（二）价格欺诈

根据《中华人民共和国价格法》第十四条第（四）款，价格欺诈是指“利用虚假的或者使人误解的价格手段，诱骗消费者或者其他经营者与其进行交易”的不正当价格行为。

相关案例：　

（三）价格歧视

从经济学角度分析，根据庇古（1920）的分类方法，价格歧视可分为一级、二级、三级价格歧视。其中，一级价格歧视是指厂商对每一单位产品都按照消费者所愿意支付的最高价格（又称“保留价格”）出售。在一级价格歧视下，垄断厂商获取全部的消费者剩余，且能够达到完全竞争厂商的均衡产量。从实践角度而言，要实现一级价格歧视，厂商需要知道每一个消费者保留价格，并向每个消费者规定不同的价格。从该等意义上来说，“大数据杀熟”即是通过分析预测每个消费者的最大消费意愿，实现一级价格歧视、企业利润最大化。而一级价格歧视是否一定意味着违法？　

一、《消费者权益保护法》

从消费者权益角度而言，大数据杀熟可因侵害消费者的知情权、选择权、公平交易权，而受到《消费者权益保护法》的规制。具体而言，企业利用大数据算法对同一产品进行差异定价模糊了产品的真实价值，损害了消费者根据产品或服务不同，获悉其定价模式的知情权，并进而可能侵害消费者基于产品差异做出挑选的选择权。此外，基于用户习惯，对交易条件相同的消费者采用不同收费策略也同样可能侵害消费者享有的公平交易的权利。

长期以来，《消费者权益保护法》是中国消费者面对“大数据杀熟”一类行为（尽管此前可能并没有这一明确术语）时寻求法律救济的主要途径。但是，由于此类行为存在一定的隐蔽性，因此案例数量相对较为有限，直到近期才成为一个热点，例如，北京消费者协会于2019年3月发布大数据杀熟榜。

二、《个人信息保护法》

将于2021年11月生效的《个人信息保护法》从保护个人信息权益角度对个人信息处理者利用大数据进行杀熟的行为予以了规制。

《个人信息保护法》区分了经营者利用个人信息进行的正当自动化决策和个性化营销，并对不正当的差别待遇行为进行了限制。根据《个人信息保护法》第24条第1款的规定，个人信息处理者可以利用个人信息进行自动化决策，开展个性化营销，但以保证决策过程公开透明，决策结果公平、公正为前提。对应地，《个人信息保护法》禁止个人信息处理者在交易条件（包括交易价格）上对个人实行不合理的差别待遇。“大数据杀熟”即属于此类行为。

为平衡个人在自动化决策和个性化营销中的被动地位，《个人信息保护法》第24条第2款和第3款进一步规定了个人对自动化决策享有知情权和拒绝权，企业需在提供产品和服务的同时保障个人的前述权利。具体而言，企业在依据自动化决策进行营销时，需同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。如若自动化决策对个人权利有重大影响，企业需配合个人知情要求，对处理情况予以说明。

因此，《个人信息保护法》并非绝对禁止企业利用用户画像进行差异化定价（例如对一些新客、不活跃客户提供更便宜价格或作出优惠补贴），而是强调该等技术的应用不应导致不公平的结果。但差异化的销售策略与侵害个人权益的“大数据杀熟”二者之间的界限究竟在哪里，则需要进一步探讨。

2021年8月27日，国家网信办就《互联网信息服务算法推荐管理规定（征求意见稿）》公开征求意见。该征求意见稿进一步明确了对自动决策和个性化营销的数据信息监管路径。

此外，《个人信息保护法》要求企业履行事前个人信息保护影响评估义务。为确实防范自动化决策对个人信息权益的不利影响，《个人信息保护法》通过第55条规定为企业引入事前评价风险机制设定义务。受该条款约束，企业在利用个人信息进行自动化决策之前应进行个人信息保护影响评估，并对处理结果记录。

三、《反垄断法》

如上文所述，大数据杀熟属于《反垄断法》第17条禁止的“差别待遇”行为。《反垄断法》第17条第6款规定，“禁止具有市场支配地位的经营者从事下列滥用市场支配地位的行为……没有正当理由，对条件相同的交易相对人在交易价格等交易条件上实行差别待遇”。

《关于平台经济领域的反垄断指南》进一步细化了“大数据杀熟”这一行为的认定要件，规定可以考虑“基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件”，并认定上述差异性交易条件主要考虑实质性差别。

在反垄断理论中，“大数据杀熟”被视为一种“一级价格歧视”。企业通过对熟客卖高价、对生客卖低价的方式，既可以利用价格优势迅速扩大用户群，又可以让老用户分担新客优惠的差价，维持企业利润收益。同时，利用低价吸引新用户，也增加了新的经营者进入相关市场的难度。而这一行为的隐蔽性和信息差，又使得消费者无法作出最符合经济效率的选择，损害消费者利益和社会公共利益。

但是，与其他滥用行为类似，在《反垄断法》下，要构成该项违法行为，需要按照以下步骤依次认定分析：首先，界定相关市场；其次，判断经营者在市场中是否具有市场支配地位；再次，认定滥用行为；最后，判断上述行为是否造成了排除、限制竞争的效果，或者是否存在正当理由。

在实践中，相关市场界定和市场支配地位的认定都需要大量的证据，以满足严格的证明标准，在互联网这一快速发展、不断创新的领域更是如此。并且，对于价格歧视和差别待遇行为的认定又涉及到成本和价格的比较、以及不同的用户和消费者是否处于同等条件等考量因素。因此，使用《反垄断法》规制“大数据杀熟”存在着明显的困难。

四、《反不正当竞争法》

从《反不正当竞争法》的角度，“大数据杀熟”行为除了违背总体的“自愿、平等、公平、诚信”原则，属于“扰乱市场竞争秩序，损害其他经营者或者消费者的合法权益的行为”之外，还可以通过“虚假或引人误解的商业宣传”和“利用技术手段，通过影响用户选择”加以规制。

此外，今年8月出台的《禁止网络不正当竞争行为规定（公开征求意见稿）》进一步明确禁止了通过算法进行不合理差别定价，扰乱市场公平交易秩序的行为。

与《反垄断法》相比，通过《反不正当竞争法》规制“大数据杀熟”，不需要进行相关市场界定和证明经营者存在市场支配地位。但是，《反不正当竞争法》的罚则有限，最高为300万人民币，因此威慑力不足。可以看出，针对“大数据杀熟”行为，《反垄断法》与《反不正当竞争法》规制之间，存在着较大的空白，这一空白可以由《个人信息保护法》和《价格法》的规制来填补。

五、《价格法》

如上文所述，由于“大数据杀熟”行为最重要的表现是收取不同的价格，其也受到《价格法》及其实施细则的规制。《价格法》第14条禁止经营者“利用虚假的或者使人误解的价格手段，诱骗消费者或者其他经营者与其进行交易”。

此外，今年7月，市场监督总局出台了《价格违法行为行政处罚规定（修订征求意见稿）》，其中第13条明确规定，对于包括“大数据杀熟”在内的新业态价格违法行为，应给予警告，并且可以处以上一年度销售总额1‰以上5‰以下的罚款，没收违法所得，情节严重的，可以责令停业整顿或吊销营业执照。

因此，《价格法》提供了一种执法难度和威慑力度处于《反垄断法》和《反不正当竞争法》之间的对“大数据杀熟”行为的规制方式。

一、违法情形

1. 用户个人信息的违法违规收集

《中华人民共和国民法典》等相关法律法规和国家标准明确了处理个人信息的合法、正当、必要原则，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》进一步明确了可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”行为的类型。在“大数据杀熟”的应用场景下，最常见的违法违规收集个人信息的情况包括：

（1）收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。例如，餐饮外卖类平台的基本功能服务是购买餐饮，所需要的必要信息包括注册用户移动电话号码或其他真实身份信息、收货人姓名、地址、联系电话及支付信息，但餐饮外卖类平台普遍会收集用户的消费频率、使用设备，事实上，这些个人信息对于餐饮外卖类平台而言，并非基于其现有业务功能所必要收集的信息范畴。

（2）收集个人信息的频度等超出业务功能实际需要。例如，旅游服务类平台通常存在被关闭后，未经用户同意又通过自启动或关联启动等方式频繁收集用户定位信息的情形，该收集个人信息的频度显然已超出业务功能实际需要，实属违法违规行为。

2. 用户个人信息的违法违规处理

国家市场监督管理总局、国家标准化管理委员会发布的GB/T 35273-2020《信息安全技术 个人信息安全规范》对个人信息使用的目的限制、用户画像的使用限制、基于不同业务目的所收集个人信息的汇聚融合、信息系统自动决策机制的使用以及第三方接入管理作出了限制性的规定。在“大数据杀熟”的应用场景下，最常见的违法违规处理个人信息的情况包括：

（1）超出与收集个人信息时所声称目的具有直接或合理关联的范围而使用个人信息。例如，网上购物类平台通常以添加手机联系人分享商品为由申请手机通讯录访问权限，但可能存在用户打开权限上传通讯录后，却被用于发送商业广告的目的。

（2）未经同意向他人提供个人信息。例如，平台在未经同意且未做匿名化处理的情况下，从客户端通过嵌入第三方代码、插件等方式向第三方提供个人信息。

（3）不当利用个人信息收集、汇聚融合和分析而形成的用户画像。例如，在用户画像的基础上，对消费频繁、粘性较高的用户减少优惠力度或显示更高的价格，显然违反了用户画像的使用不应侵害公民合法权益的相关规定。

二、《个人信息保护法》对“大数据杀熟”的影响

（一）“大数据杀熟”的司法困境

“大数据杀熟”问题虽然在社会各界反映强烈，但通过裁判文书网检索相关案件可以发现争议仍停步在舆论层面，目前公开的相关案件判决书加上《人民法院报》发布文章所涉案件，共计只有五例，详见：　

（二）《个人信息保护法》的破局

《个人信息保护法》的出台完善了我国在个人信息保护和数据安全领域的立法体系，并且在吸收完善现有法律法规的基础上，进一步对“大数据杀熟”所涉及的相关问题进行了规制，主要体现在：

1. 明确了个人信息处理的合法基础

《个人信息保护法》在第十三条列举了七项处理个人信息的法律基础，包括：取得个人的同意；订立、履行合同或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；履行法定职责或法定义务；应对突发公共卫生事件或紧急情况所必需；为公共利益实施新闻报道、舆论监督；合理范围内处理公开个人信息；及法律、行政法规规定的其他情形。

该条款对“大数据杀熟”问题背后所涉及的非法收集处理个人信息的情况将会起到一定的源头遏制作用。对互联网平台经营者而言，主要的个人信息处理合规基础即为授权同意、合同必需两种情形：在处理信息之前，平台经营者需要在事先充分告知的前提下，取得个人同意，或是审慎衡量是否为提供相关产品和服务所必需进行的处理。

2. 针对自动化决策提出明确要求

《个人信息保护法》第二十四条明确，个人信息处理者利用个人信息进行自动化决策的，应保证决策透明和结果公平、公正，不得对个人在价格等交易条件上实行不合理的差别待遇。此外，个人被赋予自主选择是否接受自动化决策的权利，即通过自动化决策方式向个人进行信息推送、商业营销的，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝的方式。通过自动化决策方式作出对个人权益有重大影响的决定的，个人有权要求个人信息处理者进行说明，并有权拒绝其仅仅通过自动化决策的方式作出决定。

“大数据杀熟”是自动化决策的应用场景之一，《个人信息保护法》对自动化决策进行的针对性规范，对利用“大数据杀熟”的牟利者会起到有效的约束和震慑作用。

一、政府“亮剑”遏止“大数据杀熟”

目前，监管机构应对“大数据杀熟”主要是从两方面入手，一方面是在互联网平台企业自查整改和执法调查的专项行为中，将“大数据杀熟”作为调查对象之一，进行督察；另一方面是从国家和地方层面，自上而下地完善“大数据杀熟”的法律法规，为执法提供可适用的依据，同时不断加强执法工作。

2021年4月13日，市场监管总局会同中央网信办、税务总局召开互联网平台企业行政指导会。会议指出平台经济发展中出现的风险和隐患，依法规范刻不容缓，点名指出必须严肃整治包括实施“大数据杀熟”在内的违法行为。

地方政府层面，各地政府也将“大数据杀熟”监管纳入其行政区划内的立法和执法计划。今年，广东省和重庆市市场监督总局、上海市人民政府和深圳市人民代表大会分别发布了工作指南或地方条例，将规制“大数据杀熟”现象作为重点的监管对象。其中，深圳市人民代表大会常务委员会发布《深圳经济特区数据条例》（将于2022年1月1日施行），对情节严重的数据杀熟行为，将处以最高五千万元的罚款。

除了制度层面，各地政府也在加强在互联网平台经济监管领域的执法能力。例如，浙江省在今年2月26日上线了全国首个平台经济数字化监管系统 “浙江公平在线”，对“二选一”、“大数据杀熟”、“低于成本价销售”、“纵向垄断协议”和“违法实施经营者集中”等5种垄断及不正当竞争行为进行靶向监管，并采取不同的数据抓取规则和识别模型。可见，无论是在规则还是执法层面，监管机构已经做好了规制“大数据杀熟”的准备。

二、个人诉讼和公益诉讼司法协同

与政府监管同步，司法机关正通过个案裁判参与“大数据杀熟”的协同治理，规范市场秩序。近日，浙江省绍兴市柯桥区法院做出“某出行服务公司大数据杀熟案”一审判决，该判决认定该公司对用户数据的采集和使用不当构成消费欺诈，并适用了三倍罚则。据悉该公司已向上一级法院上诉。作为我国“大数据杀熟”原告胜诉第一案，该案后续进展值得关注。

因“大数据杀熟”涉及侵害多重法益，司法救济路径存在多样性。例如，对于消费者，根据具体案情，可基于《民法典》、《个人信息保护法》（生效后）、《消费者权益保护法》提起民事侵权之诉、合同违约之诉，基于《反垄断法》提起滥用市场支配地位之诉等。

值得注意的是《个人信息保护法》第69条规定了个人信息处理者的侵权责任采用过错推定原则，在减轻原告举证责任的同时也为司法机关的自由裁量留下更大的空间，便于法官在个案审理中切实维护个人权益，为“大数据杀熟”纠纷设定司法红线。另外，“大数据杀熟”涉及损害消费者群体性利益，众多个人信息权益所聚集的公共利益，消费者组织和检察院可基于相关法律规定提起民事侵权公益诉讼，推进司法机关的协同治理。

一、关于运用自动化决策的合规要点

二、关于争议纠纷的解决建议

除了事前做好合规管理之外，事后的纠纷解决也需要重视，如果因“大数据杀熟”而面临纠纷，我们建议从以下方面着手应对：

首先，建议企业先行自查争议的差别待遇行为，对过错进行判断。一方面，需要审查差别待遇是否针对的是条件相同的用户，可从交易安全、交易成本、信用状况、交易环节、交易持续时间等方面是否存在实质性差别进行判断；另一方面，需要审查差别待遇是否具有正当理由，虽然《个人信息保护法》中未明确该事项，但可参考《关于平台经济领域的反垄断指南（征求意见稿）》的规定从是否根据交易相对人实际需求且符合正当的交易习惯和行业惯例实行不同交易条件、是否针对新用户的首次交易在合理期限内开展的优惠活动、是否基于平台公平、合理、无歧视的规则实施的随机性交易的角度论证行为的正当性。

其次，建议企业及时固定和留存相关证据。《个人信息保护法》规定了个人信息处理者的过错推定责任，适度强化了个人信息处理者的举证责任，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。因此，企业应当及时对事前评估报告、决策说明情况、个人信息处理的告知及已获取同意等相关证据采取固定、提取、留存等必要措施。

最后，建议企业树立合规风险应急意识。在事件或纠纷发生后能够积极采取措施进行整改或补救，并尽快寻求专业律师的法律协助，以维护自身的正当权益，防止损失的进一步扩大。

• 构建多层次的“大数据杀熟”规制体系 　[解石坡、段志超、鲁学振、付业斯、蒋海楠，汉坤律师事务所]
• 从个人信息保护法的视角简析“大数据杀熟”及企业合规要点 　[叶永尧、王思雅，环球律师事务所]
• “大数据杀熟”的违法性质与个人信息保护初探 　[王艺、于楚佳，北京植德律师事务所]