大數據差異定價的法律規制
——以個人信息保護為視角

梁恒奕（貴州警察學院，貴州 貴陽 550005）

差異定價，常指“企業并非出于供給成本的考慮而針對同一或相似商品、服務的不同消費者收取不同的費用”[1]583?！按髷祿币话憔哂袛盗看?、種類多以及信息收集處理高效的特征。[2]差異定價因消費偏好與認知錯誤而得以實現，大數據算法又使得差異定價更為精準。[3]218大數據基礎之上的差異定價有利于提高企業利潤、提升市場經濟運行效率，[1]582[3]221但也帶來了消費者知情權、個人信息權益被損害等問題。差異定價行為利弊兼具，因此絕對禁止這一行為并不可取，但企業不當的數據采集、使用行為也必須予以規制。換言之，在消費者自我救濟能力有限的情況下，國家法律需要做的，是在企業營業自由權與消費者知情權、個人信息權益之間作出一個平衡。

從消費者個人信息保護的角度來思考如何規制差異定價行為，具有邏輯上的合理性，這一研究路徑，也是在對比其他法律領域后作出的選擇。就反壟斷領域而言，企業的差異定價行為如果僅損害消費者權益，卻并未對市場的公平競爭秩序造成損害，那么該行為將難以受到反壟斷法規制；并且，大多數學者探討反壟斷領域的差異定價時，[4]都以企業具有市場支配地位為前提，對于不具市場支配地位的企業，反壟斷法的適用可能存在局限性。消費者權益保護法規制差異定價的著眼點，在于對消費者“知情權”的保護，而在大數據背景之下，對個人信息權益和數據安全的保護，又成為了“知情權”保護的核心要義。濫用個人信息侵害個人信息權益的行為，在侵權法領域，只能通過一般侵權責任加以歸責，但因消費者舉證能力弱等問題，通過侵權法規制企業的個人信息使用行為便很困難。實際上，大數據差異定價，就是企業通過收集消費者的交易記錄、瀏覽記錄、消費記錄等個人信息，并通過大數據比對分析，判斷消費者對產品的需求程度，在預測消費者保留價格的基礎上，針對不同消費者制定不同價格。也正因如此，在個人信息保護領域探討如何規制差異定價行為，具有明顯的合理性。

一、個人信息保護下規制差異定價行為

個人信息保護，傳統上以“知情同意”這一“君子協議”為核心，我國的個人信息保護制度亦是如此。①《中華人民共和國個人信息保護法》第14 條第1 款：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定”?！爸橥狻币馕吨髽I在收集、使用消費者個人信息前，需將收集信息的范圍、方式及信息收集后的使用方法告知消費者，并獲得消費者的同意。但如今，對知情同意原則的質疑在于，消費者實際上無法在隱私條款繁多、控制能力有限的情況下實現“知情”，企業也無法在隱私協議中精準劃定“知情同意”的范圍。那么，規制大數據差異定價行為，是否還應適用知情同意原則？

在規定“知情同意”的同時，《個保法》第13 條列舉了六種不需取得個人同意的情形。②主要指《中華人民共和國個人信息保護法》第13 條所列舉的：“（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必需；（四）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；（五）為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；（六）依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；（七）法律、行政法規規定的其他情形?！睙o需取得個人同意的例外情形，實際上限縮了“知情同意”的適用范圍。[5]如果說我國《網絡安全法》僅將“知情同意”作為信息處理者獲取、使用個人信息的唯一合法依據，并將這一依據推向極端化，[6]80那《個保法》無疑在“同意”之外，為數據信息的收集使用提供了其他法律背書。然而，在消費者并未明確作出同意時，企業想要在《個保法》第13 條中尋找信息收集處理的合法性依據，似乎存在困難。第13 條第1 款第2 項至第7 項規定的情形中，制定勞動規章、履行法定義務、應對緊急情況、出于公共利益考慮的新聞報道、處理已公開個人信息，都與大數據差異定價關系不大。而“為合同履行所必要”時不需信息主體同意，在于雙方合意達成的協議，是雙方意思表示一致的結果，因而無需再度取得信息主體的同意。[6]81在大數據差異定價的語境下，企業與消費者簽訂隱私協議，并以此作為信息收集處理的合法性依據，實際上只是“知情同意”原則的一種具體形態，本身不是消費者未明確同意時，可作為行為正當性基礎的法律依據。此外，兜底條款雖能應對新出現的各種情況，但缺乏足夠的指引力。鑒于此，在“知情同意”之外，應當如何判斷企業大數據差異定價行為的合法性？

從國外立法看，以美國《個人隱私權利法案（草案）》（Consumer Privacy Bill of Rights Act of 2015，CPBA，簡稱《隱私法案》）為代表，很多國家的立法都將目光投向了數據使用階段，強化數據使用過程中的責任。通過比較研究，立足《個保法》的規定，參考《隱私法案》的具體制度設計，本文將探討如何完善《個保法》規制大數據差異定價行為的路徑。

二、《隱私法案》：場景判斷的引入

美國實踐中并未將個人信息作為一種獨立的法律權利客體加以保護，而是將個人信息納入隱私權的概念范圍，獨創性設置信息隱私這一隱私權新分支。在應用大數據與算法技術的場景中，相關主體越發依賴個人信息的收集、處理、利用以及傳輸，這使得隱私保護與信息處理規制在美國成為一項重要且被廣泛討論的問題。[7]為解決相關主體數據處理行為帶來的隱私風險，以及平衡各方主體利益的需要，美國白宮在《隱私與創新綠皮書》《互聯網經濟中的商業信息隱私與創新：一個動態政策框架》[8]以及《網絡環境下個人信息的隱私保護——在全球數字經濟背景下保護隱私和促進創新的政策框架》①The White House,“Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy”,2012-02-23,http://www.white-house.gov/sites/default/files/privacy-final.基礎上，于2015 年發布《隱私法案》，探求順應時代發展的新制度架構?？傮w來看，在保留“知情同意”的同時，《隱私法案》引入“場景判斷”規則，為“同意”之外的數據收集使用行為，提供了合法性判斷標準。

（一）透明度與用戶控制

《隱私法案》對透明度的規定是對“公平信用實踐法則”的貫徹與延續，將權利主體的知情同意作為信息處理的合法性基礎。[6]71-72其第101 條明確透明度的“合理性”標準，強化企業的告知義務，指出處理個人信息的企業應當向消費者提供清晰準確、簡明易懂的通知，告知其處理數據的目的、類別、銷毀時間、消費者權利等內容，保障消費者的知情權。②Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.101.（a）In General.—Each covered entity shall provide individuals in concise and easily understandable language,accurate,clear,timely,and conspicuous notice about the covered entity’s privacy and security practices.Such notice shall be reasonable in light of context.Covered entities shall provide convenient and reasonable access to such notice,and any updates or modifications to such notice,to individuals about whom it processes personal data.

同時，《隱私法案》第102 條指出，企業應當在合理的時間向消費者提供合理的方式，保障其能夠實現對個人信息的自我控制，并以列舉的方式明確消費者享有包括但不限于知情、撤回授權同意以及請求刪除信息等權利，突出強調消費者“隱私偏好”③Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.102.Individual Control（a）In General.—Each covered entity shall provide individuals with reasonable means to control the processing of personal data about them in proportion to the privacy risk to the individual and consistent with context.。因此，消費者可以根據《隱私法案》的規定要求企業刪除其消費記錄或瀏覽記錄，禁止企業利用該信息對其實施不正當的差異定價行為。

為落實用戶控制，《隱私法案》要求企業應當為用戶控制權的實現提供便利，該便利條件包括向消費者提供其收集、使用或者公開個人信息的規模、范圍以及敏感度，并在適當時間和地點以適當方式為消費者提供清楚簡明的選擇機制。[9]其中，選擇機制作為一項特殊制度，對消費者個人信息的控制具有重要影響。根據《隱私法案》第103 條規定：“個人信息處理行為產生不合理的隱私風險時，企業應當為消費者提供控制或選擇機制，目的在于建立一種信息處理事前征詢制度，以消費者的理性選擇來決定企業能否后續利用信息，防止不透明的信息畫像行為給消費者帶來的不合理差別定價等隱私風險?！雹蹵dministration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.103（b）（1）Heightened Transparency and Individual Control.—Covered entities shall provide individuals with notice regarding personal data practices that are not reasonable in light of context at times and in a manner reasonably designed to enable individuals to decide whether to reduce their exposure to the associated privacy risk,as well as a mechanism for control that is reasonably designed to permit individuals to exercise choice to reduce such privacy risk.The factors relevant to determining whether such notice and mechanism for control are reasonably designed shall include,but are not limited to.

（二）場景判斷

目的限定原則是各國信息保護立法的基本原則，要求個人信息的收集需具備特定合理的目的，且后續利用及傳播不得違背此目的。但在大數據時代，個人信息的利用場景紛繁復雜，往往超出相關主體的預期目的以及立法所能洞見的范圍。因此，采取以結果為導向的動態界定思路成為美國信息隱私保護立法的重要趨勢。以結果為導向的動態界定思路，實質上是情境脈絡完整性理論的實踐轉化，即考察“個人信息在相關情境中是否合理流動”，[10]判別信息處理利用的最終結果是否符合消費者的“合理期待”，排斥單純依靠先前收集處理信息時持有的原始目的作為判定行為合法性依據?！峨[私法案》在規則設計時遵循這一思路，以動態綜合的具體場景判斷取代目的限定分析，考察相關主體后續處理與利用信息行為是否超出原有授權目的的語境，在企業信息收集處理規制的合理程度，與行為所處環境之間建立了緊密聯系。

《隱私法案》首先在定義條款明確界定場景的主要因素，包括消費者與企業之間關系的緊密程度、符合商業習慣或符合消費者預期的個人數據處理、企業控制的消費者個人數據的披露和模糊程度等。[11]其次，《隱私法案》指出相關主體“只能通過相應場景中合理的手段收集、留存及利用個人信息”，以“在相應場景中合理”的標準作為個人信息處理行為的合法性授權，界定了合理使用的動態邊界。①Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.104.（a）:In General.—Each covered entity may only collect,retain,and use personal data in a manner that is reasonable in light of context.A covered entity shall consider ways to minimize privacy risk when determining its personal data collection,retention,and use practices.同時《隱私法案》還規定，當企業信息處理行為于特定場景中不合理，但能夠為消費者提供增強控制機制以及降低風險的選擇機制，只要消費者不反對，可構成合理使用。②Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.102.（d）Exceptions.—A covered entity shall not be subject to the requirements of subsection（a）,subsection（c）,or a requirement to provide heightened individual control under section 103（b）（1）of this Act,to the extent that the collection,creation,processing,retention,use,or disclosure of personal data is for purposes set forth in the enumerated exceptions.Sec.103.（a）In General.—If a covered entity processes personal data in a manner that is reasonable in light of context,this section does not apply.Personal data processing that fulfills an individual’s request shall be presumed to be reasonable in light of contextSec.103.（b）Privacy Risk Management.—If a covered entity processes personal data in a manner that is not reasonable in light of context,the covered entity shall conduct a privacy risk analysis including,but not limited to,reviews of data sources,systems,information flows,partnering entities,and data and analysis uses to examine the potential for privacy risk.Covered entities shall take reasonable steps to mitigate any identified privacy risks,which shall include,but are not limited to,providing heightened transparency and individual control.Sec.104.（c）Nothing in this section shall be construed to prohibit a covered entity from collecting,creating,processing,retaining,using,or disclosing personal data for—（1）Purposes set forth in the enumerated exceptions；（2）Processing personal data if the covered entity provides heightened transparency and individual control in a manner that satisfies the requirements of section 103（b）of this Act；or（3）Performing an analysis under the supervision of a Privacy Review Board pursuant to section 103（c）of this Act.《隱私法案》的規定意味著，當企業的信息處理行為在相應場景中合理或不合理時都能夠提供增強用戶控制個人信息的措施，可無需經消費者的同意或滿足其他條件，自動獲得合法性授權。

場景理念的置入對企業利用數據進行差異定價的規制具有重要意義。作為一種商業策略，差異定價只要符合正常價格波動曲線，就是企業追求利潤的一種合理定價方式。[12]因此，對于企業利用大數據技術實施差異定價行為是否造成隱私風險，構成對消費者合法權益的減損，需要進入特定場景予以具體判斷。只要企業定價的最終結果符合公平標準，便不構成個人信息的濫用。而對于企業采取大數據殺熟式的極端差異定價行為，因不符合場景理念下消費者的隱私合理期待以及非歧視要求，構成對消費者信息隱私權的侵害，受到《隱私法案》的嚴格禁止。

可見，《隱私法案》設置了較為彈性的信息處理行為的合法性、合理性論證框架，只要相關主體能夠證明信息處理行為在相應場景中具有合理性，就構成信息的合理使用，大幅擴展了信息處理的合法事由?！峨[私法案》場景理念的置入，以及將以結果為導向的合理期待作為信息利用行為合理性論證的重要依據，擺脫以前端靜態的消費者同意作為主要合法事由的僵化架構，彌補傳統法律架構中“全有或全無”二元對立評判方式的弊端。在這種立法思路下，企業可以將僵化的合規轉化為靈活的風險管理，無需處處防備，將合規精力重點放在經營活動中可能出現的不合理個人信息處理行為上，極大提升信息保護的有效性和實效性，降低企業合規負擔，實現個人信息權益保護和信息商業價值開發的妥協與平衡。

場景理念的置入作為《隱私法案》的重要創新點，在發揮作用的同時，也存在局限性。一是《隱私法案》盡管詳細列舉了場景構成要素，但可能考慮到場景往往由諸多隱秘關聯且多元復雜的要素有機構成，其合理性判斷存在艱巨性。因此《隱私法案》采取有意的立法模糊，將合理性判斷交于司法官員或行政官員進行自由裁量，未作出細致規定和施加方向性引導。這就導致法律在適用過程中可能存在極大的不確定性，并過分依賴于后續的立法或準立法行動，影響《隱私法案》本身的效力發揮。二是場景的判斷也受制于隱私合理期待?！睹绹謾喾ㄖ厥觯ǖ诙妫肪碗[私合理期待指出，判定他人是否能夠提起隱私侵權之訴，在于被訴行為是否使社會一般理性人感到反感。[13]然而，法律對隱私保護的范圍會隨著社會對隱私合理期待的變化而變化，具有不確定性。原因在于，隱私期待理論實質上建立在一個與隱私相關的觀念市場上，尤其在大數據時代，市場中存在的信息不對稱、評估困難、集體行動弱等問題無形中降低社會隱私期待水平，這為那些試圖在隱私權消退中謀取私利的企業提供可乘之機。

（三）聯邦貿易委員會

美國《聯邦貿易委員會法》（Federal Trade Commission Act）第5 條規定，聯邦貿易委員會（Federal Trade Commission，FTC，下稱委員會）“有權采取措施，預防和制止企業實施不公平的市場競爭行為”。①Federal Trade Commission Act Sec.5.Unfair methods of competition unlawful；prevention by Commission（a）Declaration of unlawfulness；power to prohibit unfair practices；inapplicability to foreign trade（1）Unfair methods of competition in or affecting commerce,and unfair or deceptive acts or practices in or affecting commerce,are hereby declared unlawful.（2）The Commission is hereby empowered and directed to prevent persons,partnerships,or corporations...from using unfair methods of competition in or affecting commerce and unfair or deceptive acts or practices in or affecting commerce..而《法案》第201 條規定，“違反本法第2 部分內容的行為將被視為《聯邦貿易委員會法》第5 條所表述的欺詐和不公平行為”。②Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.201.（b）Unfair or Deceptive Acts or Practices.—A violation of Title I of this Act shall be treated as an unfair or deceptive act or practice in violation of section 5 of the Federal Trade Commission Act（15 U.S.C.§45）.同時，《隱私法案》第401 條明確指出，“本法的任何規定不得被解釋為對委員會所享有的規制與信息處理有關的不公平行為權力的限制”。③Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015Sec.401.（b）Nothing in this Act shall be construed to limit the Commission’s authority to prevent unfair acts or practices relating to personal data processing.這意味著，《隱私法案》授予聯邦貿易委員會在國家層面對企業違反信息隱私規則和侵犯消費者信息隱私行為的行政管理權限。

因此，根據《隱私法案》和《聯邦貿易委員會法》的規定，只要委員會在企業利用個人信息實施差異定價場景中，有理由相信企業行為屬于不正當或欺騙性行為，且該行為侵害公眾利益，便可向企業提出指控并舉行聽證會。被指控的企業應當在規定時間內以書面形式向委員會提供證據，證明其行為獲得消費者同意，符合場景理念構成合理使用，或不構成欺詐與不公平行為。若舉證不能，委員會有權對利用消費者個人信息實施差異定價的企業作出行政處罰決定。

三、借鑒參考：大數據差異定價規制路徑的優化

由于各國學說理論和立法實踐的差異，語境轉換存在難題。美國法下的個人信息法律規范，同我國相比，差異并非簡單表現在具體制度上。不經過細致的工作，很難武斷地說以美國法為代表的將個人信息納入隱私權范圍的模式，在某方面與我國的規范有實質差異。

從整個規則體系看，我國《個保法》與美國《隱私法案》，在內在邏輯上具有一致性：其一，二者都強調“知情同意”的重要性。我國《個保法》規定信息處理者應使信息主體“充分”知情并“明確”同意，而后才能開始信息收集處理行為；《隱私法案》則通過“透明度”“用戶控制”的規定，保障信息主體的知情權，本質上仍是對知情同意原則的適用。其二，都不再將“知情同意”作為信息收集處理的唯一合法標準。我國《個保法》已經對不需要 “同意”的信息收集處理行為作出了規定；《隱私法案》將“在相應場景中合理”的標準作為個人信息處理行為的合法性授權，并通過模糊性立法的方式，將司法現實中的合法性判斷，交給法官或行政執法官去完成。立足我國個人信息保護的立法現狀，有區別、有條件地借鑒美國立法，將有助于對利用大數據進行差異定價的個人信息收集處理行為，形成新的規制路徑。

（一）知情同意原則仍應適用

雖然《個保法》已經規定了“充分知情，明確同意”，《隱私法案》也規定了“透明度”“用戶控制”的要求，但“知情同意原則”本身，早已受到學術界、實務界的廣泛質疑。的確，生活節奏的加快，使得消費者根本無心閱讀冗長的隱私條款，商業社會的快速變化，也會讓陳舊的隱私條款跟不上企業的發展需要。因此已有不少學者主張放棄“知情同意”的核心地位，將對企業信息收集處理行為的規制重心，由事前轉移到事中，即數據的使用階段。例如，有學者就主張知情同意原則屬于“前信息時代”框架，與大數據時代的個人信息系統生態格格不入，應采用信息使用中的動態風險控制模式，來規制企業的信息收集處理行為。[14]但是，對“知情同意”的內涵加以挖掘，會發現知情同意原則的適用，特別是對于大數據差異定價的規制來說，仍具有獨特價值。

一是，“同意”可以產生“信任經濟”，有助于企業與消費者的良性互動。[6]75在作出是否同意的意思表示之前，消費者需要對企業控制自己信息的風險，企業利用信息進行差異價格推送的方式進行充分考慮，這種“參與感”會建立起消費者與企業之間的互動聯系，在“磋商”中形成信賴。例如，臨近節日，很多商品的價格都會較平時有一定程度的提高，商家提前將價格上漲的情況告知消費者，消費者也會樂于接受，不會對這種時間性的差異定價行為產生不滿。而對于企業而言，盡心盡力制定隱私政策，并將其公布于眾，就要求企業能夠在算法設計、策略制定的過程中，考慮其差異定價方式的合理性。開誠布公的方式，也更容易獲得消費者信賴，消費者放心將個人信息交給企業，企業也能夠更充分地利用消費者的偏好、支付意愿等信息，為消費者推送價格，降低消費者的搜尋成本。

二是，“同意”并非一次性作出，數據處理的過程中，本身也可依消費者的“同意”，來決定企業是否可以繼續其數據收集處理行為。若采取體系化的解釋，現行有效的《信息安全技術公共及商用服務信息系統個人信息保護指南》中，將同意分為明示同意和默許同意，①《信息安全技術公共及商用服務信息系統個人信息保護指南》第5.2.3 條指出：“處理個人信息前要征得個人信息主體的同意，包括默許同意或明示同意。收集個人一般信息時，可認為個人信息主體默許同意，如果個人信息主體明確反對，要停止收集或刪除個人信息；收集個人敏感信息時，要得到個人信息主體的明示同意?！狈敲舾械膫€人信息，可在默許同意的前提下獲取。雖然其僅為國家質量監督檢驗檢疫總局（已撤銷）、國家標準化管理委員會制定的技術文件，但對一般企業而言，已經具有足夠的指導性。那么，消費者亦可在同意之后，對企業的信息收集處理行為明確反對，并要求企業刪除、禁止訪問有關信息，實現對個人信息的全程性控制。

因此，若適用知情同意原則，一方面應判斷企業在收集處理信息前，是否充分履行了告知義務，即是否告知消費者將收集其個人信息，并用于之后的產品推薦、價格籌劃等差異定價行為。另一方面，要判斷消費者是否已自愿明確作出同意。如若企業收集處理的是行蹤軌跡、消費金額、家庭住址等關系自然人人格尊嚴、財產安全的個人敏感信息，對于這類信息，還必須經消費者明確、單獨同意，企業才可收集、處理；至于偏好的顏色、款式等一般個人信息，只要消費者未明確反對，企業即可處理。滿足知情同意原則的差異定價，因消費者知悉差異定價的行為，并對企業掌握和運用其個人信息作出同意，而具備合法性基礎。

（二）對“場景判斷”參考借鑒

我國《個保法》列舉了無需同意的情形，弱化了知情同意原則的核心地位。美國《隱私法案》的“場景判斷”，則是將信息收集、處理的合法性標準動態化，打破以“同意”為前提判斷是否合法的二元規則，這毫無疑問為相關主體的數據采集行為拓展了合法性基礎。但是，中美立法在“無需同意”的合法性判斷上，采取了不同的立法思路?！秱€保法》第13 條第1 款對“無需同意”即可處理個人信息的情形，作出了列舉式規定，但難以涵蓋現實商業社會的全部情形，特別是無法為“無需同意”的大數據差異定價提供合理性判斷的依據，且第7 款的兜底規定，也無法給“同意”之外的合法性判斷提供一般指引?！峨[私法案》為非經同意的信息收集處理，提供了“場景判斷”的合法性判斷標準，即“場景中合理”。但是，如前所述，《隱私法案》未對“合理性”的判斷作出細致性、引導性的規定，那如何判斷在特定情境下，企業收集、使用消費者的個人信息行為具備“合理性”，也就缺少客觀的、方向性的方法。因此，雖然《隱私法案》可以提供合法性判斷的思路，但在借鑒“場景判斷”思路的同時，還應當結合我國立法情況，細化“場景判斷”的具體標準。

對“場景判斷”或者信息使用過程中的特定場景下的合理性判斷，有學者提出了必要性原則、目的限定原則以及比例原則的“平衡測試”方法，具有參考意義。必要性，要求企業最小程度利用信息，以及用影響最低的方式處理信息；目的限定，要求信息的后續使用方法與前期的信息收集方法相稱；比例原則，要求企業的信息收集處理行為即便是對消費者產生負面影響，也要將影響控制在符合比例的范圍內。[15]從具體的適用方法可以發現，對企業信息處理過程中的合理性判斷，不管稱其為“場景判斷”，還是“平衡測試”，關鍵都是要看企業在特定情境下處理消費者個人信息，是否滿足一定的要求；若該要求已經由法律加以規定，則就變成判斷企業是否履行法定義務的依據。

此次《個保法》以專章規定了“個人信息處理者的義務”，這對企業處理消費者個人信息提出了具體要求，大體上與《民法典》第111條的規定相一致。[16]從信息收集階段的合法收集義務、信息處理階段的積極作為義務以及消極不作為義務，信息處理者的義務貫穿個人信息處理的全過程。就數據處理階段而言，其中的積極作為義務主要指“確保信息安全”，即對于依法取得的消費者個人信息，企業負有確保其安全的積極作為義務。在積極作為義務中，《個保法》第55 條對風險較大的個人信息處理活動進行事前評估的規定，①《中華人民共和國個人信息保護法》第55 條：“有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權益有重大影響的個人信息處理活動。與歐盟的《通用數據保護條例》第35 條可謂異曲同工。此外，《個保法》第56 條列舉的評估內容，②《中華人民共和國個人信息保護法》第56 條：“個人信息保護影響評估應當包括下列內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年?！睂嶋H上與“平衡測試”中的必要性原則、目的限定原則以及比例原則大體對應，也是企業在收集處理消費者個人信息過程中，對合理性判斷的細化要求。換句話說，《個保法》第56 條本質上就是我國《個保法》中“場景判斷”的核心條款；再結合《個保法》中規定的處理個人信息的“合法正當、必要、誠信”“目的明確、最小范圍、最小影響”“公開透明”等原則，“采取并實施相關信息保障措施防止個人信息泄露或被竊取、篡改、刪除”“對于個人信息泄露采取積極的補救措施”“禁止一切損害個人信息權利的行為”等義務，就構成了“場景判斷”的“標準體系”。

在這種思路下，由于利用大數據進行差異定價必然依賴自動化決策，若企業在收集一般個人信息時沒有取得消費者同意（個人敏感信息仍需明確同意），但是企業已經在信息處理前進行了影響評估，也履行了安全保障等積極、消極義務，符合相關程序要求，則應當認為企業具備信息收集處理的合法性基礎，不能因企業未獲得同意授權，而認為企業行為構成不法。此外，考慮到大數據差異定價的特性，從決策結果上來說，若信息處理導致“大數據殺熟”等不合理差異定價行為，則仍然會喪失已經建立的合法性基礎。當然，依文義解釋和體系解釋，并不能得出前述結論，因為《個保法》中并未明文規定信息處理過程中的“場景判斷”規則。法律條文之間的聯系，也不足以表明履行法定義務可以作為“無需同意”的例外情形。因此，若要采取此種思路，可能還需要立法上的特別說明。