禁止“大数据杀熟”：个人信息保护法规范“自动化决策”

本文作者

金耀，宁波大学法学院讲师，兼任互联网法治研究院（杭州）特聘研究员，浙江省法学会网络法治研究会理事，华东政法大学大数据政策法律中心研究员。

2021年8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）经第十三届全国人民代表大会常务委员会第三十次会议审议通过，并已于11月1日正式施行。该部法律系根据宪法制定，充分体现“以人民为中心”这一根本立场，把握个人信息权益保护的立法定位，聚焦个人信息保护领域的突出问题和人民群众的重大关切，规范个人信息处理活动，促进个人信息合理利用，是关于个人信息保护的基本法律。

本次立法亮点颇多，其中规范自动化决策，禁止“大数据杀熟”尤为突出。为帮助广大法律工作者及其他读者更好地理解与适用相关规定，本文将对《个人信息保护法》中的“自动化决策”相关规定进行解读。

一

关于自动化决策的理解

根据本法第73条第2项的规定，自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。对于自动化决策的理解，应当注意以下两个问题。

第一，坚持技术中立原则，避免过度妖魔化基于大数据分析技术的自动化决策。自动化决策是计算机程序（算法技术）识别、分析特定的消费者，并以此向其提供特定内容或附加不同交易条件。自动化决策的核心在于算法分析技术，这类技术本身并不违法，不能先入为主地认为自动化决策过程存在问题。相反，基于大数据分析的自动化决策在当今互联网经济中具有基础性和广泛性。

第二，决策不透明和结果不公平、不公正应作为自动化决策合法性判断标准。自动化决策合法性判断坚持了事前决策透明、事后结果公平公正的标准，但上述标准在实践中的具体判断将成为难点。首先，自动化决策透明性要求指的是对于算法决策的透明，或者指的是符合本法第17条规定的告知事项即可。从文义上看，本条要求的是算法决策的透明度，而非第17条规定的告知事项的透明度。因而，对透明度的理解宜包括自动化决策处理者告知最低限度的算法决策依据，但不包括可能构成商业秘密的算法核心技术。其次，自动化决策不得存在“大数据杀熟”等严重影响个人信息权益的结果，结果是否公平、公正应当由执法部门或司法机关在个案中进行具体判断。

二

关于自动化决策中的

“大数据杀熟”问题

“大数据杀熟”又被称为“价格歧视”，指的是个人信息处理者通过计算机程序分析消费者的个人信息并形成“用户画像”，利用算法对每个消费者的支付意愿与支付能力进行评估，就同一商品或服务向不同消费者设置不同价格的行为。“大数据杀熟”为本条新增条款，有效回应了社会各方面对于“用户画像”、算法推荐等新技术引发的问题的关注。

第一，条文适用的主体。根据《反垄断法》第17条第1款第6项的规定，禁止具有市场支配地位的经营者没有正当理由，对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。上述规范适用的对象限于具有市场支配地位的经营者，但是当前大量个人信息处理者从事“大数据杀熟”的行为未被有效禁止。根据本条规定，无论个人信息处理者是否具有市场支配地位，只要个人信息处理者利用个人信息进行自动化决策，对个人在交易价格等交易条件上实行不合理的差别待遇，就构成本条规范适用的主体。

第二，关于交易条件的理解。不合理的差别对待构成了“大数据杀熟”的判断依据，这种差别对待主要体现在交易价格上。从条款文义解释来看，交易条件不仅限于交易价格，其他如售后服务、维保义务等内容，也可能构成交易条件的内容。交易条件与交易信息也应当进行区别，参考《禁止网络不正当竞争行为规定（公开征求意见稿）》第21条第2款的规定，交易信息包括交易历史、支付意愿、消费习惯、个体偏好、支付能力、依赖程度、信用情况等。若经营者仅仅是向消费者展示不同的交易信息，不能直接认定为交易条件不同。

第三，关于不合理差别对待的理解。本条在适用过程中要区分合理的差别对待情形，即合理的差别定价并不被法律禁止。所谓合理的差别对待，如消费者在线下购买商品，不同的议价能力会导致最终成交价格不同。因而，本条要规范的是不合理的差别对待，这种差别对待主要表现为以交易价格为主的交易条件不同。因而，差别对待是否具有合理性就成为本条适用的难点。一般宜认为差别对待的形成是自动化决策的结果，主要表现为交易价格的不同，该差别对待就不具有合理性。但是如果一些差别对待如交易价格的不同，是基于商品促销、会员机制等形成的，而非自动化决策的后果，则不宜认定具有不合理性。

三

关于自动化决策中的

“用户画像”问题

以自动化决策向个人推送个性化广告、商业营销，也被称为“用户画像”，即通过分析个人信息以勾勒出特定消费者的偏好、购买意愿、购买能力等信息，并通过算法来推送个性化广告与商业营销。

第一，“用户画像”定性应坚持技术中立。“用户画像”目前成为广告经营者的重要收入来源，技术本身并不违法，法律要规制的是算法推荐中对于个人信息权益的侵害问题，如个人信息泄露、滥用等问题。

第二，提供不针对其个人特征的选项。经营者在算法推荐过程中，需要提供不针对个人特征的选项。《互联网信息服务算法推荐管理规定（征求意见稿）》第15条第2款明确，算法推荐服务提供者应当向用户提供选择、修改或者删除用于算法推荐服务的用户标签的功能。因而，在实践当中，算法推荐过程中要为个人提供非个性化广告推送的具体选项。区分个性化推荐广告与普通广告推送，尤其在推送效果接近的情形下，对执法机关与监管部门提出了更高的要求。

第三，向个人提供便捷的拒绝方式。“用户画像”或精准广告并非为每个消费者所接受，广告服务企业需要在自动化决策程序上设计个人可以便捷拒绝的方式。在企业合规上，广告服务企业必须自己证明完成和安排了此种设计，并且此种拒绝方式的实现应当是便捷的。

四

关于自动化决策中拒绝权问题

在自动化决策可能对个人产生重要影响的情形下，个人可以要求个人信息处理者进行说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。该条款内容可能参考了欧盟《通用数据保护条例》（GDPR）第22条，数据主体有权拒绝仅依靠自动化处理决策，包括“用户画像”对数据主体做出具有法律影响或类似严重影响的决策。在条文适用中要注意以下问题。

第一，关于“对个人信息权益有重大影响”的理解。目前并没有任何文件对此作出明确规定，从理论上来看，只有达到“可能侵害个人信息权益”的程度，才符合“重大影响”的认定。即个人自动化决策当中的拒绝权应当受到一定程度的限制，不宜将之等同为一般意义上的拒绝权。上述判断标准有待司法机关与实践经验的进一步总结。

第二，关于“个人有权要求个人信息处理者予以说明”的理解。通过自动化决策作出对个人权益有重要影响的决定，个人有权要求个人信息处理者予以说明。该规定可能参考了欧盟《通用数据保护条例》（GDPR）第22条规定的“算法解释权”，其被认为是算法透明原则的具体化体现。《互联网信息服务算法推荐管理规定（征求意见稿）》第15条第3款也规定，用户认为算法推荐服务提供者应用算法对其权益造成重大影响的，有权要求算法推荐服务提供者予以说明并采取相应改进或者补救措施。可以认为，个人有权要求处理者说明的主要是自动化决策作出决定的基本原理、目的意图、运行机制等。

第三，关于“仅通过自动化决策的方式作出决定”的理解。个人主体难以了解具体决定是否仅是自动化决策的结果，相应的举证责任应当由个人信息处理者承担。从条文规范目的看，应当由个人信息处理者证明具体决定并非完全依靠自动化决策，否则要承担举证不能的不利后果。个人信息处理者证明提供了本条第2款中的“不针对其个人特征的选项，或者向个人提供便捷的拒绝方式”，也就意味着个人已经有了拒绝自动化决策的方式，就不再适用本条第3款规定。拒绝自动化决策，具有严格的前置性条件，即该决定仅是通过自动化决策得出，而且会对个人信息权益产生重大影响，不宜泛化为第44条规定的一般性的拒绝处理个人信息的权利，其具体的权利行使方式与法律效果，有待司法审判和产业实践的进一步总结。

——本文节选自《中华人民共和国个人信息保护法条文解读与法律适用》（为阅读便利，隐去脚注）

法条链接

《中华人民共和国个人信息保护法》

第二十四条【自动化决策】

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

延伸阅读

内容简介

本书对2021年8月公布的《中华人民共和国个人信息保护法》进行了逐条解读，从条文制定背景、立法意义、如何理解适用、实践中需要注意的问题等方面进行了全方位解析。一是系统全面。从立法、司法等角度对起草背景、条文内容、实践中需关注的问题入手,充分释明《个人信息保护法》的立法要旨和创新亮点, 精准展现条文要义。二是理论和实践结合。既注重对法条涉及的法学理论、法律原理、国际立法惯例、国内主流观点等进行深度理论阐释, 通过比较研究等方法加深对条文的理解，也注重紧密结合执法司法实践探究《个人信息保护法》的具体适用。三是重点突出、详略得当。对《个人信息保护法》的一般性条文进行相对简要的阐述, 对立法过程中关注度高、争议较大, 或者涉及制度创新、理念更新的关键性条文进行深度阐释, 重点聚焦《个人信息保护法》的核心要义与关键问题, 积极回应社会关切。

期冀本书的出版, 能够帮助广大法律工作者及其他读者全面、系统地学习、理解与适用新法, 指导个人信息处理者合法合规开展处理活动, 指引个人依法维护自身信息权益。

作者简介

江必新，西南政法大学法学学士、法学硕士，北京大学法学博士。第十三届全国人民代表大会宪法和法律委员会副主任委员，兼任中国法学会副会长、中南大学教授等职务。荣获第二届全国十大杰出中青年法学家、首届当代中国法学名家等称号。

李占国，西南政法大学法学学士，中华人民共和国二级大法官。现任浙江省高级人民法院党组书记、院长。

目录

向上滑动阅览

第一章  总  则

本章概述

第一条【立法目的】

第二条【个人信息权益不受侵害】

第三条【适用范围】

第四条【术语定义】

第五条【个人信息处理的基本原则】

第六条【目的限定原则】

第七条【公开、透明原则】

第八条【个人信息质量保证】

第九条【个人信息处理者负责】

第十条【禁止非法处理】

第十一条【协同治理】

第十二条【国际交流与合作】

第二章  个人信息处理规则

本章概述

第一节  一般规定

第十三条【个人信息处理的合法性基础】

第十四条【有效的同意】

第十五条【同意的撤回】

第十六条【不得拒绝交易】

第十七条【个人信息处理告知规则】

第十八条【告知的例外】

第十九条【个人信息的保存期限】

第二十条【共同处理】

第二十一条【委托处理】

第二十二条【个人信息处理者变更】

第二十三条【向他人提供个人信息】

第二十四条【自动化决策】

第二十五条【公开个人信息的规则】

第二十六条【在公共场所安装图像采集、个人身份识别设备】

第二十七条【已公开信息的处理】

第二节  敏感个人信息的处理规则

第二十八条【敏感个人信息处理】

第二十九条【敏感信息处理的同意】

第三十条【敏感个人信息处理中的告知事项】

第三十一条【处理未成年人个人信息】

第三十二条【敏感个人信息处理的指引条款】

第三节  国家机关处理个人信息的特别规定

第三十三条【国家机关援引规定】

第三十四条【国家机关处理个人信息的限制】

第三十五条【国家机关的告知义务】

第三十六条【国家机关处理的个人信息应境内存储】

第三十七条【公共事务职能组织的适用规则】

第三章  个人信息跨境提供的规则

本章概述

第三十八条【向境外提供个人信息的条件】

第三十九条【向境外提供个人信息的“告知—同意”规则】

第四十条【特定主体向境外传输的安全评估】

第四十一条【向外国司法或执法机构提供】

第四十二条【限制或者禁止提供清单】

第四十三条【国际对等反制】

第四章  个人在个人信息处理活动中的权利

本章概述

第四十四条【个人信息处理知情权、决定权】

第四十五条【个人信息查阅、复制和转移权】

第四十六条【个人信息更正权】

第四十七条【个人信息删除权】

第四十八条【个人信息处理规则释明权】

第四十九条【死者的个人信息保护】

第五十条【个人行使权利的保障机制】

第五章  个人信息处理者的义务

本章概述

第五十一条【采取必要安全保护措施的义务】

第五十二条【个人信息保护负责人】

第五十三条【境内设立专门机构或指定代表】

第五十四条【合规审计义务】

第五十五条【个人信息保护影响评估】

第五十六条【影响评估的内容和保存期限】

第五十七条【安全事件补救及通知义务】

第五十八条【特定个人信息处理者的义务】

第五十九条【受托处理者义务】

第六章  履行个人信息保护职责的部门

本章概述

第六十条【行政监管体制】

第六十一条【个人信息保护主管部门的职责范围】

第六十二条【国家网信部门统筹协调职责】

第六十三条【监管部门的行政措施】

第六十四条【约谈与合规审计】

第六十五条【投诉、举报及处理】

第七章  法律责任

本章概述

第六十六条【违反本法的行政处罚】

第六十七条【失信公示】

第六十八条【国家机关及其工作人员的行政责任】

第六十九条【归责原则及损害赔偿】

第七十条【公益诉讼】

第七十一条【个人信息保护的行刑衔接】

第八章  附  则

本章概述

第七十二条【法律适用豁免与衔接】

第七十三条【术语含义】

第七十四条【施行日期】

附  录

中华人民共和国个人信息保护法

关于《中华人民共和国个人信息保护法（草案）》的说明

全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法（草案）》修改情况的汇报

全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法（草案）》审议结果的报告

全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法（草案三次审议稿）》修改意见的报告

直达链接

点击上方图片即可购买