全国旅标委发征求意见稿：加强游客个人敏感信息保护

征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。

特别是在安全与隐私保护生命周期管理方面，对旅游大数据的收集、传输、存储、处理与加工、运维、退役等全生命周期的各环节，征求意见稿都做出了明确的安全规定，确保游客的个人敏感信息不被非法窃取、篡改或破坏，保证旅游数据的真实可靠，同时能够随时为旅游行业的决策和服务提供支持。

征求意见稿对“游客个人敏感信息”定义为：极易导致游客个人名誉、身心健康受到损害或歧视性待遇等的个人信息，一旦泄露、非法提供或滥用可能危害人身和财产安全。包括但不限于身份证件号码、个人生物识别信息、银行账户、消费记录、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、14岁以下（含）儿童的个人信息等。

对于通用安全目标，征求意见稿明确了旅游大数据应具备的保密性、完整性和可用性；在安全与隐私保护生命周期管理方面，《意见》更是涵盖了旅游大数据从产生到销毁的整个过程。

征求意见稿明确，在收集旅游数据过程中，要明确收集数据的目的和用途，遵循最少够用原则，保证数据收集的合规性、正当性和执行上的一致性。

在典型旅游应用场景大数据安全方面，征求意见稿针对旅游大数据管理机构、在线旅游平台、旅游景区、酒店等不同场景，提出了具体的安全要求。这使得旅游企业在实际应用中能够更加有针对性地加强数据安全保护。

如对于旅游企业，征求意见稿规定，使用或披露个人旅游数据不能超出个人授权范围；若因业务需要，确需超出范围使用的，应再次征得主体同意;用于市场营销活动的授权应以合理方式提示用户，并让其充分知悉，明确、自主做出同意等。

以上相关条款，落在司法层面，可与被称为“国内大数据杀熟第一案”——“胡某诉携程公司侵权责任纠纷案”互为参考。2020年7月，消费者胡某某怀疑携程利用其消费行为数据进行“大数据杀熟”，诉至法院要求判令携程对其支付的虚高房价差额“退一赔三”。历经二审，最终法院判决携程公司就订房差价部分“退一赔三”。

法院认为，携程公司未依法显著区分自营业务和他营业务，未向消费者披露第三方代理商信息，未告知他营模式下存在的风险。携程App上存在第三方代理商预先囤房、择机加价的“倒房”行为，携程公司未能有效监管。这些行为导致胡某某支付了远高于门市价的房费，携程公司应承担欺诈的惩罚性赔偿责任。

“大数据杀熟”是一个近年来随着大数据分析技术应用发展而兴起的概念，指的是企业通过收集和分析用户的历史购买记录、浏览习惯、个人信息等数据，建立用户画像，然后根据这些信息对新老用户采取不同定价的策略。简言之，在平台内存在“杀熟”机制的情况下，老用户因黏性较高，可能会被收取更高的价格，而新用户则可能享受到更多的优惠。

虽有法院判例在前，但近年来诸如“下单后发现机票价格变得更便宜”“一双鞋9个账号出现7个价格”“VIP用户价格比普通用户更贵”等现象依然层出不穷。消费者对于“大数据杀熟”的质疑和不满情绪，更是积蓄已久。

此前南都反垄断研究课题组发布的《互联网平台竞争与垄断观察报告》显示，面对“大数据杀熟”，73%的受访者持反对态度。常用在线旅游平台的消费者对“杀熟”问题尤为反感，即便是表示理解的受访者也希望平台对定价规则作出公开说明。

而在实践中，“大数据杀熟”的界定并非易事。各大在线旅游平台上，不同会员等级、不同平台、不同的优惠政策都可能导致旅游产品价格不统一的情况出现，相关行为的模糊性、隐蔽性和复杂性让“杀熟”的认定困难重重。此外，利用技术满足多样化需求的差别定价，基于用户画像的精准营销已然是数字时代的通用“条例”。“大数据杀熟”与精准营销，已虚实难辨。

业界普遍认为，针对“大数据杀熟”这一行业痛点，征求意见稿规定明确加强了游客“行踪轨迹”“消费记录”“财产信息”等个人敏感信息全生命周期管理保护的力度，防止超出合理经营需要收集游客个人信息，为切实避免大数据杀熟、虚高溢价、精准营销爆破等侵害游客权益行为筑实了防火墙。