数据向善：守护个人信息的“潘多拉魔盒”

董希淼  廉婧

早在 1980 年，未来学家阿尔温·托夫勒在《第三次浪潮》一书中，就提出了“大数据”(Big Data)的概念。随着新一轮科技革命发展，以大数据为代表的信息资源向生产要素形态演进。数据要素和其他要素一起融入到社会生产过程中，成为全球发展数字经济的战略性资源，成为人类社会创新发展的重要推动力。与此同时，“大数据杀熟”等问题如影随形，愈演愈烈。

“大数据杀熟”是指经营者依照互联网采集的消费者行为数据，判断消费者的支付能力与价格耐受度，通过同一平台的同一款产品和服务对老用户实施价格歧视的行为，相对集中在网约车、网上购物、旅游票务平台等领域。如一些不法商家用大数据、物联网、人工智能等新技术作为“万能钥匙”，企图打开个人信息的“潘多拉魔盒”，将用户画像、算法推荐等自动化决策服务于资本牟利，严重侵害了消费者权益，也使数字经济发展蒙上阴影。

其实，“大数据杀熟”并不是互联网时代的产物。自古以来，就有不法生意人将“欺生”或“杀熟”看作发财致富的捷径。凭借地理位置、购买偏好等优势，利用顾客的消费惯性对不同消费者实施价格歧视，即便某种商品价格略高也不会被轻易发现，这就是杀熟。随着时代的发展，“杀熟”被搬上互联网渠道如手机应用程序（APP）。尽管“大数据杀熟”的伎俩早已被消费者察觉，却因为法律法规不完善以及线上消费的隐蔽性和复杂性，往往很难通过法律途径举证维权。

2020年10月1日，文化和旅游部出台我国第一部针对“大数据杀熟”的规定——《在线旅游经营服务管理暂行规定》，明确提出：“滥用大数据分析等技术手段对旅游者消费记录、旅游偏好等设置不公平交易条件的行为将被禁止”，并对违反规定的责任主体进行责令限期整改，没收违法所得，并处相应罚款。此后，各地政府纷纷出台其他领域反“大数据杀熟”相关法规。如2021年6月29日深圳市率先出台国内首部数据领域综合性地方立法—《深圳经济特区数据条例》，对个人信息收集、“大数据杀熟”等有关数据问题进行明确规定，一旦发现“大数据杀熟”的行为，将视为违法行为，最高可处罚5000万。广州市市场监管部门也对“大数据杀熟”作出表态，提出“加大对打击竞争对手、独占市场为目的显性排除和限制竞争行为的执法力度，重点加强对大型互联网平台‘二选一’、‘大数据杀熟’、‘封禁’等行为的执法规制，规范行业竞争秩序”。部分城市纷纷制定大数据发展规划、实施城市首席数据官制度，对包括“大数据杀熟”等问题进行整治，进一步规范数字经济发展。

更重要的是，国家开始从立法层面，着力规范数据处理活动，“大数据杀熟”的末日终将到来。2021年6月10日，十三届全国人大常委会第二十九次会议通过《中华人民共和国数据安全法》，明确要求：开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。两个月后，2021年8月20日，十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》。《个人信息保护法》禁止“大数据杀熟”，明确：利用个人信息进行自动化决策，不得对个人在交易价格等交易条件上实行不合理的差别待遇。同时还规定，个人信息处理者通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供拒绝的方式。针对未成年人个人信息安全问题，《个人信息保护法》明确将未成年人个人信息作为敏感个人信息予以严格保护。我国在短时间内，相继制定《个人信息保护法》与《数据安全法》，这将成为整治互联网时代经济秩序的铁腕手段。让数据向善，服务于民，这才是数字经济应有的态度。

金融是数字经济的重点领域。属于数据密集型的金融行业，对数据依赖性极强，如何守护好个人信息的“潘多拉魔盒”，更好地保障数据安全，引导数据向善，是金融业必须面对的重要课题。科技企业能够通过资本迅速攀上神坛，但是作为一个个数据节点的个人信息采集就是“潘多拉魔盒”，拥有毁灭一切的力量。从古时用纸笔记载账本，利用人脑分析处理数据，到如今计算机存储亿级数据，海量数据储存和处理技术的发展使得数据的价值进一步凸显。金融机构基于海量客户数据进行用户画像，预测用户需求，推出具有市场竞争力的产品，结合场景进行智能化推荐、分析商业决策，并通过实时风险管理和控制，提升盈利能力。高质量的数据服务，还有助于构建完善的金融生态体系。

大数据至关重要。这使某些手机应用程序（APP）存在强制授权、过度索权、超范围采集信息等越界行为，强制对用户进行画像。实际上，大数据带来的问题远不止于此，某些算法还可能触及侵犯公共利益，过度收集信息造成的信息泄露也可能使其他市场主体非法获利。随着数字经济发展，有效监管和法规约束是十分必要的。只有相应的法律法规和监管制度实施以后，各市场主体才能够更好地享受大数据带来的便利。

对金融机构而言，下一步应从三个方面加以努力：

第一，在思想上，要高度重视客户信息保护。这既是维护金融消费者合法权益的重要内容，也是金融机构取信于社会和客户的基本义务和基础工作。应将保护个人信息的理念内化于金融机构血液中，以最严格的标准和最严密的措施确保客户信息安全。

第二，在管理上，金融机构应建立个人信息数据库分级授权管理制度。根据个人信息的重要程度、业务需要、敏感程度等，实行分级管理。例如，对未满十八周岁未成年人的个人信息，作为敏感个人信息予以更严格保护；对需要向境外提供的个人信息，应当通过国家相关部门的安全评估。在个人信息处理过程中，应在技术上对客户信息复制、查询有硬约束，比如建立分级审批、双人控制等要求。

第三，在机制上，加强个人金融信息安全保护的宣传教育。一方面，金融机构应开展员工内部培训，在工作中强化对用户个人信息的保护意识；另一方面，金融机构应当未雨绸缪，将加强信息保护等融入消费者教育内容，提高消费者金融素养和自我保护能力。

资本扩张进化愈快，收集信息速度愈快，掌握数据量越庞大，就容易做到对每个人不同标价，就可以实现完全价格歧视。但大数据并不是原罪，商家基于千人千面的大数据可以更好的分析用户需求，而顾客让渡部分个人信息能够得到更优质的服务。我们需要抵制的是将大数据作为利器、盗取消费者隐私的不良商家——它们利用收入层次、消费偏好和兴趣爱好“杀熟”客户，非法牟取不属于自己的利益。历史上无数的经验告诉我们，“杀熟”只是一时之计而不是长久之策，只有真正赢得消费者的信任才能永续发展。正如数百年来，瑞士银行业因为严格的保密制度而闻名于世；而互联网巨头Facebook（脸书）因泄露用户信息，2019年被美国处以50亿美元罚款。

（作者：董希淼 ）

声明：本文由21财经客户端“南财号”平台入驻机构（自媒体）发布，不代表21财经客户端的观点和立场。