1. 引言
信息技术的迅猛发展大大降低了数据收集、储存、加工等处理成本,数据体量因此呈现指数级增长。为了处理海量的数据集合,算法成为了不二选择。大数据与算法紧密结合,给人类生活带来巨大便利,更助推数据经济的勃兴。但在新兴经济形态光鲜亮丽的帷幕之后,数据滥用、数据垄断等消极影响也不断凸显,“大数据杀熟”就是一个典型例子,商业实践中的“大数据杀熟”正颠覆着传统的商业逻辑与社会认知,滋生法律难以回应的社会问题。
“大数据杀熟”,又称基于行为的定价(Behavior-Based Pricing,简称BBP) [1] 、个性化定价(Personalized Pricing)、差别定价(Differential Pricing),1是指“经营者依据价格耐受度、支付能力、选择偏好等消费者个人消费信息的收集、检索、分析与挖掘,利用忠诚用户的路径依赖和信息不对称,就同一商品或服务进行不同定价,且该定价不反应成本差别的行为” [2] 。“大数据杀熟”始于2000年美国亚马逊公司对DVD进行区分定价的事件 [3] ,国外研究对这一现象进行了现实追踪,通过研究近5000个购物平台的浏览记录,发现大部分网站都存在“大数据杀熟”行为 [4] 。2018年,我国大量网络用户晒出自己被“大数据杀熟”的经历,引起社会广泛关注和热烈讨论。
2. “大数据杀熟”的经济法定性
中国法学界对“大数据杀熟”给予的关注相对较少,相关论文多以经济法视角展开“大数据杀熟”法律性质的分析,具体而言,现有研究对“大数据杀熟”法律属性的界定主要有三种学说。
其一为价格歧视说。有学者以经济学上的“一级价格歧视”为原型,2认为“大数据杀熟”符合“一级价格歧视”的特征,并顺承这一思路以《反垄断法》第17条第6项和《价格法》第14条第5项作为解释对象,认为“大数据杀熟”符合两条规范的构成要件,属于法律上的“价格歧视” [5] 。但批评意见指出,“价格歧视”在经济学范畴中是价值中立的概念,突破法学与经济学的范式边界,径直套用经济学概念对法律现象进行分析难谓妥当 [6] 。“大数据杀熟”不属于法律上的“价格歧视”,因为实施“大数据杀熟”的经营者并非都拥有《反垄断法》17条所规定的市场支配地位,《价格法》第14条第5项规定的价格歧视又以交易对象是其他经营者为条件,以消费者作为侵害对象的“大数据杀熟”不在调整范围之内。故将“大数据杀熟”归为价格歧视缺乏现行有效的法律基础。
其二为价格欺诈说。持这一论者的法律依托《价格法》《消费者权益保护法》《关于商品和服务实行明码标价的规定》《禁止价格欺诈行为的规定》等法律法规,认为“大数据杀熟”符合沉默型消费欺诈的构成要件。其论证思路为,经营者应对商品或服务的价格进行明确告知,其故意不告知交易对象其他用户的消费价格,背离了消费者对“明码标价”的常识性认知,属于《价格法》第14条第4项规定的“利用使人误解的价格手段”,系属故意隐瞒真实情况,最终使得消费者陷入认识错误并作出违背内心真意的意思表示 [7] 。反对者针锋相对地指出,“大数据杀熟”在形式上仍符合“明码标价”的基本要求 [8] ,且不主动提供企业与其他消费者的交易信息应与故意隐瞒真实交易情况进行区分 [9] ,“大数据杀熟”并不该当于欺诈的构成要件。
其三为侵犯消费者权益说。该说认为,除了从国家经济管制、维护市场公平竞争等宏观角度进行分析,应看到“大数据杀熟”本质上是经营者与消费者之间的问题,适用《消费者权益保护法》分析“大数据杀熟”更为合适 [10] ,尽管消费者权益保护机制没有对“大数据杀熟”做专门规定,但“大数据杀熟”实际上侵犯了消费者的公平交易权、知悉真情权、自主选择权等权益。异议者强调,“价格合理”的公平交易条件没有相对客观的标准,因为消费者对商品的需求、偏好等主观因素在相当程度上决定了价格“合理”的尺度;消费者也并非不知悉商品价格,而是不知道自己支付了更高的价格 [11] ,消费者的公平交易权和知悉真情权是否遭到侵害仍待商榷。
三种学说之所以欠缺说服力并受到其他学者批评,根本原因在于其所依赖的是“过时”的法律基础。“大数据杀熟”成为焦点问题的时间是在2018年,显然,2014年修改的《消费者权益保护法》、2008年颁布的《反垄断法》以及1998年颁布的《价格法》等法律规范都难以对“大数据杀熟”作出前瞻性的规定,持上述学术观点的人只能是尽力地对旧法进行扩大解释,以期“探究法律在今日法秩序中的标准意义” [12] 。所以,以经济法进路探讨“大数据杀熟”问题的论文多会在法律性质分析之后,指出自身所依赖的法律在规制“大数据杀熟”时的现实困境,并建议将相关法条进行调适性修改。以现有学术观点的理论漏洞为谏,本文尝试切换思维进路,运用侵权责任法的分析框架,基于时新的个人信息保护相关规范,尤其是《民法典》以及《中华人民共和国个人信息保护法》(下称《个人信息保护法》),分析知情同意规则赋予自然人的知情权与同意权,对“大数据杀熟”侵害个人信息主体知情权和同意权这一命题进行论证,最后反思运用侵权责任法规制“大数据杀熟”的可能问题并提出改进建议。
3. 个人信息主体知情权与同意权的解释论分析
《民法典》第1034条第1款采用“个人信息”的提法,表明我国对个人信息的定位是“受保护的人格法益”,尚未上升到一种具体人格权。对于个人信息究竟应被定位为权利抑或合法利益,理论界和实务界的人士有很大分歧3 [13] [14] 。不过,重要的不是“权利”或“权益”的“名”,而是该权益的性质、内容、保护方式的“实”。可以肯定的是,在我国,个人信息权益是民事权益,是自然人享受的独立的人格权益 [15] ,得到民法规范的保护。进一步地说,从历史维度透视,尽管传统隐私权是防御性的绝对权,现代的个人信息则兼具被动防御性与主动积极性的双重权利属性,但防御属性的延续决定了个人信息仍可得到隐私权所主要依赖的侵权责任法的保护。侵权责任的承担以侵权行为的存在为前提,侵权行为的成立必然以既有的权利或权益受侵害为基础,为了证成“大数据杀熟”对个人信息知情权和同意权的侵害,首当其冲的便是对两项权益的内涵和外延进行分析。
知情同意规则引申出自然人对个人信息处理的知情权与同意权。为了应对个人信息保护领域的严峻形势,我国在近年来加快了立法进程,并将知情同意规则置于个人信息保护的核心地位。知情同意规则,是指个人信息处理者在处理个人信息时,应当公开处理信息的规则,明示处理信息的目的、方式和范围,并在充分告知的基础上征得个人对信息处理行为的同意。虽然学术界对告知同意原则多有批评之声,认为这种个人信息保护方式形式大于实质、妨碍数据经济发展、违背个人信息的社会属性 [16] ,但其作为事前风险防范机制具有不可替代性,具有责任规则所不能承担的功能。为了应对我国个人信息被大规模滥用、侵害的不良现状,我国立法在该个人信息保护领域一贯坚持告知同意规则。在个人信息公法保护与私法保护的学理争议之中,《民法典》第1035条对该规则进行规定,宣告民法是个人信息保护的重要手段和基本规范,其内涵包括两个方面:一是要告知处理信息规则,其中必须包括信息处理目的、方式和范围;二是要获得个人信息主体或其监护人的明确同意。不过,《民法典》中的规定相对原则与抽象,如欲进行法律适用,还需要进一步的法律解释。
3.1. 知情权的规范内涵
告知是知情同意规则的前提,“告知同意”译自英文“informed consent”,指的正是告知后的同意。用户的知情同意原本是个人作为民事主体就自身事务的自我决定,然而私人自治的实现内嵌于交易主体在经济、社会、信息资源等方面的力量均衡中,个人与企业4在信息地位上的不平等在实质上动摇了意思自治的根基。所以,个人信息保护法汲取消费者法所规定的信息披露义务来弥补合同法的弊病,要求企业对信息处理予以充分告知,矫正企业与个人之间的信息不对称,进而保护个人在知情的主观状态下作出同意或拒绝信息处理的自由选择。可见,同意以告知为内在的规范要求。
知情是当事人的主观状态,难以知悉,故民法一般通过给一方施加客观的告知、说明义务来保证另一方的知情利益 [17] 。所以,一方的告知义务与另一方的知情权利在法律上呈现对应关系,知情权的权益内涵可从信息处理者告知义务的角度侧面析出。迄今为止,告知的内容与方式在各国尚无统一的标准。我国《民法典》第1035条的规定也具有动态与开放的特性,需要结合特别法的细致规定加以理解。如前文所述,知情的主观状态由告知的客观行为促成,告知是知情的必要条件,没有遵守诚实信用原则地履行告知就不会有用户知悉知情的可能。由此可知,告知需要达到一定的规范标准。参酌《个人信息保护法》第17条规定与域外经验,从解释论的角度出发,告知环节应当符合形式和实质的双重标准,符合双重标准的告知可被推定为没有侵害用户的知情权。
在形式上,告知应当是清晰且显著的。企业履行告知的“目的仅在于规避法律风险” [18] ,所以它们更偏好在隐私政策和UI (用户界面)中编织陷阱,诱使消费者做出非理性选择。一方面,企业倾向于制订内容杂冗、用语晦涩、结构混乱的隐私政策,意在增加用户的认知成本,并将涉及个人信息安全的重要条款放在不起眼的位置或用小字显示,从而掩盖信息处理伴随的隐私风险。另一方面,在界面布局中,企业可以插设误导性连接、设置无法拒绝的选项和编排杂糅的互动界面,使用户在疲劳和厌倦的心理状态下作出非理性的妥协。针对如上弊病,告知应当满足清晰要求,减少法律术语和计算机术语,使用一般人能够理解的平实直白的语言。告知应有显著性,能达到令用户注意的程度。例如,在企业以电子签名等特殊方式征求用户同意时,不仅应就拟收集信息作简明叙述,还需在用户界面插设完整隐私政策链接,以确保用户知悉可能 [19] 。
在实质上,告知的内容应重点包括:第一,信息的处理范围。处理范围即处理的个人信息种类,企业应对收集的信息作出分类,并在处理敏感信息等与自然人有重大利益关切的信息时作出重点提示。第二,处理目的。根据《个人信息保护法》,处理个人信息应当具有明确、合理的目的,且遵循最小目的原则,如果处理目的发生变更,应当重新取得个人同意。处理目的直接决定了信息处理的风险水平,超出提供服务、维护国家社会安全等合理目的的信息处理,将造成数据滥用、数据垄断等负面影响,对自然人的个人信息安全产生巨大挑战,严重威胁个人隐私、人格自由、人格平等甚至财产利益。5第三,处理方式。企业在信息分析时使用的不同技术手段对个人信息安全的威胁迥然不同,许多十分简单、零散的信息能被先进的数据挖掘技术聚合、重组、关联,使得个人在算法面前完全透明。因此,企业应将处理信息的手段和与之相匹配的风险予以详细说明。如果企业将用户信息用于自动化决策、用户画像、个性化推荐,应在事前进行风险评估,将处理情况进行记录,将评估结果告知用户。
3.2. 同意权的规范内涵
依据《民法典》第1035条,除法律法规另有规定,个人信息处理必须征得个人信息主体的同意。同意权作为信息自决权的落实,不同于传统侵权隐私法提供的被动性保护和限定性保护,要求与自然人之间存在持续不平等信息关系的企业在信息处理前必须取得信息主体的同意,显现出个人信息权益的积极性维度。除了法律法规另行规定的免责事由,未经同意而擅自收集、加工、使用个人信息的行为侵犯了个人信息同意权。但个人信息主体在与个人信息处理者的力量对比当中几乎必然处于不利地位,取得同意对企业来说实属轻而易举。企业普遍通过提供过载信息并隐藏重要信息,将同意选项与提供服务绑定等方式降低用户对个人信息授权的警惕。个人容易低估预测数据聚合效应下产生的巨大风险,再加之企业刻意制造的种种认知陷阱,久而久之就会丧失阅读隐私政策的兴趣,并对个人信息保护产生徒劳和厌倦之感,这种无力感会诱使个人作出妥协和非理性的选择 [20] 。由此可见,缺乏细化标准的同意不仅不能保护个人对信息的合法掌控,反而成为形式主义下企业践踏个人信息权益,逃避法律责任的后门。因此,构建有效同意的识别要素是强化同意权的必经之路。具体而言,具有法律效力的“同意”也应满足实质要素和形式要素。
在实质方面,有效的同意应当具备自愿、知情、具体和明确四项要素。6第一,同意应当体现个人的真实意思。个人信息处理者不得以欺诈(比如粉饰、美化信息处理目的)、隐瞒(如模糊、隐藏关于信息处理的重要条款)、强制(不合理的服务绑定)等方式获得个人同意。需要提醒的是,个人可能倾向于用个人信息换取网络信息产品和服务。所以,除非个人信息的处理明显超出必要限度,否则应当认为企业的行为不构成强制。第二,同意必须建立在知情的基础之上。如上所述,同意以告知作为内在规范要求,符合形式与实质双重标准的告知被推定为个人已经知情。当然,知情的内心状态不仅受个人信息处理者对告知义务的履行程度影响,也依赖于个人的信息接收能力。所以,应当以告知的内容与形式为客观基础,参照一般理性人的标准判断个人是否对告知内容具有知情的合理可能,不要求企业确保个人的实际知悉、确定知悉。第三,同意应当是具体细致的。个人信息处理者更愿意使用概括同意的方式,要求个人对服务协议和隐私政策作出“一揽子”的同意,这成为同意原则被架空虚化的主要原因之一。基于个人信息处理活动连续复杂的特点,要求企业在收集信息之处一次性告知所有处理目的并不现实。但企业可借助动态同意取代僵化的一次性同意:一旦处理目的更改或个人信息被用于新的目的,个人信息处理者应当及时通知用户并取得相应同意。第四,同意需要具有明确性,不存在其他或相反解释的可能。在形式方面,同意作为一项意思表示,可由明示或默示的方式作出,7但不应将沉默拟制为同意。
4. “大数据杀熟”的侵权责任法涵摄
根据我国《民法典》规定,过错侵权责任的构成要件有四:加害人实施了违法性侵害行为;受害人遭受了可救济的损害事实;违法性侵害行为与损害事实之间具有因果关系;加害人对损害的发生具有过错(故意或过失)。在对个人信息主体知情权和同意权进行规范解释后,需通过法学三段论对民法规范进行涵摄,以确证实施“大数据杀熟”应承担侵权责任。
4.1. 违法性侵害行为
如前所述,知情同意规则在我国个人信息保护法律规范中居于首要地位。《民法典》《中华人民共和国网络安全法》《个人信息保护法》《信息安全技术·个人信息安全规范》《数据安全管理办法》等法律法规均吸纳知情同意规则,赋予用户对个人信息处理的知情权和同意权,个人信息处理者有义务遵循诚实守信原则,履行合理、适当的告知义务,并取得个人信息主体的同意。但由于互联网企业与个人之间悬殊的权力对比,原本旨在倾斜保护自然人的知情同意原则演变为企业减轻自身责任,限制对方权利的合法工具。笔者指出,且不论“大数据杀熟”在经济学视角下是否能达到帕累托最优,8也不论该行为是否属于经济法范畴内的违法行为,在个人信息保护法畛域中,“大数据杀熟”对个人信息主体的知情权和同意权构成了侵害,属于违法加害行为。
事实上,企业不会在隐私政策中明示会利用用户画像进行差别定价。网络平台的隐私政策都会包含“个人信息收集、使用”一章,其中会按照各项具体功能场景说明需要收集并使用的信息范围,如淘宝网《隐私权政策》第二章第(二)节“向您展示商品或服务信息”中,首段用粗体加下划线的字体样式说明,“为进行个性化推荐和推送商业广告,需要收集和使用客户端时的浏览、搜索记录以及设备信息、服务日志信息,提取偏好特征”。但遍观《腾讯隐私政策》《京东隐私政策》《哔哩哔哩隐私政策》《飞猪隐私政策》等各大头部平台的个人信息保护政策,均未提及会通过用户画像进行“大数据杀熟”的个人信息处理目的或功能场景,有的甚至保证不会非法使用用户画像,如《滴滴隐私政策》第6.2.a条规定:“我们承诺在使用用户画像的过程中,不会侵害公民、法人和其他组织的合法权益”。高尚的承诺与滴滴公司不断被曝出“大数据杀熟”问题且“证据确凿”的赤裸现实形成鲜明对比 [21] 。
有的隐私政策条款隐隐约约透露出进行“大数据杀熟”的可能,如《美团隐私政策》中“个人信息的使用规则”一节第3条,其内容为:“我们可能将业务中收集的个人信息用于统计分析和改进运营,将已经去标识化无法识别您身份且不能复原的信息用于建立数据库并进行商业化利用。例如通过您所在的位置、偏好等进行统计分析,从而改进我们的产品、服务或营销计划”。这条规定隐晦地表达出利用去标识化的信息进行差别定价这种“商业化利用”途径的可能,但该段内容并未加粗、突出提示或以弹窗方式征得用户的特别许可,个人难以对其产生注意。这凸显了知情同意规则的实践障碍,即企业在隐私政策往往使用晦涩、抽象、模糊的方式表明信息处理目的、方式和范围 [22] ,知情同意规则异化为企业的单方立法。
企业不在隐私政策告知“大数据杀熟”的原因容易理解——毕竟通过技术手段榨取消费者剩余的做法很难摆在台面上,且大多数消费者对“大数据杀熟”抱有厌恶态度,企业想要获得消费者对“大数据杀熟”的明确授权更是难上加难。结合上文对知情权和同意权的解释论界定,可以得出“大数据杀熟”侵害个人信息主体知情权和同意权的结论:一方面,企业未以清晰且显著的方式告知用户可能利用收集的个人信息进行差别定价的处理目的。在冗长的隐私政策中,企业根本没有提及用户画像被用于差别定价这一事项,遑论通过突出显示、独立弹窗等方式进行显著性告知。基于自动化决策的“大数据杀熟”远远超出个人合理预期,企业在告知该处理目的时理应使个人不可能不注意到,且充分警示此做法对用户的潜在风险。企业违反法律规定的告知义务,侵害了用户的知悉真情权。另一方面,由于同意建立在知情的基础之上,“大数据杀熟”一旦构成对知情权的侵害,则必然侵害用户对是否自愿接受此种差别定价的选择自由,用户不可能对自身无法知悉的个人信息处理予以明示或默示的同意。这种通过隐瞒真相剥削个人权利的行为比利用强势地位迫使个人接受不平等交易条件更加恶劣,无疑侵害了个人的同意权。
4.2. 归责原则与主观过错
《民法典》侵权责任编以过错责任为基本归责原则,适用过错推定责任以及无过错责任必须有具体的法律规定。现行《民法典》并未对个人信息侵权责任配置无过错责任或过错推定责任之特殊规定,所以目前的个人信息侵权案件仍采用过错责任的裁判思路。换言之,目前自然人仍应当以《民法典》第1165条第1款作为请求权基础主张权利。根据“谁主张,谁举证”的民事诉讼法基本原理,受害人在请求侵权人承担损害赔偿责任时,负有证明侵权人具有主观过错(故意或过失)的责任。
基于行为的定价方式出于信息处理者的故意心态。首先,在概念分析中,“大数据杀熟”满足经济学范畴中“一级价格歧视”的特征,企业通过精准的用户画像描绘不同消费者的价格耐受度、产品依赖度等消费特征,然后以消费者愿意支付的最高价格发出要约,目的是为了实现自身利润的最大化。其次,在事实印证下,“大数据杀熟”被人们所普遍看做是互联网企业有意为之。并且,“大数据杀熟”问题被官方媒体和政府部门重点关注、大力整治。例如,文化和旅游部发布暂行规定,禁止在线旅游经营者“大数据杀熟”。9 2021年4月9日,广州市市场监管局召开行政指导会,企业代表签署承诺书并郑重承诺不非法收集、使用消费者个人信息,不利用数据优势“杀熟” [23] 。政府明令禁止、从严打击的做法本身也隐喻着整个信息服务业正故意实施这种违反商业伦理的行为,毕竟,导致价格出现差异的技术漏洞不会蔓延如此宽广的领域。除此之外,互联网企业用供需关系不匹配、商品性质不一、时空场景变动等理由进行抗辩也不具有说服力。总之,企业明知采取差别定价策略会给消费者权益造成损害,却积极地追求这一损害结果的发生,具备故意心态的认识要素和意志要素,存在主观过错。
4.3. 损害事实
在《民法典》规定的承担侵权责任的八种方式中,有相当一部分在性质上属于支配权请求权,如停止侵害、赔礼道歉、消除危险。这些责任承担方式在人格权法上就是人格权请求权。虽然个人信息尚未被确立为一种具体人格权,但是从其体系地位、规范数量、权益性质上看,个人信息权益被侵犯的自然人也可行使人格权请求权,主张停止侵害、消除危险。人格权请求权的成立只要求人格权遭受侵害,不要求存在损害结果,也不要求加害人在主观上具有过错。所以,自然人在遭到“大数据杀熟”时可以人格权请求权提起诉讼,防止合法利益的损失进一步扩大,但这无法弥补被杀熟的自然人已遭受到的损害。如欲要求对方承担损害赔偿责任,还要证明信息主体遭受可救济的损害。
一个客观情况是否属于民法世界中的损害事实,通常的判断标准有三点,即结果性、真实确定性以及损害的可赔偿性。结果性将侵害和损害作了区别,明确赔偿以实际损害为先决条件。真实确定性要求损害业已存在,并可以确定。“大数据杀熟”进行歧视性定价,给熟客已经造成了现实的财产损害,满足前两个判断标准。但损害的可赔偿性要求证明实际的财产损失,确定该损失的一般做法是计算损害事实发生前后受害人的利益状况差额 [24] 。在“大数据杀熟”中,被侵权人虽知自己付出了比其他消费者更高的价格,但由于算法进行“千人千面”的定价,故难以证明相同产品或服务的正常价格,进而难以提出自己财产损害的具体数额。但《个人信息保护法》第69条第2款10参仿《民法典》第1182条,确立了在财产损失难以证明时,依据实际情况确定法定赔偿数额的原则。所以,在受害人无法证明财产损失具体数额时,法院可根据成本、利润、供求等客观定价因素,参酌行业平均标准与政府机关发布的可靠数据,合理确定赔偿数额。
4.4. 小结
“大数据杀熟”在信息利用阶段的差别定价行为违反了《民法典》人格权编的规定,侵犯了自然人对个人信息处理的知情权与同意权,属于违法性侵害行为。“大数据杀熟”使得熟客就同一产品或服务支出了高于其他消费者的价格,造成了损害事实。结合“大数据杀熟”事件层出不穷、国家机关命令禁止及相关企业解释含糊不清等综合因素,可认为企业对差别定价具有故意心态。显然,违法性侵害行为直接导致了损害事实,不存在聚合因果关系、共同因果关系等特殊问题,所以差别定价行为造成了消费者的直接损失,无需赘述。综上所述,在《民法典》侵权责任编的制度框架下,“大数据杀熟”满足了一般侵权的构成要件,受害的消费者可以根据《民法典》1165条第1款主张个人信息处理者承担侵权责任。
5. “大数据杀熟”的规制建议
基于上述分析,在现行法框架下,“大数据杀熟”应被定性为一般侵权,被侵权人拥有侵权责任法范畴下的请求权基础,可以对加害者提起侵权之诉。不过,现行模式下消费者希望通过侵权责任法来维护权利仍面临着许多困难。原因之一正是由于“大数据杀熟”是一般侵权行为,自然人在诉讼中将承担较重的举证责任。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第91条在证明责任的分配上吸收了罗森贝克的规范说,规定主张权利受到妨害的当事人应当对权利受到妨害的基本事实承担举证证明责任。在个人信息侵权案件中,信息主体需要对违法性侵害行为、损害事实、因果关系及行为人过错承担客观证明责任。然而,在大数据时代下,信息主体与信息业者在实质上处于信息不对称的地位,前者对后者来说如同“透明人”,而后者对前者来说则如同“黑箱”,权利人的信息处理能力以及信息处理成本根本无法适应过错责任的举证要求。
法律具有行为指导功能与激励作用。过错责任原则下,权利人对侵权责任的所有要件承担举证责任会给信息主体带来负向激励,过大的举证成本及败诉风险甚至堵死消费者依据侵权责任法寻找救济的路径,这又反过来降低了平台公司的违法成本。另一方面,证据与必要技术知识主要由加害人掌控,且个人往往难以与电商巨头的强大法务部门展开较量,同为平等民事主体的双方在诉讼力量对比上实质不均衡。由是,法律应当转换证明责任的分配并降低信息主体的证明责任,将个人信息的侵权责任法保护落在实处,遏制信息产业无底线的畸形生长。
5.1. 转换证明责任分配——无过错责任
由于《民法典》和其他法律并未给个人信息侵权行为配置独立的归责原则,所以个人信息主体在向个人信息处理者提出损害赔偿时,需要证明其在主观上存在过错。前文论及,综合互联网企业故意实施“大数据杀熟”的种种嫌疑,可基于事实推定主观过错要件的成立。但对于提起诉讼的消费者来讲,意欲证明这一事实显然十分困难。部分司法案件中,法院对举证责任也进行了一定的调整和突破,对侵权人过错的认定采取客观判断,只要违法性侵权行为被证明存在,即视作侵权人具有过错。11这种做法在一定程度上降低过错要件的证明要求,为个人信息保护实践贡献了具有前瞻性、生动性与合理性的司法智慧,但其欠缺合法依据,有脱离法律边界而为社会“立法”的可疑之处。
笔者认为,“大数据杀熟”应适用无过错责任。消费者在起诉企业侵害个人信息权益时,无需证明企业对损害事实在过错。鉴于个人信息侵权在我国十分突出的严峻现实,个人信息安全问题已成为广大人民群众最紧绷的神经,统一适用无过错责任能够在一定程度上平衡法律关系双方的诉讼力量,增加个人信息处理者的违法成本,从而更好保护消费者的个人信息权益。从比较法的角度看,无过错责任也被不少国家和地区的立法所采纳。如德国《联邦数据保护法》第83条也规定“对于自动化的数据处理所产生的损害使用无过错责任”。
5.2. 降低信息主体证明责任——优势证据标准
依据证明责任理论,如果原告无法证明其主张的事实具有高度盖然性,则应当承担败诉风险 [25] 。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》(下称《民诉法解释》)第108条对此作出明确规定。就“大数据杀熟”而言,消费者需要证明差别定价事实的存在具有高度可能性,即证明的确信度要达到85%以上。但消费者为证明违法性侵害行为而提出的电子证据想要达到高度盖然性标准,存在以下三方面的困难:其一,专业的电子证据与证据采信原则产生难以调和的矛盾。证据证明力依凭裁判者对案件事实形成的内心确信,但司法人员通常并无足够的专业知识或经验径行采信电子证据 [26] ,消费者的技术劣势可能强化司法人员采信其证据的踌躇态度。其二,尽管三大诉讼法赋予了电子数据的法定证据种类地位,但都未对电子证据问题作出详细、可操作性的规定,制度供给缺位导致司法裁判中对电子证据采信水平呈现出较大差异 [27] ,电子证据采信的体制性障碍使得承担证明责任的消费者陷入更加不利的境遇。其三,处于技术天平另一端互联网企业通常可以利用供需关系不匹配、商品性质不一、时空场景变动、用户软件缓存等诸多理由对差别定价的事实予以抗辩,它们也更有机会与能力通过数据手段篡改、伪造电子证据。就此而言,由于信息处理技术晦涩复杂而难以理解,法官也处于信息不对称的弱势地位,其自由心证更易被平台企业所左右。
笔者认为,以高度盖然性的判断标准来确认被告是否实施侵害行为应予调整,转而采用优势证据标准。在《民诉法解释》确立了高度盖然性的高标准后,未来中国民事诉讼证明标准体系的作业应主要指向降低而非提高 [28] 。有学者提出,在侵害公民个人信息侵权案件中,应当在坚持举证责任分配原则的情况下,适当放宽原告的证明标准,由高度盖然性降低到较大可能性标准 [29] 。该建议实际上吸纳优势证据规则的内核,具有创见及现实意义。优势证据是民事诉讼中认定待证事实的最低限度证据,是判定何方胜诉的最低标准。个人信息保护处理的是不平等主体之间的关系,不应适用一般侵权的认定进路,而应赋予弱势群体一系列权利来矫正信息处理者与个人之间的不平等关系。在程序法维度,通过降低原告证明责任能够为双方力量达到矫正的平衡作出很大贡献。
6. 结语
信息技术正以前所未有的速度翻新着人类的生活样态,并颠覆、重塑着人类的社会认知。置身于大数据时代,每个人都是数据海洋的一片涟漪,以自己为中心向周围的主体传递自身的数据,并搭建起主体之间信息通路,个人的社会意义由此通过网络架构实现倍增。但在数据科技引起的权力再分配过程中,互联网巨头成为了最大获益者,个人主体地位的提高依然无法抵御信息业者的权力压制与剥削,“大数据杀熟”正是算法暴政乱象中的冰山一角。
本文指出现有文献在“大数据杀熟”问题进行法律分析的狭隘视角,重申个人信息保护法在回应这一社会痛点中的重要地位,进而以侵权责任法框架入手,对知情同意规则赋予自然人的知情权与同意权进行解释论探究,得出“大数据杀熟”符合现行法框架下一般侵权的构成要件的结论,最后植根于转换证明责任分配和降低证明责任标准两个方面,反思现有模式对“大数据杀熟”的回应障碍,对立法和司法实践提出改进建议。当下,个人信息保护点燃了学者们的研究热情,民商法、刑法、知识产权法、宪法行政法、法理学等各个领域的学者都从不同的位面为个人信息保护提供了宝贵知识。就民法来说,实现个人信息保护主要通过合同法与侵权责任法两大基本工具实现,本文从侵权责任法方向展开分析,将与个人信息侵权相关的成熟理论运用到“大数据杀熟”法律分析当中,但通过格式条款解释、信息处理者在合同中的法定义务等合同法路径,也可以对“大数据杀熟”进行规制。除此之外,针对“大数据杀熟”的法律实证研究尚付阙如,但采用定量研究的思维模式更能发现在理论推演当中所忽略的基本问题。但毫无疑问的是,想要解决“大数据杀熟”这个实践难题,需要学界投入更多精力,立足多元面向、运用不同制度、融合理论与实践,提出更具创见的法律规制出路。
NOTES
1对于“大数据杀熟”,还有“大数据价格歧视”、“算法杀熟”等称谓。出于统一表述的考虑,也为了贴合学界、大众指代该现象的一般用语,本文直接采用“大数据杀熟”这一说法。但值得说明的是,这里的“熟人”,不是指传统商业交往中经营者通过长期交易关系所熟识的客户,而是指现代电子商务中互联网企业凭借用户画像等技术所更为了解的消费者。前者的“熟”侧重于由人际关系生发的信任,后者“熟”则是强调通过技术手段实现的对个人描摹的精准程度。
2在经济学中,“一级价格歧视”又称“完全价格歧视”,是指商家基于对消费者保留价格(消费者愿意为产品支付的最高价格)信息的掌握,根据每个消费者的保留价格对每个单位产品制定不同的销售价格,以攫取全部的消费者剩余的行为。在传统经济条件下,由于商家不可能准确获取每个消费者的需求信息,也无法根据每个消费者的不同支付意愿制定不同的价格策略,故一级价格歧视往往无法真正实现。
3比如,有学者丁晓东认为,承认个人信息为一种具体人格权利,会使其拥有支配性和绝对性,阻碍信息的自由流动。故立法机关采取了比较稳妥的做法,采取了“个人信息保护”的表述。另有观点如王成认为,个人信息法益保护模式会让个人信息的民法保护沦为一张空头支票。
4因为在现实中最为典型的个人信息处理者是信息网络服务商和数据企业,因此本文主要以这些企业的信息处理行为作为分析对象。
52019年上半年公布的《电信网络诈骗治理研究报告》指出,许多诈骗者利用非法获取的大量个人信息进行精准诈骗,给个人财产安全带来高度危险。个人信息的非法处理是促使个人信息交易地下黑市的重要因素,而此类地下市场正是诈骗者获取个人资料的主要来源。
6《信息安全技术·个人信息安全规范》第5.4条。
7《信息安全技术·个人信息安全规范》第3.6条对明示同意作出界定:“个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作作出,对其个人信息进行特定处理作出明确授权的行为。注:肯定性动作包括个人信息主体主动勾选……”第3.7条对授权同意作出界定:“个人信息主体通过对其个人信息进行特定处理作出明确授权的行为。包括……通过消极的不作为而作出授权(如处于信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。”
8《信息安全技术·个人信息安全规范》第3.6条对明示同意作出界定:“个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作作出,对其个人信息进行特定处理作出明确授权的行为。注:肯定性动作包括个人信息主体主动勾选……”第3.7条对授权同意作出界定:“个人信息主体通过对其个人信息进行特定处理作出明确授权的行为。包括……通过消极的不作为而作出授权(如处于信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。”
9《在线旅游经营服务管理暂行规定》第15条规定:“在线旅游经营者不得滥用大数据分析等技术手段,基于旅游者消费记录、旅游偏好等设置不公平的交易条件,侵犯旅游者合法权益。”
10该款规定:“前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。”
11北京市第一中级人民法院(2017)京01民终509号民事判决书。