携程被判“退一赔三”：“大数据杀熟”的治理本质是“算法之治”

“

近日，绍兴市柯桥区法院判决了一起涉嫌大数据杀熟案件。来自绍兴的携程钻石贵宾胡女士通过携程APP订购了舟山某酒店一间豪华湖景大床房，并支付房款2889元，然而退房时却发现，该房间在酒店的挂牌价及税金仅1377.63元。胡女士随即向柯桥区法院提起诉讼，法院认定平台商（携程）存在“价格欺诈”，要求其“退一赔三”。

这并非携程第一次对用户“大数据杀熟”，此前，演员韩雪就曾在微博上曝光携程存在“捆绑销售”的情况。

近年来，电商平台利用大数据技术手段，变相侵犯用户合法权益的现象比比皆是，背后的治理难点在于何处？企业又该如何避免卷入“大数据杀熟”的风波？本文就相关事件对此展开辨析。

文 | 卢鑫 张若涵 浙江凯麦律师事务所律师

本文由作者向新则独家供稿

本文仅代表个人观点，不代表律所观点

日前，在绍兴市柯桥区法院判决的一起涉大数据杀熟案件中，平台商（携程）遭受了全面败诉，由此引起了各方热议。实际上，这并不是携程第一次因大数据杀熟被推上风口浪尖，据笔者不完全统计（如图一所示），携程近年来已被曝光各种形式的大数据杀熟。

携程大数据杀熟形式

今年五一前夕，携程、去哪儿在内的10家平台共同签署了《平台企业维护公平竞争市场秩序承诺书》，承诺不利用数据优势“杀熟”。然而，在承诺书签订后不到三个月的时间，携程就被司法认定存在价格欺诈和欺骗行为，实在令人唏嘘。

毋庸置疑，此判例将对平台商的业态造成一定冲击，在此契机下，本文抛砖引玉，探讨此判例的“发酵”效果，引发大家对大数据杀熟热潮下的冷思考。

- 1 -

本案凸显出大数据杀熟法律规制的两大重心

“大数据杀熟”作为“数字经济”蓬勃发展中亟待解决的新问题，在对其进行法律规制时，应结合其技术本身进行探究。一般而言，经营者利用大数据技术实现“杀熟”的步骤依次可分为：收集、使用个人信息——描绘“用户画像”——差别定价三步。

若对上述步骤进行实质审视，不难发现，法律规制重心应聚焦于第一步和第三步，具体如图所示：

大数据杀熟的技术步骤及法律评价

结合本案而言，法院的裁判思路亦可分为两个层面：

1. 针对携程过度收集、使用用户个人信息行为的处理

携程应在其运营的携程旅行APP中为原告增加不同意其现有服务协议、隐私政策仍可继续使用的选项，或者为原告修订携程旅行APP的服务协议、隐私政策，去除对用户非必要信息采集和使用的相关内容，修订版本需经法院审定同意。

2. 针对携程差别定价行为的处理

赔偿原告胡女士投诉后携程未完全赔付的差价243.37元及订房差价1511.37元的3倍支付赔偿金共计4777.48元。

显然，本案法院的裁判思路与前述大数据杀熟技术逻辑的实质审视不谋而合，此判例进一步印证，大数据杀熟法律规制重心聚焦于收集、使用个人信息行为及差别定价行为。

- 2 -

本案对大数据杀熟中经营者收集、

使用个人信息的判定及思辨

本案中，法院对于携程收集、使用个人信息的行为进行了精细化审视，最终认定携程超越了必要的限度，全面支持了原告的诉求。虽然本案一审法院（柯桥法院）的级别较低，即便通过绍兴中院二审判决，射程范围也仅限于绍兴本地，但这足以给多家电商巨头敲响警钟，势必对现有电商巨头信息收集、使用规则形成冲击。

实际上，根据目前头部电商平台的《用户协议》和《隐私政策》，梳理其信息收集、使用规则，不难发现，电商巨头对于收集、使用用户个人信息仍占据强势主导地位，且权限边界较为模糊。

头部电商平台信息收集、使用规则梳理

- 3 -

本案对大数据杀熟中差别定价行为的判定及思辨

目前，业界对大数据杀熟中“差别定价”行为的法律定性众说纷纭，本案法院认为差别定价属于“价格欺诈”，本文对此持保留意见。

实际上，在传统小数据时代，线下商户通过观察消费者衣着谈吐判断消费者购买能力，进而调整定价策略，使其自身利益最大化，属于人们习以为常的生活经验和固有的商业伦理。正如复旦大学管理学院产业经济学系教授骆品亮认为：价格歧视对福利的影响实际上取决于“效率”与“公平”的取舍。不能简单地以“公平”来否定“效率”从而认定价格歧视的非法性。

此外，若将大数据杀熟中差别定价行为定性为“价格欺诈”，有突破现有法律规定之嫌疑。根据《禁止价格欺诈行为的规定》第3条规定：价格欺诈行为是指经营者利用虚假的或者使人误解的标价形式或者价格手段，欺骗、诱导消费者或者其他经营者与其进行交易的行为”，据此，经营者只有在“通过标价形式或者价格手段虚构事实、隐瞒真实情况”下，才可能被认定为价格欺诈。

然而，在“差别定价”中，商品和服务确实也是被明码标价的，经营者没有虚构事实，并且经营者未将定价机制或其他消费者购买同种商品或者服务的价格告知“熟客”，很难说是隐瞒了真实情况。因此，“差别定价”认定为价格欺诈在法律适用上存在障碍。

最后，从对大数据“杀熟”的法律规制意义来看，将“差别定价”定性为价格欺诈等同于认可公开的价格歧视行为，经营者只要履行了告知义务便可肆无忌惮地进行歧视性定价，最大化剥削消费者群体的利益，这无异于饮鸩止渴。

实际上，差别定价行为的定性正是大数据杀熟法律规制的核心，相较于收集、使用个人信息的定性而言，其显得更为复杂，并不能简单得“一刀切”。在现阶段，由于法律规定较为模糊，本文认为司法口径应慎之又慎，或许让“子弹再飞一会儿”比在“混沌中前行”更妥切。

- 4 -

大数据杀熟治理核心：

“法治之治”还是“算法之治”？

2020年4月9日，中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》将数据定义为继土地、劳动力、资本、技术之后的第五大生产要素，由此，我们可以看到数据在“云时代”下的巨大价值。不可否认，大数据的算法技术在一定程度上能够强化竞争和扩大产出等，但“工具理性”的算法技术一旦被过分逐利的资本滥用，则会引发“大数据杀熟”。

从根源上看，“大数据杀熟”并非单纯的法律规制问题，而是算法权力的治理问题。正如西南政法大学人工智能法学教研室副主任廖建凯所言：消费者的权利被侵害只是“大数据杀熟”的表象和结果，算法权力被经营者滥用才是“大数据杀熟”的实质与根源。

据此，规制“大数据杀熟”的核心在于“治理算法”。基于此，如何建立专门的算法监管机构、如何建立健全算法监管措施、如何设置经营者算法披露义务等若干议题亟待商榷且需持续推进。

毋庸置疑，“大数据杀熟”需要规范，但不能仅凭对“杀熟”的固有思维，便挥舞道德大棒一味将其污名化，而应探究技术进步与私权保护之间的平衡点，精细划分“大数据杀熟”的违法标准，从而引导“技术向善”。

据知情人透露，携程拟就本案提起上诉，二审走势有待观望，但无论如何，针对电商企业而言，“九台之上，起于累土”，其成功的基石在于消费者的信任，一旦陷入“大数据杀熟”的泥泞中，势必引发消费信任危机，假以时日，恐将自食恶果。

- 5 -

企业如何避免卷入“大数据杀熟”风波？

本案携程在败诉后迅速启动了“危机公关”，但仍止不住舆情汹汹，众口嚣嚣，不可否认，相较于事后救济，构建事前预防机制才是应由路径。据此，本文就企业构建事前预防机制提出以下建议，以供参考：

1. 算法角度

如前所述，“大数据杀熟”治理本质是“算法之治”，虽然目前我国法律对于算法权利的治理仍处于缺席状态，但在“大数据杀熟”行政强监管的背景下，企业不应再持“算法中立论”，而应主动承担对算法的审查义务，对算法决策进行全生命周期的审查，并定期披露审查结果，以引导“算法向善”，据此：

首先，企业可考虑引入“技术+法律”的人才担任算法监督员，负责企业算法设计、运行合规合法的内部监督。实际上，部分发达国家或地区已通过立法强制要求符合一定标准的企业设立类似职能人员，例如欧盟通过《通用数据保护条例》规定符合相关条件的企业对有义务设立数据保护官。

鉴于此，即便我国立法仍处于探索阶段，未进行相关规定，但在全球性产业竞争中，我国企业有必要“师夷长技以制夷”，引入相关人员负责算法的内部监督。

其次，企业可建立算法安全评估制度。加强算法应用前的安全测试和评估，提前做好风险预测和技术防范，避免明显的有失偏颇或错误的决策趋势产生。

最后，企业可设立算法网络监控平台，加强对算法运行过程及结果的动态监测，从而提高预警能力。虽然，企业可以通过前述的算法安全评估制度，进行入市前的算法验证，但对于在实践中大量应用的“深度学习算法”而言，其运行过程及结果不可避免得会超出设计者的预期，基于此，企业通过算法网络监控平台，对相关算法进行动态调控是极为必要的。

2. 用户信息角度

“大数据杀熟”的实施载体是用户的个人信息，因此用户信息收集、使用合法合规是企业的必备功课。

① 在用户信息收集阶段：

首先，企业应遵守最小化收集个人信息的标准，尽量仅收集企业提供服务必要的个人信息。针对必要个人信息的收集范围，企业应参照日前发布的《常见类型移动互联网应用程序必要个人信息范围规定》（国信办秘字〔2021〕14号）进行设置，并在《用户协议》或《隐私政策》中明确相关范围。

其次，企业应积极履行告知义务。在《用户协议》或《隐私政策》中对收集、使用个人信息的目的、方式、范围、保存期限及地点等予以明确说明，让用户对可能产生的数据安全隐患以及价格变动的机制更加了解，且《用户协议》或《隐私政策》的展现形式应更易阅读理解，针对用户跳过阅读《用户协议》或《隐私条款》直接选择“同意”的情形，可以采用图画等简洁明了的形式按步骤向用户说明重要条款。

最后，企业应严格遵循用户知情同意原则。正如字节跳动中国法务部负责人邰江丽博士所言：目前，多数企业正在异化知情同意原则，虽然在收集个人信息时设置了获得用户授权同意的弹窗或者链接勾选，但是在用户同时授权App收集多项个人信息时，并未拆分个人信息的类别让用户充分选择，未向用户提供选择部分个人信息授权收集的选项。

据此，企业可考虑将静态的一次性的同意授权形式改进为动态的方式，将个人信息进行分类，对不同类别的个人信息或个人信息不同的利用方式为用户提供多个勾选同意的选项，以便用户可针对不同的个人信息使用方式分别进行授权。

② 在用户信息使用环节：

首先，企业应注重脱敏处理，实现用户信息去标识化地研究、统计分析和预测，从而切断信息与信息主体之间强关联。需要强调的是，企业应当对所有存储的个人信息进行去标识化处理，而不仅对个人敏感信息进行去标识化处理。

其次，企业应建立数字安全保障体系。采取有效的技术措施以确保信息存储、使用安全，以避免信息使用环节的“信息泄露”，例如企业可以采取传输层安全协议、区块链等加密技术保障用户信息安全。

最后，企业应严格控制信息共享。目前，信息共享是信息使用中重要一环，然而，多数企业现阶段的《用户协议》或《隐私政策》对于信息共享第三方的界定十分模糊，且其信息收集、使用规则并不直接适用于第三方提供的服务，这就导致信息共享结果远超用户的预期，严重背离了用户知情同意原则。

据此，企业应在《用户协议》或《隐私政策》中准确界定信息共享第三方，同时，应对共享信息的第三方加强审核，并要求其定期披露共享用户信息的用途，从而妥善规范信息共享行为。

未来已来，在平台经济与数字经济双结合的背景下，企业应对“大数据杀熟”态度需要从“被动”转变为“主动”，需要牢记，消费者的信任始终是悬挂在企业头上的“达摩克利斯之剑”，百年老店，始于自律。

# 推荐阅读 #