梁恒奕（貴州警察學(xué)院，貴州 貴陽(yáng) 550005）

差異定價(jià)，常指“企業(yè)并非出于供給成本的考慮而針對(duì)同一或相似商品、服務(wù)的不同消費(fèi)者收取不同的費(fèi)用”[1]583?！按髷?shù)據(jù)”一般具有數(shù)量大、種類(lèi)多以及信息收集處理高效的特征。[2]差異定價(jià)因消費(fèi)偏好與認(rèn)知錯(cuò)誤而得以實(shí)現(xiàn)，大數(shù)據(jù)算法又使得差異定價(jià)更為精準(zhǔn)。[3]218大數(shù)據(jù)基礎(chǔ)之上的差異定價(jià)有利于提高企業(yè)利潤(rùn)、提升市場(chǎng)經(jīng)濟(jì)運(yùn)行效率，[1]582[3]221但也帶來(lái)了消費(fèi)者知情權(quán)、個(gè)人信息權(quán)益被損害等問(wèn)題。差異定價(jià)行為利弊兼具，因此絕對(duì)禁止這一行為并不可取，但企業(yè)不當(dāng)?shù)臄?shù)據(jù)采集、使用行為也必須予以規(guī)制。換言之，在消費(fèi)者自我救濟(jì)能力有限的情況下，國(guó)家法律需要做的，是在企業(yè)營(yíng)業(yè)自由權(quán)與消費(fèi)者知情權(quán)、個(gè)人信息權(quán)益之間作出一個(gè)平衡。

從消費(fèi)者個(gè)人信息保護(hù)的角度來(lái)思考如何規(guī)制差異定價(jià)行為，具有邏輯上的合理性，這一研究路徑，也是在對(duì)比其他法律領(lǐng)域后作出的選擇。就反壟斷領(lǐng)域而言，企業(yè)的差異定價(jià)行為如果僅損害消費(fèi)者權(quán)益，卻并未對(duì)市場(chǎng)的公平競(jìng)爭(zhēng)秩序造成損害，那么該行為將難以受到反壟斷法規(guī)制；并且，大多數(shù)學(xué)者探討反壟斷領(lǐng)域的差異定價(jià)時(shí)，[4]都以企業(yè)具有市場(chǎng)支配地位為前提，對(duì)于不具市場(chǎng)支配地位的企業(yè)，反壟斷法的適用可能存在局限性。消費(fèi)者權(quán)益保護(hù)法規(guī)制差異定價(jià)的著眼點(diǎn)，在于對(duì)消費(fèi)者“知情權(quán)”的保護(hù)，而在大數(shù)據(jù)背景之下，對(duì)個(gè)人信息權(quán)益和數(shù)據(jù)安全的保護(hù)，又成為了“知情權(quán)”保護(hù)的核心要義。濫用個(gè)人信息侵害個(gè)人信息權(quán)益的行為，在侵權(quán)法領(lǐng)域，只能通過(guò)一般侵權(quán)責(zé)任加以歸責(zé)，但因消費(fèi)者舉證能力弱等問(wèn)題，通過(guò)侵權(quán)法規(guī)制企業(yè)的個(gè)人信息使用行為便很困難。實(shí)際上，大數(shù)據(jù)差異定價(jià)，就是企業(yè)通過(guò)收集消費(fèi)者的交易記錄、瀏覽記錄、消費(fèi)記錄等個(gè)人信息，并通過(guò)大數(shù)據(jù)比對(duì)分析，判斷消費(fèi)者對(duì)產(chǎn)品的需求程度，在預(yù)測(cè)消費(fèi)者保留價(jià)格的基礎(chǔ)上，針對(duì)不同消費(fèi)者制定不同價(jià)格。也正因如此，在個(gè)人信息保護(hù)領(lǐng)域探討如何規(guī)制差異定價(jià)行為，具有明顯的合理性。

一、個(gè)人信息保護(hù)下規(guī)制差異定價(jià)行為

個(gè)人信息保護(hù)，傳統(tǒng)上以“知情同意”這一“君子協(xié)議”為核心，我國(guó)的個(gè)人信息保護(hù)制度亦是如此。①《中華人民共和國(guó)個(gè)人信息保護(hù)法》第14 條第1 款：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書(shū)面同意的，從其規(guī)定”?！爸橥狻币馕吨髽I(yè)在收集、使用消費(fèi)者個(gè)人信息前，需將收集信息的范圍、方式及信息收集后的使用方法告知消費(fèi)者，并獲得消費(fèi)者的同意。但如今，對(duì)知情同意原則的質(zhì)疑在于，消費(fèi)者實(shí)際上無(wú)法在隱私條款繁多、控制能力有限的情況下實(shí)現(xiàn)“知情”，企業(yè)也無(wú)法在隱私協(xié)議中精準(zhǔn)劃定“知情同意”的范圍。那么，規(guī)制大數(shù)據(jù)差異定價(jià)行為，是否還應(yīng)適用知情同意原則？

在規(guī)定“知情同意”的同時(shí)，《個(gè)保法》第13 條列舉了六種不需取得個(gè)人同意的情形。②主要指《中華人民共和國(guó)個(gè)人信息保護(hù)法》第13 條所列舉的：“（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需；（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；（七）法律、行政法規(guī)規(guī)定的其他情形?！睙o(wú)需取得個(gè)人同意的例外情形，實(shí)際上限縮了“知情同意”的適用范圍。[5]如果說(shuō)我國(guó)《網(wǎng)絡(luò)安全法》僅將“知情同意”作為信息處理者獲取、使用個(gè)人信息的唯一合法依據(jù)，并將這一依據(jù)推向極端化，[6]80那《個(gè)保法》無(wú)疑在“同意”之外，為數(shù)據(jù)信息的收集使用提供了其他法律背書(shū)。然而，在消費(fèi)者并未明確作出同意時(shí)，企業(yè)想要在《個(gè)保法》第13 條中尋找信息收集處理的合法性依據(jù)，似乎存在困難。第13 條第1 款第2 項(xiàng)至第7 項(xiàng)規(guī)定的情形中，制定勞動(dòng)規(guī)章、履行法定義務(wù)、應(yīng)對(duì)緊急情況、出于公共利益考慮的新聞報(bào)道、處理已公開(kāi)個(gè)人信息，都與大數(shù)據(jù)差異定價(jià)關(guān)系不大。而“為合同履行所必要”時(shí)不需信息主體同意，在于雙方合意達(dá)成的協(xié)議，是雙方意思表示一致的結(jié)果，因而無(wú)需再度取得信息主體的同意。[6]81在大數(shù)據(jù)差異定價(jià)的語(yǔ)境下，企業(yè)與消費(fèi)者簽訂隱私協(xié)議，并以此作為信息收集處理的合法性依據(jù)，實(shí)際上只是“知情同意”原則的一種具體形態(tài)，本身不是消費(fèi)者未明確同意時(shí)，可作為行為正當(dāng)性基礎(chǔ)的法律依據(jù)。此外，兜底條款雖能應(yīng)對(duì)新出現(xiàn)的各種情況，但缺乏足夠的指引力。鑒于此，在“知情同意”之外，應(yīng)當(dāng)如何判斷企業(yè)大數(shù)據(jù)差異定價(jià)行為的合法性？

從國(guó)外立法看，以美國(guó)《個(gè)人隱私權(quán)利法案（草案）》（Consumer Privacy Bill of Rights Act of 2015，CPBA，簡(jiǎn)稱(chēng)《隱私法案》）為代表，很多國(guó)家的立法都將目光投向了數(shù)據(jù)使用階段，強(qiáng)化數(shù)據(jù)使用過(guò)程中的責(zé)任。通過(guò)比較研究，立足《個(gè)保法》的規(guī)定，參考《隱私法案》的具體制度設(shè)計(jì)，本文將探討如何完善《個(gè)保法》規(guī)制大數(shù)據(jù)差異定價(jià)行為的路徑。

二、《隱私法案》：場(chǎng)景判斷的引入

美國(guó)實(shí)踐中并未將個(gè)人信息作為一種獨(dú)立的法律權(quán)利客體加以保護(hù)，而是將個(gè)人信息納入隱私權(quán)的概念范圍，獨(dú)創(chuàng)性設(shè)置信息隱私這一隱私權(quán)新分支。在應(yīng)用大數(shù)據(jù)與算法技術(shù)的場(chǎng)景中，相關(guān)主體越發(fā)依賴(lài)個(gè)人信息的收集、處理、利用以及傳輸，這使得隱私保護(hù)與信息處理規(guī)制在美國(guó)成為一項(xiàng)重要且被廣泛討論的問(wèn)題。[7]為解決相關(guān)主體數(shù)據(jù)處理行為帶來(lái)的隱私風(fēng)險(xiǎn)，以及平衡各方主體利益的需要，美國(guó)白宮在《隱私與創(chuàng)新綠皮書(shū)》《互聯(lián)網(wǎng)經(jīng)濟(jì)中的商業(yè)信息隱私與創(chuàng)新：一個(gè)動(dòng)態(tài)政策框架》[8]以及《網(wǎng)絡(luò)環(huán)境下個(gè)人信息的隱私保護(hù)——在全球數(shù)字經(jīng)濟(jì)背景下保護(hù)隱私和促進(jìn)創(chuàng)新的政策框架》①The White House,“Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy”,2012-02-23,http://www.white-house.gov/sites/default/files/privacy-final.基礎(chǔ)上，于2015 年發(fā)布《隱私法案》，探求順應(yīng)時(shí)代發(fā)展的新制度架構(gòu)?？傮w來(lái)看，在保留“知情同意”的同時(shí)，《隱私法案》引入“場(chǎng)景判斷”規(guī)則，為“同意”之外的數(shù)據(jù)收集使用行為，提供了合法性判斷標(biāo)準(zhǔn)。

（一）透明度與用戶(hù)控制

《隱私法案》對(duì)透明度的規(guī)定是對(duì)“公平信用實(shí)踐法則”的貫徹與延續(xù)，將權(quán)利主體的知情同意作為信息處理的合法性基礎(chǔ)。[6]71-72其第101 條明確透明度的“合理性”標(biāo)準(zhǔn)，強(qiáng)化企業(yè)的告知義務(wù)，指出處理個(gè)人信息的企業(yè)應(yīng)當(dāng)向消費(fèi)者提供清晰準(zhǔn)確、簡(jiǎn)明易懂的通知，告知其處理數(shù)據(jù)的目的、類(lèi)別、銷(xiāo)毀時(shí)間、消費(fèi)者權(quán)利等內(nèi)容，保障消費(fèi)者的知情權(quán)。②A(yíng)dministration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.101.（a）In General.—Each covered entity shall provide individuals in concise and easily understandable language,accurate,clear,timely,and conspicuous notice about the covered entity’s privacy and security practices.Such notice shall be reasonable in light of context.Covered entities shall provide convenient and reasonable access to such notice,and any updates or modifications to such notice,to individuals about whom it processes personal data.

同時(shí)，《隱私法案》第102 條指出，企業(yè)應(yīng)當(dāng)在合理的時(shí)間向消費(fèi)者提供合理的方式，保障其能夠?qū)崿F(xiàn)對(duì)個(gè)人信息的自我控制，并以列舉的方式明確消費(fèi)者享有包括但不限于知情、撤回授權(quán)同意以及請(qǐng)求刪除信息等權(quán)利，突出強(qiáng)調(diào)消費(fèi)者“隱私偏好”③Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.102.Individual Control（a）In General.—Each covered entity shall provide individuals with reasonable means to control the processing of personal data about them in proportion to the privacy risk to the individual and consistent with context.。因此，消費(fèi)者可以根據(jù)《隱私法案》的規(guī)定要求企業(yè)刪除其消費(fèi)記錄或?yàn)g覽記錄，禁止企業(yè)利用該信息對(duì)其實(shí)施不正當(dāng)?shù)牟町惗▋r(jià)行為。

為落實(shí)用戶(hù)控制，《隱私法案》要求企業(yè)應(yīng)當(dāng)為用戶(hù)控制權(quán)的實(shí)現(xiàn)提供便利，該便利條件包括向消費(fèi)者提供其收集、使用或者公開(kāi)個(gè)人信息的規(guī)模、范圍以及敏感度，并在適當(dāng)時(shí)間和地點(diǎn)以適當(dāng)方式為消費(fèi)者提供清楚簡(jiǎn)明的選擇機(jī)制。[9]其中，選擇機(jī)制作為一項(xiàng)特殊制度，對(duì)消費(fèi)者個(gè)人信息的控制具有重要影響。根據(jù)《隱私法案》第103 條規(guī)定：“個(gè)人信息處理行為產(chǎn)生不合理的隱私風(fēng)險(xiǎn)時(shí)，企業(yè)應(yīng)當(dāng)為消費(fèi)者提供控制或選擇機(jī)制，目的在于建立一種信息處理事前征詢(xún)制度，以消費(fèi)者的理性選擇來(lái)決定企業(yè)能否后續(xù)利用信息，防止不透明的信息畫(huà)像行為給消費(fèi)者帶來(lái)的不合理差別定價(jià)等隱私風(fēng)險(xiǎn)。”④Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.103（b）（1）Heightened Transparency and Individual Control.—Covered entities shall provide individuals with notice regarding personal data practices that are not reasonable in light of context at times and in a manner reasonably designed to enable individuals to decide whether to reduce their exposure to the associated privacy risk,as well as a mechanism for control that is reasonably designed to permit individuals to exercise choice to reduce such privacy risk.The factors relevant to determining whether such notice and mechanism for control are reasonably designed shall include,but are not limited to.

（二）場(chǎng)景判斷

目的限定原則是各國(guó)信息保護(hù)立法的基本原則，要求個(gè)人信息的收集需具備特定合理的目的，且后續(xù)利用及傳播不得違背此目的。但在大數(shù)據(jù)時(shí)代，個(gè)人信息的利用場(chǎng)景紛繁復(fù)雜，往往超出相關(guān)主體的預(yù)期目的以及立法所能洞見(jiàn)的范圍。因此，采取以結(jié)果為導(dǎo)向的動(dòng)態(tài)界定思路成為美國(guó)信息隱私保護(hù)立法的重要趨勢(shì)。以結(jié)果為導(dǎo)向的動(dòng)態(tài)界定思路，實(shí)質(zhì)上是情境脈絡(luò)完整性理論的實(shí)踐轉(zhuǎn)化，即考察“個(gè)人信息在相關(guān)情境中是否合理流動(dòng)”，[10]判別信息處理利用的最終結(jié)果是否符合消費(fèi)者的“合理期待”，排斥單純依靠先前收集處理信息時(shí)持有的原始目的作為判定行為合法性依據(jù)。《隱私法案》在規(guī)則設(shè)計(jì)時(shí)遵循這一思路，以動(dòng)態(tài)綜合的具體場(chǎng)景判斷取代目的限定分析，考察相關(guān)主體后續(xù)處理與利用信息行為是否超出原有授權(quán)目的的語(yǔ)境，在企業(yè)信息收集處理規(guī)制的合理程度，與行為所處環(huán)境之間建立了緊密聯(lián)系。

《隱私法案》首先在定義條款明確界定場(chǎng)景的主要因素，包括消費(fèi)者與企業(yè)之間關(guān)系的緊密程度、符合商業(yè)習(xí)慣或符合消費(fèi)者預(yù)期的個(gè)人數(shù)據(jù)處理、企業(yè)控制的消費(fèi)者個(gè)人數(shù)據(jù)的披露和模糊程度等。[11]其次，《隱私法案》指出相關(guān)主體“只能通過(guò)相應(yīng)場(chǎng)景中合理的手段收集、留存及利用個(gè)人信息”，以“在相應(yīng)場(chǎng)景中合理”的標(biāo)準(zhǔn)作為個(gè)人信息處理行為的合法性授權(quán)，界定了合理使用的動(dòng)態(tài)邊界。①Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.104.（a）:In General.—Each covered entity may only collect,retain,and use personal data in a manner that is reasonable in light of context.A covered entity shall consider ways to minimize privacy risk when determining its personal data collection,retention,and use practices.同時(shí)《隱私法案》還規(guī)定，當(dāng)企業(yè)信息處理行為于特定場(chǎng)景中不合理，但能夠?yàn)橄M(fèi)者提供增強(qiáng)控制機(jī)制以及降低風(fēng)險(xiǎn)的選擇機(jī)制，只要消費(fèi)者不反對(duì)，可構(gòu)成合理使用。②A(yíng)dministration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.102.（d）Exceptions.—A covered entity shall not be subject to the requirements of subsection（a）,subsection（c）,or a requirement to provide heightened individual control under section 103（b）（1）of this Act,to the extent that the collection,creation,processing,retention,use,or disclosure of personal data is for purposes set forth in the enumerated exceptions.Sec.103.（a）In General.—If a covered entity processes personal data in a manner that is reasonable in light of context,this section does not apply.Personal data processing that fulfills an individual’s request shall be presumed to be reasonable in light of contextSec.103.（b）Privacy Risk Management.—If a covered entity processes personal data in a manner that is not reasonable in light of context,the covered entity shall conduct a privacy risk analysis including,but not limited to,reviews of data sources,systems,information flows,partnering entities,and data and analysis uses to examine the potential for privacy risk.Covered entities shall take reasonable steps to mitigate any identified privacy risks,which shall include,but are not limited to,providing heightened transparency and individual control.Sec.104.（c）Nothing in this section shall be construed to prohibit a covered entity from collecting,creating,processing,retaining,using,or disclosing personal data for—（1）Purposes set forth in the enumerated exceptions；（2）Processing personal data if the covered entity provides heightened transparency and individual control in a manner that satisfies the requirements of section 103（b）of this Act；or（3）Performing an analysis under the supervision of a Privacy Review Board pursuant to section 103（c）of this Act.《隱私法案》的規(guī)定意味著，當(dāng)企業(yè)的信息處理行為在相應(yīng)場(chǎng)景中合理或不合理時(shí)都能夠提供增強(qiáng)用戶(hù)控制個(gè)人信息的措施，可無(wú)需經(jīng)消費(fèi)者的同意或滿(mǎn)足其他條件，自動(dòng)獲得合法性授權(quán)。

場(chǎng)景理念的置入對(duì)企業(yè)利用數(shù)據(jù)進(jìn)行差異定價(jià)的規(guī)制具有重要意義。作為一種商業(yè)策略，差異定價(jià)只要符合正常價(jià)格波動(dòng)曲線(xiàn)，就是企業(yè)追求利潤(rùn)的一種合理定價(jià)方式。[12]因此，對(duì)于企業(yè)利用大數(shù)據(jù)技術(shù)實(shí)施差異定價(jià)行為是否造成隱私風(fēng)險(xiǎn)，構(gòu)成對(duì)消費(fèi)者合法權(quán)益的減損，需要進(jìn)入特定場(chǎng)景予以具體判斷。只要企業(yè)定價(jià)的最終結(jié)果符合公平標(biāo)準(zhǔn)，便不構(gòu)成個(gè)人信息的濫用。而對(duì)于企業(yè)采取大數(shù)據(jù)殺熟式的極端差異定價(jià)行為，因不符合場(chǎng)景理念下消費(fèi)者的隱私合理期待以及非歧視要求，構(gòu)成對(duì)消費(fèi)者信息隱私權(quán)的侵害，受到《隱私法案》的嚴(yán)格禁止。

可見(jiàn)，《隱私法案》設(shè)置了較為彈性的信息處理行為的合法性、合理性論證框架，只要相關(guān)主體能夠證明信息處理行為在相應(yīng)場(chǎng)景中具有合理性，就構(gòu)成信息的合理使用，大幅擴(kuò)展了信息處理的合法事由?！峨[私法案》場(chǎng)景理念的置入，以及將以結(jié)果為導(dǎo)向的合理期待作為信息利用行為合理性論證的重要依據(jù)，擺脫以前端靜態(tài)的消費(fèi)者同意作為主要合法事由的僵化架構(gòu)，彌補(bǔ)傳統(tǒng)法律架構(gòu)中“全有或全無(wú)”二元對(duì)立評(píng)判方式的弊端。在這種立法思路下，企業(yè)可以將僵化的合規(guī)轉(zhuǎn)化為靈活的風(fēng)險(xiǎn)管理，無(wú)需處處防備，將合規(guī)精力重點(diǎn)放在經(jīng)營(yíng)活動(dòng)中可能出現(xiàn)的不合理個(gè)人信息處理行為上，極大提升信息保護(hù)的有效性和實(shí)效性，降低企業(yè)合規(guī)負(fù)擔(dān)，實(shí)現(xiàn)個(gè)人信息權(quán)益保護(hù)和信息商業(yè)價(jià)值開(kāi)發(fā)的妥協(xié)與平衡。

場(chǎng)景理念的置入作為《隱私法案》的重要?jiǎng)?chuàng)新點(diǎn)，在發(fā)揮作用的同時(shí)，也存在局限性。一是《隱私法案》盡管詳細(xì)列舉了場(chǎng)景構(gòu)成要素，但可能考慮到場(chǎng)景往往由諸多隱秘關(guān)聯(lián)且多元復(fù)雜的要素有機(jī)構(gòu)成，其合理性判斷存在艱巨性。因此《隱私法案》采取有意的立法模糊，將合理性判斷交于司法官員或行政官員進(jìn)行自由裁量，未作出細(xì)致規(guī)定和施加方向性引導(dǎo)。這就導(dǎo)致法律在適用過(guò)程中可能存在極大的不確定性，并過(guò)分依賴(lài)于后續(xù)的立法或準(zhǔn)立法行動(dòng)，影響《隱私法案》本身的效力發(fā)揮。二是場(chǎng)景的判斷也受制于隱私合理期待?！睹绹?guó)侵權(quán)法重述（第二版）》就隱私合理期待指出，判定他人是否能夠提起隱私侵權(quán)之訴，在于被訴行為是否使社會(huì)一般理性人感到反感。[13]然而，法律對(duì)隱私保護(hù)的范圍會(huì)隨著社會(huì)對(duì)隱私合理期待的變化而變化，具有不確定性。原因在于，隱私期待理論實(shí)質(zhì)上建立在一個(gè)與隱私相關(guān)的觀(guān)念市場(chǎng)上，尤其在大數(shù)據(jù)時(shí)代，市場(chǎng)中存在的信息不對(duì)稱(chēng)、評(píng)估困難、集體行動(dòng)弱等問(wèn)題無(wú)形中降低社會(huì)隱私期待水平，這為那些試圖在隱私權(quán)消退中謀取私利的企業(yè)提供可乘之機(jī)。

（三）聯(lián)邦貿(mào)易委員會(huì)

美國(guó)《聯(lián)邦貿(mào)易委員會(huì)法》（Federal Trade Commission Act）第5 條規(guī)定，聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，F(xiàn)TC，下稱(chēng)委員會(huì)）“有權(quán)采取措施，預(yù)防和制止企業(yè)實(shí)施不公平的市場(chǎng)競(jìng)爭(zhēng)行為”。①Federal Trade Commission Act Sec.5.Unfair methods of competition unlawful；prevention by Commission（a）Declaration of unlawfulness；power to prohibit unfair practices；inapplicability to foreign trade（1）Unfair methods of competition in or affecting commerce,and unfair or deceptive acts or practices in or affecting commerce,are hereby declared unlawful.（2）The Commission is hereby empowered and directed to prevent persons,partnerships,or corporations...from using unfair methods of competition in or affecting commerce and unfair or deceptive acts or practices in or affecting commerce..而《法案》第201 條規(guī)定，“違反本法第2 部分內(nèi)容的行為將被視為《聯(lián)邦貿(mào)易委員會(huì)法》第5 條所表述的欺詐和不公平行為”。②A(yíng)dministration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.201.（b）Unfair or Deceptive Acts or Practices.—A violation of Title I of this Act shall be treated as an unfair or deceptive act or practice in violation of section 5 of the Federal Trade Commission Act（15 U.S.C.§45）.同時(shí)，《隱私法案》第401 條明確指出，“本法的任何規(guī)定不得被解釋為對(duì)委員會(huì)所享有的規(guī)制與信息處理有關(guān)的不公平行為權(quán)力的限制”。③Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.401.（b）Nothing in this Act shall be construed to limit the Commission’s authority to prevent unfair acts or practices relating to personal data processing.這意味著，《隱私法案》授予聯(lián)邦貿(mào)易委員會(huì)在國(guó)家層面對(duì)企業(yè)違反信息隱私規(guī)則和侵犯消費(fèi)者信息隱私行為的行政管理權(quán)限。

因此，根據(jù)《隱私法案》和《聯(lián)邦貿(mào)易委員會(huì)法》的規(guī)定，只要委員會(huì)在企業(yè)利用個(gè)人信息實(shí)施差異定價(jià)場(chǎng)景中，有理由相信企業(yè)行為屬于不正當(dāng)或欺騙性行為，且該行為侵害公眾利益，便可向企業(yè)提出指控并舉行聽(tīng)證會(huì)。被指控的企業(yè)應(yīng)當(dāng)在規(guī)定時(shí)間內(nèi)以書(shū)面形式向委員會(huì)提供證據(jù)，證明其行為獲得消費(fèi)者同意，符合場(chǎng)景理念構(gòu)成合理使用，或不構(gòu)成欺詐與不公平行為。若舉證不能，委員會(huì)有權(quán)對(duì)利用消費(fèi)者個(gè)人信息實(shí)施差異定價(jià)的企業(yè)作出行政處罰決定。

三、借鑒參考：大數(shù)據(jù)差異定價(jià)規(guī)制路徑的優(yōu)化

由于各國(guó)學(xué)說(shuō)理論和立法實(shí)踐的差異，語(yǔ)境轉(zhuǎn)換存在難題。美國(guó)法下的個(gè)人信息法律規(guī)范，同我國(guó)相比，差異并非簡(jiǎn)單表現(xiàn)在具體制度上。不經(jīng)過(guò)細(xì)致的工作，很難武斷地說(shuō)以美國(guó)法為代表的將個(gè)人信息納入隱私權(quán)范圍的模式，在某方面與我國(guó)的規(guī)范有實(shí)質(zhì)差異。

從整個(gè)規(guī)則體系看，我國(guó)《個(gè)保法》與美國(guó)《隱私法案》，在內(nèi)在邏輯上具有一致性：其一，二者都強(qiáng)調(diào)“知情同意”的重要性。我國(guó)《個(gè)保法》規(guī)定信息處理者應(yīng)使信息主體“充分”知情并“明確”同意，而后才能開(kāi)始信息收集處理行為；《隱私法案》則通過(guò)“透明度”“用戶(hù)控制”的規(guī)定，保障信息主體的知情權(quán)，本質(zhì)上仍是對(duì)知情同意原則的適用。其二，都不再將“知情同意”作為信息收集處理的唯一合法標(biāo)準(zhǔn)。我國(guó)《個(gè)保法》已經(jīng)對(duì)不需要 “同意”的信息收集處理行為作出了規(guī)定；《隱私法案》將“在相應(yīng)場(chǎng)景中合理”的標(biāo)準(zhǔn)作為個(gè)人信息處理行為的合法性授權(quán)，并通過(guò)模糊性立法的方式，將司法現(xiàn)實(shí)中的合法性判斷，交給法官或行政執(zhí)法官去完成。立足我國(guó)個(gè)人信息保護(hù)的立法現(xiàn)狀，有區(qū)別、有條件地借鑒美國(guó)立法，將有助于對(duì)利用大數(shù)據(jù)進(jìn)行差異定價(jià)的個(gè)人信息收集處理行為，形成新的規(guī)制路徑。

（一）知情同意原則仍應(yīng)適用

雖然《個(gè)保法》已經(jīng)規(guī)定了“充分知情，明確同意”，《隱私法案》也規(guī)定了“透明度”“用戶(hù)控制”的要求，但“知情同意原則”本身，早已受到學(xué)術(shù)界、實(shí)務(wù)界的廣泛質(zhì)疑。的確，生活節(jié)奏的加快，使得消費(fèi)者根本無(wú)心閱讀冗長(zhǎng)的隱私條款，商業(yè)社會(huì)的快速變化，也會(huì)讓陳舊的隱私條款跟不上企業(yè)的發(fā)展需要。因此已有不少學(xué)者主張放棄“知情同意”的核心地位，將對(duì)企業(yè)信息收集處理行為的規(guī)制重心，由事前轉(zhuǎn)移到事中，即數(shù)據(jù)的使用階段。例如，有學(xué)者就主張知情同意原則屬于“前信息時(shí)代”框架，與大數(shù)據(jù)時(shí)代的個(gè)人信息系統(tǒng)生態(tài)格格不入，應(yīng)采用信息使用中的動(dòng)態(tài)風(fēng)險(xiǎn)控制模式，來(lái)規(guī)制企業(yè)的信息收集處理行為。[14]但是，對(duì)“知情同意”的內(nèi)涵加以挖掘，會(huì)發(fā)現(xiàn)知情同意原則的適用，特別是對(duì)于大數(shù)據(jù)差異定價(jià)的規(guī)制來(lái)說(shuō)，仍具有獨(dú)特價(jià)值。

一是，“同意”可以產(chǎn)生“信任經(jīng)濟(jì)”，有助于企業(yè)與消費(fèi)者的良性互動(dòng)。[6]75在作出是否同意的意思表示之前，消費(fèi)者需要對(duì)企業(yè)控制自己信息的風(fēng)險(xiǎn)，企業(yè)利用信息進(jìn)行差異價(jià)格推送的方式進(jìn)行充分考慮，這種“參與感”會(huì)建立起消費(fèi)者與企業(yè)之間的互動(dòng)聯(lián)系，在“磋商”中形成信賴(lài)。例如，臨近節(jié)日，很多商品的價(jià)格都會(huì)較平時(shí)有一定程度的提高，商家提前將價(jià)格上漲的情況告知消費(fèi)者，消費(fèi)者也會(huì)樂(lè)于接受，不會(huì)對(duì)這種時(shí)間性的差異定價(jià)行為產(chǎn)生不滿(mǎn)。而對(duì)于企業(yè)而言，盡心盡力制定隱私政策，并將其公布于眾，就要求企業(yè)能夠在算法設(shè)計(jì)、策略制定的過(guò)程中，考慮其差異定價(jià)方式的合理性。開(kāi)誠(chéng)布公的方式，也更容易獲得消費(fèi)者信賴(lài)，消費(fèi)者放心將個(gè)人信息交給企業(yè)，企業(yè)也能夠更充分地利用消費(fèi)者的偏好、支付意愿等信息，為消費(fèi)者推送價(jià)格，降低消費(fèi)者的搜尋成本。

二是，“同意”并非一次性作出，數(shù)據(jù)處理的過(guò)程中，本身也可依消費(fèi)者的“同意”，來(lái)決定企業(yè)是否可以繼續(xù)其數(shù)據(jù)收集處理行為。若采取體系化的解釋?zhuān)F(xiàn)行有效的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中，將同意分為明示同意和默許同意，①《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第5.2.3 條指出：“處理個(gè)人信息前要征得個(gè)人信息主體的同意，包括默許同意或明示同意。收集個(gè)人一般信息時(shí)，可認(rèn)為個(gè)人信息主體默許同意，如果個(gè)人信息主體明確反對(duì)，要停止收集或刪除個(gè)人信息；收集個(gè)人敏感信息時(shí)，要得到個(gè)人信息主體的明示同意?！狈敲舾械膫€(gè)人信息，可在默許同意的前提下獲取。雖然其僅為國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局（已撤銷(xiāo)）、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定的技術(shù)文件，但對(duì)一般企業(yè)而言，已經(jīng)具有足夠的指導(dǎo)性。那么，消費(fèi)者亦可在同意之后，對(duì)企業(yè)的信息收集處理行為明確反對(duì)，并要求企業(yè)刪除、禁止訪(fǎng)問(wèn)有關(guān)信息，實(shí)現(xiàn)對(duì)個(gè)人信息的全程性控制。

因此，若適用知情同意原則，一方面應(yīng)判斷企業(yè)在收集處理信息前，是否充分履行了告知義務(wù)，即是否告知消費(fèi)者將收集其個(gè)人信息，并用于之后的產(chǎn)品推薦、價(jià)格籌劃等差異定價(jià)行為。另一方面，要判斷消費(fèi)者是否已自愿明確作出同意。如若企業(yè)收集處理的是行蹤軌跡、消費(fèi)金額、家庭住址等關(guān)系自然人人格尊嚴(yán)、財(cái)產(chǎn)安全的個(gè)人敏感信息，對(duì)于這類(lèi)信息，還必須經(jīng)消費(fèi)者明確、單獨(dú)同意，企業(yè)才可收集、處理；至于偏好的顏色、款式等一般個(gè)人信息，只要消費(fèi)者未明確反對(duì)，企業(yè)即可處理。滿(mǎn)足知情同意原則的差異定價(jià)，因消費(fèi)者知悉差異定價(jià)的行為，并對(duì)企業(yè)掌握和運(yùn)用其個(gè)人信息作出同意，而具備合法性基礎(chǔ)。

（二）對(duì)“場(chǎng)景判斷”參考借鑒

我國(guó)《個(gè)保法》列舉了無(wú)需同意的情形，弱化了知情同意原則的核心地位。美國(guó)《隱私法案》的“場(chǎng)景判斷”，則是將信息收集、處理的合法性標(biāo)準(zhǔn)動(dòng)態(tài)化，打破以“同意”為前提判斷是否合法的二元規(guī)則，這毫無(wú)疑問(wèn)為相關(guān)主體的數(shù)據(jù)采集行為拓展了合法性基礎(chǔ)。但是，中美立法在“無(wú)需同意”的合法性判斷上，采取了不同的立法思路?！秱€(gè)保法》第13 條第1 款對(duì)“無(wú)需同意”即可處理個(gè)人信息的情形，作出了列舉式規(guī)定，但難以涵蓋現(xiàn)實(shí)商業(yè)社會(huì)的全部情形，特別是無(wú)法為“無(wú)需同意”的大數(shù)據(jù)差異定價(jià)提供合理性判斷的依據(jù)，且第7 款的兜底規(guī)定，也無(wú)法給“同意”之外的合法性判斷提供一般指引?！峨[私法案》為非經(jīng)同意的信息收集處理，提供了“場(chǎng)景判斷”的合法性判斷標(biāo)準(zhǔn)，即“場(chǎng)景中合理”。但是，如前所述，《隱私法案》未對(duì)“合理性”的判斷作出細(xì)致性、引導(dǎo)性的規(guī)定，那如何判斷在特定情境下，企業(yè)收集、使用消費(fèi)者的個(gè)人信息行為具備“合理性”，也就缺少客觀(guān)的、方向性的方法。因此，雖然《隱私法案》可以提供合法性判斷的思路，但在借鑒“場(chǎng)景判斷”思路的同時(shí)，還應(yīng)當(dāng)結(jié)合我國(guó)立法情況，細(xì)化“場(chǎng)景判斷”的具體標(biāo)準(zhǔn)。

對(duì)“場(chǎng)景判斷”或者信息使用過(guò)程中的特定場(chǎng)景下的合理性判斷，有學(xué)者提出了必要性原則、目的限定原則以及比例原則的“平衡測(cè)試”方法，具有參考意義。必要性，要求企業(yè)最小程度利用信息，以及用影響最低的方式處理信息；目的限定，要求信息的后續(xù)使用方法與前期的信息收集方法相稱(chēng)；比例原則，要求企業(yè)的信息收集處理行為即便是對(duì)消費(fèi)者產(chǎn)生負(fù)面影響，也要將影響控制在符合比例的范圍內(nèi)。[15]從具體的適用方法可以發(fā)現(xiàn)，對(duì)企業(yè)信息處理過(guò)程中的合理性判斷，不管稱(chēng)其為“場(chǎng)景判斷”，還是“平衡測(cè)試”，關(guān)鍵都是要看企業(yè)在特定情境下處理消費(fèi)者個(gè)人信息，是否滿(mǎn)足一定的要求；若該要求已經(jīng)由法律加以規(guī)定，則就變成判斷企業(yè)是否履行法定義務(wù)的依據(jù)。

此次《個(gè)保法》以專(zhuān)章規(guī)定了“個(gè)人信息處理者的義務(wù)”，這對(duì)企業(yè)處理消費(fèi)者個(gè)人信息提出了具體要求，大體上與《民法典》第111條的規(guī)定相一致。[16]從信息收集階段的合法收集義務(wù)、信息處理階段的積極作為義務(wù)以及消極不作為義務(wù)，信息處理者的義務(wù)貫穿個(gè)人信息處理的全過(guò)程。就數(shù)據(jù)處理階段而言，其中的積極作為義務(wù)主要指“確保信息安全”，即對(duì)于依法取得的消費(fèi)者個(gè)人信息，企業(yè)負(fù)有確保其安全的積極作為義務(wù)。在積極作為義務(wù)中，《個(gè)保法》第55 條對(duì)風(fēng)險(xiǎn)較大的個(gè)人信息處理活動(dòng)進(jìn)行事前評(píng)估的規(guī)定，①《中華人民共和國(guó)個(gè)人信息保護(hù)法》第55 條：“有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：（一）處理敏感個(gè)人信息；（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息；（四）向境外提供個(gè)人信息；（五）其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。與歐盟的《通用數(shù)據(jù)保護(hù)條例》第35 條可謂異曲同工。此外，《個(gè)保法》第56 條列舉的評(píng)估內(nèi)容，②《中華人民共和國(guó)個(gè)人信息保護(hù)法》第56 條：“個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容：（一）個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；（二）對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；（三）所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年?！睂?shí)際上與“平衡測(cè)試”中的必要性原則、目的限定原則以及比例原則大體對(duì)應(yīng)，也是企業(yè)在收集處理消費(fèi)者個(gè)人信息過(guò)程中，對(duì)合理性判斷的細(xì)化要求。換句話(huà)說(shuō)，《個(gè)保法》第56 條本質(zhì)上就是我國(guó)《個(gè)保法》中“場(chǎng)景判斷”的核心條款；再結(jié)合《個(gè)保法》中規(guī)定的處理個(gè)人信息的“合法正當(dāng)、必要、誠(chéng)信”“目的明確、最小范圍、最小影響”“公開(kāi)透明”等原則，“采取并實(shí)施相關(guān)信息保障措施防止個(gè)人信息泄露或被竊取、篡改、刪除”“對(duì)于個(gè)人信息泄露采取積極的補(bǔ)救措施”“禁止一切損害個(gè)人信息權(quán)利的行為”等義務(wù)，就構(gòu)成了“場(chǎng)景判斷”的“標(biāo)準(zhǔn)體系”。

在這種思路下，由于利用大數(shù)據(jù)進(jìn)行差異定價(jià)必然依賴(lài)自動(dòng)化決策，若企業(yè)在收集一般個(gè)人信息時(shí)沒(méi)有取得消費(fèi)者同意（個(gè)人敏感信息仍需明確同意），但是企業(yè)已經(jīng)在信息處理前進(jìn)行了影響評(píng)估，也履行了安全保障等積極、消極義務(wù)，符合相關(guān)程序要求，則應(yīng)當(dāng)認(rèn)為企業(yè)具備信息收集處理的合法性基礎(chǔ)，不能因企業(yè)未獲得同意授權(quán)，而認(rèn)為企業(yè)行為構(gòu)成不法。此外，考慮到大數(shù)據(jù)差異定價(jià)的特性，從決策結(jié)果上來(lái)說(shuō)，若信息處理導(dǎo)致“大數(shù)據(jù)殺熟”等不合理差異定價(jià)行為，則仍然會(huì)喪失已經(jīng)建立的合法性基礎(chǔ)。當(dāng)然，依文義解釋和體系解釋?zhuān)⒉荒艿贸銮笆鼋Y(jié)論，因?yàn)椤秱€(gè)保法》中并未明文規(guī)定信息處理過(guò)程中的“場(chǎng)景判斷”規(guī)則。法律條文之間的聯(lián)系，也不足以表明履行法定義務(wù)可以作為“無(wú)需同意”的例外情形。因此，若要采取此種思路，可能還需要立法上的特別說(shuō)明。