_原题是：“差异化销售”与“大数据杀熟”边界在于“是否同意”
本报采访人员 李 冰
刚刚还在讨论一个物品 ， 随后就收到类似产品的广告推送；随便浏览个房产信息 ， 没多久就会接到销售的电话……很多手机用户可能都有过类似体验 ， 怀疑自己的生活是否被“窃听”了 ， 到底是谁动了我的个人信息？为什么手机会这么“懂”我？
自11月1日起 ， 《个人信息保护法》正式实施 ， 有望为个人信息保护加上法律的“安全锁” 。
按照《个人信息保护法》的规定 ， 金融机构作为“个人信息处理者”应该承担哪些义务？对金融服务业会产生哪些影响？为此 ， 《证券日报》采访人员专访了北京大成律师事务所合伙人、中国银行法学研究会理事肖飒 ， 从法律角度予以解读 。
《证券日报》：《个人信息保护法》的实施 ， 将对金融机构以及金融业产生何种影响？
肖飒：《个人信息保护法》实施后 ， 金融机构在获得和使用公民个人信息时 ， 将面临更严格的监管要求 ， 大致体现在信息的获取、处理、撤回三个方面 。 尤其是在个人信息撤回方面 ， 金融机构需要为客户提供便捷的撤回选项和撤回方式 ， 并在客户撤回同意后 ， 应当采取有效的措施及时停止处理已经获取的个人信息并将其删除 。
《个人信息保护法》的实施 ， 将对金融机构的相关展业带来一定挑战 。 一是对相关违法行为的处罚力度加大；二是针对不同信息处理者之间的边界问题 ， 需要各方在合作协议和操作流程中厘清自身责任和义务边界 ， 共同落实好相关规定 。
《证券日报》：金融业中的“差异化销售”与侵害个人权益的“大数据杀熟”之间的界限在哪里？
肖飒：《个人信息保护法》第24条的自动化决策条款 ， 回应了关于商家大数据杀熟、精准营销等大众广为关注的痛点问题 ， 备受消费者关注 。 该条款规定 ， 金融机构可以通过自动化决策方式向个人进行信息推送、商业营销 ， 但应当同时提供不针对其个人特征的选项 ， 或者向个人提供便捷的拒绝方式 。
从金融业务实际操作层面来看 ， 金融机构通过在提供商品和服务过程中获取的消费者个人信息 ， 结合行为数据等做出用户画像 ， 进而推行差异化服务 ， 现已成为常态 。 区别“大数据杀熟”与“差异化销售”的标准主要有两个：一是商家是否隐瞒了相同产品不同定价、不同产品相同定价的情况；二是消费者在做出购买决策时 ， 是否明知产品存在不同价格的情况 。 因此 ， 界定是否属于“大数据杀熟” ， 关键要看消费者获得的信息是否全面透明、消费者是否属于“知情”条件下的“同意” 。
《证券日报》：“匿名化处理后的信息”为什么不属于“个人信息”？“衍生个人信息”与金融机构自有的商业信息、商业秘密、知识产权之间存在怎样的关系？
肖飒：《个人信息保护法》第4条规定 ， “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 ， 不包括匿名化处理后的信息 。 ”所谓个人信息 ， 是指通过该信息能够识别到特定的自然人 。 信息经过匿名化处理后 ， 已不能识别到特定自然人 ， 因此不属于《个人信息保护法》规定的“个人信息”范畴 。
例如 ， 一家证券公司通过某个自然人客户群体的投资交易信息 ， 分析提炼得出该群体具有何种投资偏好的结论 ， 这些结论并不指向某个具体的投资者 ， 也不会以此信息识别出是哪个投资者的具体交易信息 ， 那么这个结论作为衍生个人信息 ， 已经不再是《个人信息保护法》规定的“个人信息” ， 而是转化为金融机构自有的商业信息和商业秘密 ， 金融机构拥有其知识产权 。