中心成果 || 消费者数据隐私保护的反垄断监管理据与路径
来源 : 天风证券投教基地
浏览数 :3067
2022-03-23

点击蓝字 关注我们

作者

于颖超

加拿大蒙特利尔大学博士研究生,武汉大学法学院博士交流生

孙晋

武汉大学法学院教授,武汉大学网络治理研究院执行院长


消费者数据隐私保护的反垄断监管理据与路径

             载《电子知识产权》2021年第7期


摘要:

      消费者数据隐私关切是否可以纳入反垄断分析框架逐渐引起理论界与实务界的广泛关注。从理论依据分析,数字经济时代消费者利益蕴含对数据隐私利益的保护,将反竞争行为引起的数据隐私损害纳入反垄断分析框架符合其内在需求;数字市场结构性垄断导致的缺乏有效竞争、信息不对称以及数据外部性等方面的市场失灵,导致数据保护法对于消费者数据隐私的保护不足,反垄断监管解决结构性垄断引起的竞争不足问题具有外在动因。结合传统反垄断法分析框架以及当前反垄断执法趋势,有必要整体分析涉数据的滥用市场支配地位和经营者集中引起的数据隐私竞争损害和消费者隐私利益损害,重新审视反垄断法规则和执法方式,同时亟需创新反垄断监管手段,加强事前监管、协同监管和激励监管。 


关键词: 

      反垄断法;数据隐私;消费者利益;结构性垄断;创新性监管

 

一、问题的提出

   

      近年来大数据体量呈现爆发式增长,数据成为数字经济中的关键生产要素和重要战略资源。数字经济建立在企业大规模收集、存储、处理、分析及使用数据的基础之上。社交网络、电子商务、搜索引擎等数字平台通过处理用户数据,一方面,能够实时监测消费者行为和需求,实现对市场趋势的精准预测,还可以利用消费者数据进行用户画像、精准推送商业广告、实施差别定价等商业目的,以实现流量变现;另一方面,可以利用数据优势增强自身竞争力, 提高市场进入壁垒,排除、限制竞争对手进入相关市场。然而,有些数据属于用户的个人信息,包括个人身份、工作、家庭、财产、健康等各方面的信息,是反映个体特征的具有可识别性的符号系统。因此,消费者数据除了能够产生经济价值,提高企业竞争优势外,还具有个人信息属性和人格权利益。随着数据竞争趋于常态化,实践活动中大型数字企业企图通过数据驱动型经营者集中、滥用市场支配地位等手段滥用用户数据,排除、限制竞争对手以谋取垄断利益,既违反垄断法维护市场自由竞争的价值目标,又侵犯了消费者的数据隐私利益。因此,数据隐私保护问题与反垄断逐渐出现交叉,引起理论研究和司法实践领域关于“数据隐私利益是否构成反垄断议题”的思辨。

      理论界与实务界对于此问题的大规模讨论始于美国2007 年的Google 并购 DoubleClick 案。理论界对于消费者数据隐私利益能否纳入反垄断分析框架存在不同的认识。较为主流的支持观点认为,消费者数据隐私是商品或者服务质量的一个维度,当数字企业反竞争行为导致消费者数据隐私水平降低时,反垄断法则应当考虑数据隐私利益。有反对观点认为,数据隐私难以评估、难以量化,反垄断法救济无法处理隐私问题,将隐私纳入反垄断执法容易出现冲突、降低执法确定性等问题, 因此尽管数据隐私能够被视为竞争分析的非价格参数,但应当明确数据隐私与反垄断法之间的界限,将数据隐私问题置于反垄断法的管辖范围之外。

      实践中, 不同国家和地区的反垄断执法机构对于该问题的处理也存在不同的做法。在Google / DoubleClick 案中,美国联邦贸易委员会(Federal Trade Commission,以下简称 FTC) 虽然对交易中非价格因素竞争(包括数据隐私) 进行了调查,但认为似乎没有证据表明并购主体之间存在隐私方面的竞争,未对并购中的数据隐私问题作进一步调查。前 FTC 委员帕米拉·琼斯港则对此发表反对意见认为并购会引起隐私问题,而传统的竞争执法工具未能顾及各相关方利益,尤其是与并购双方没有直接交易关系的消费者,因此需要思考能够识别隐私损害的反垄断法理论,将隐私问题纳入反垄断分析框架。实际上,数据隐私作为竞争的非价格因素之一的观点得到了 FTC 的认可,然而受限于传统的反垄断理论和分析工具,FTC 在处理此类并购案件时很少考虑可能引起的数据隐私损害。

      对于这一议题欧盟竞争执法机构的执法思路则体现了动态变化性。在 Google/DoubleClick 案中, 欧盟委员会(European Commission, 以下简称 EC)未对并购交易对消费者隐私的影响进行调查,并明确表示其仅根据欧盟竞争法对并购进行了评估,此决定不影响合并双方在隐私法下的义务。在 2014 年 Facebook/WhatsApp案中,EC 主要审查了并购后 Facebook 的数据收集能力是否会形成市场势力,以及对广告市场竞争的损害,并没有深入分析并购对“免费边”市场消费者数据隐私利益的损害。但是, EC 确实意识到用户越来越重视隐私和数据安全,认为隐私是竞争的非价格因素。但基于当时对 Facebook 并购动机的认知以及隐私仅是该案中的众多竞争参数之一的实际情况,EC 并未从这一角度具体分析这起并购, 并认为“交易导致的 Facebook 控制范围内数据越来越集中而引起的任何与隐私相关的问题,不在欧盟竞争法监管范围之内,而属于欧盟数据保护规则范筹 ”。然而, 在 2016 年 Microsoft / LinkedIn 案中,EC 分析了合并对消费者数据隐私竞争产生的影响,认为可能导致其他提供高水平隐私保护的专业社交网络平台(例如,XING9)被边缘化或者退出市场,限制关于隐私保护的竞争, 因此不能满足消费者隐私保护的需求。

      近年来,欧盟和美国就该问题的执法思路逐渐出现分野,前者及其成员国竞争执法机构在合并控制和滥用市场支配地位案件中逐步考量数据隐私竞争损害,而后者重视数字企业创新,对数字经济领域反垄断执法长期采取宽松的态度,极少干预数字企业合并等竞争行为, 遑论在反垄断框架下分析数据隐私利益。尽管我国数字经济领域反垄断执法实践还未在具体案例中就消费者数据隐私损害进行分析,但2021 年 2 月 7 日正式公布的《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称《指南》)已经涉及对用户数据隐私损害的规定(后文作进一步讨论),体现了我国反垄断执法对于滥用市场支配地位、经营者集中等垄断行为损害隐私竞争、侵犯消费者隐私的否定性评价和规制态度。

      总体而言,理论界与实务界的基础共识是“数据隐私可以作为竞争的非价格参数”,但是由于对法律专门化界限和执法工具限制的不同认识,整体上存在支持与反对两种不同的学术观点。本文支持前一种观点,并拟从反垄断法和数据保护法两个视角分析数据隐私保护与反垄断之间的联系,提出数据保护法的有效实施, 反垄断法自身发展完善,以及解决“数据保护与经济发展”的矛盾问题,都需要在反垄断执法框架内考量数据隐私因素,并结合传统的反垄断执法思路以及当前国内外立法活动趋势, 分析数据隐私利益纳入反垄断法框架的路径。为此,本文首先基于传统的反垄断执法思路分析数据隐私保护作为数字经济时代反垄断执法的内在需求;其次,从数据保护法角度分析数据保护法制度有效实施需要反垄断法维持有效竞争秩序作为保障,并将其视为反垄断监管的外在因素;再次,从规范性分析和创新反垄断 监管工具的双重路径构建数据隐私保护的反垄断监管模式。


二、数据隐私利益保护构成反垄断法的内在需求


在数字时代,反垄断法中消费者利益的内涵正在发生变化。传统的以价格为中心的反垄断执法思路忽视了对非价格因素的考量,特别是在数字市场,消费者数据成为其使用商品或服务而支付的“货币”,具有逐渐取代价格成为消费者利益主要内容的趋势。数字企业经营者集中,以及滥用市场支配地位等垄断行为造成的损害,可能表现为消费者数据隐私竞争程度的降低、侵犯消费者隐私。随着消费者越来越重视数据隐私保护,反垄断执法应该随着数据驱动型商业模式的发展转换执法重点,将保护消费者数据隐私利益视为其内在需求。

      (一)消费者利益蕴含数据隐私利益

      1. 消费者利益范围与反垄断法价值体系

      保护消费者利益是各国反垄断法的立法目的。然而,消费者利益是一个笼统、模糊的概念,其范围取决于一国反垄断立法价值体系, 即公平、正义、效率等多元价值或经济效率的一元价值。我国《反垄断法》第 1 条明确规定反垄断法的多元立法目的,即保护市场公平竞争,提高经济运行效率,维护消费者利益和社会公共利益,促进社会主义市场经济健康发展。

      美国是反垄断的策源地,纵观美国反垄断法的发展历程,其价值体系遵循了因时而变的规律。19 世纪末期《谢尔曼法》诞生主要是为了应对当时经济结构变化和托拉斯等垄断组织的出现对小生产者利益的威胁,以及由此产生的政治压力和公众对于经济权利集中的担忧。因此,与其说《谢尔曼法》重点解决经济问题, 不如说更多的是应对公众情绪所反映的社会问题和政治问题,体现了反垄断法具有与生俱来的政治使命, 以及对公平正义的追求。20 世纪 30 年代,为了回应国内经济发展的需求,纯粹追求公平正义的目标逐渐被弱化,折衷了“效率”和“公平正义”的哈佛学派受到推崇。到了 20 世纪 70 年代,随着生产率降低以及世界经济对美国经济产生的冲击,反托拉斯法价值取向发生彻底转变,主张以狭义的“消费者福利(即经济效率)”为反托拉斯法明确单一目 的的芝加哥学派在反垄断立法和实践中占据主 导地位。此后,后芝加哥学派的讨论也一直没有脱离“反垄断是一个经济问题”的框架。而近来,一些美国学者主张回塑反托拉斯法的多元价值目的,认为反垄断应关注经济权力集中导致的政治和社会问题,不能以经济效率为检验竞争损害的唯一标准。新布兰迪斯学派认为美国多数部门的产业经济过于集中,质疑过去 30 多年来在美国盛行的以芝加哥学派为主导的竞争政策和反托拉斯哲学,批判芝加哥学派将“消费者福利(经济效率)”作为反托拉斯法的衡量标准是以竞争结果为导向,导致过度集中的市场势力造成的损害未能被执法者发现。 近来,美国对互联网科技巨头展开反垄断调查, 发布的《数字市场竞争调查报告》(下称《报告》)指出,当前反托拉斯法实施目标单一和施之过软的问题,建议国会考虑重申反垄断法的最初意图和多元目标。《报告》称,最高法院狭义地将“消费者福利”解释为反托拉斯法的唯一目标,重点关注价格和产出而非竞争过程,限制了对竞争损害的分析且与反垄断立法历史和立法意图不符。并建议国会考虑重申“反托拉斯法的初衷及广泛的目标,澄清其不仅是为了保护消费者,而且也是为了保护工人、企业家、独立的企业、开放的市场、公平的经济和民主的思想”。

      相较于美国,欧洲的反垄断思想虽然受到美国反垄断思想的启发,却在不断演进中发展出了新的思想谱系—弗莱堡学派(又称,奥尔多自由主义学派)。该学派主张反垄断法除了追求效率目标外,还应维护经济秩序。欧盟的竞争政策体现了多元化的立法价值,不仅承担着建立统一的欧共体市场的重大任务,还力求维护市场有效竞争,提高欧共体企业经济效益, 推动欧共体经济和政治民主,保护消费者福利, 保障公平,促进创新与效率等。

      在单一的“消费者福利(经济效率)”目的之下,消费者利益局限于以“价格增加或产量限制”为损害的经济利益,而“公平、正义、效率”等多元反垄断立法目的包含除价格和产出外的消费者选择多样性、消费者隐私等非经济利益考量。有学者基于“消费者福利(经济效率)”的一元目的,主张隐私问题可能在反垄断分析中发挥一定的作用,但是这种作用必须与反垄断法促进经济效率以增加消费者福利的目标相一致,而非解决其他类型的损害。然而,这一观点异议在于,即使在美国消费者福利(经济效率)的一元目的理论仍然存在争议, 而且随着数字经济时代竞争问题的凸显,囿于一元价值目标难以捕捉市场力量集中导致的竞争损害,特别是在数字市场,以价格为中心的消费者经济利益标准在很多情况下难以适用, 为非经济效率层面消费者隐私利益纳入反托拉斯法框架预留了空间。

      2. 数字经济时代“消费者利益”的演变

      立足于多元的反垄断价值目标,消费者利益既表现为更低的价格、更高质量的产品或服务等经济利益,又表现为保护消费者的公平选择权或公平交易权等非经济利益。传统的反垄断法产生于工业经济时代,主要为了满足消费者的基本物质需求,因此消费者利益以价格为中心。后工业经济时代物质需求得到极大的满足,创新、质量等非价格因素的重要性突显, 传统的以价格为中心的消费者利益概念范围已经难以达到保护消费者的目的。尤其在数字经济领域,企业一般采取“双边市场”商业模式, 一边向用户提供“免费”的产品或服务而收集大量携带用户行为习惯、个人偏好等内容的数据,另一边为了实现流量变现与第三方经营者(例如,广告商)进行用户数据交易或者开放API 为其提供接入用户数据的端口。这种所谓的“零价格”商品或服务打破了传统的以价格为中心的消费者利益概念,用户数据隐私保护成为维护消费者利益的重要内容。数字平台市场力量的最佳证据不是收费价格,而是平台在没有引起市场反应的情况下侵犯消费者隐私的程度。

      关于如何将数据隐私利益纳入反垄断法消费者利益范畴,学者提出了不同的切入点:

      有学者提出数据隐私保护作为质量竞争维度的观点。相比于价格因素,数字市场中消费者利益在一定程度上体现为商品或服务的隐私保护水平,隐私保护水平的高低影响着用户体验和用户评价,是产品价值的一部分,甚至在某些领域(例如,金融)是用户选择商品或服务的决定性因素。因此,隐私保护水平可以作为数字经济竞争分析中商品或服务质量的一个维度。如果数字企业合并后或者具有垄断地位的企业利用其垄断地位要求用户提供不合理(例如,超出了数据保护法的必要性原则、目的限制原则)的数据,或者将这些数据提供给第三方作为向消费者提供“免费”产品的条件,那么这种肆意地收集和使用用户数据的行为可以被认定为违反了竞争法上的“提高价格或者降低商品质量”或者“获得垄断价格”的规定。在 Google/DoubleClick 案中,有学者指出,信息时代隐私是消费者利益的重要内容, Google 并购 DoubleClick 将导致隐私保护程度降低、商品质量下降,从而损害消费者利益,而用户隐私损害与价格损害没有区别,应该成为竞争法考量的重要因素。

      也有观点认为消费者数据隐私保护是消费者选择的内容。消费者选择是企业竞争非价格因素的一个维度,反映了用户对于商品或服务的自由选择权,通过保障消费者的自由选择能力和议价能力维护消费者利益。在数字经济时代,虽然人们普遍愿意享受更高水平的隐私保护,但是当需要在数据隐私、价格与创新之间作出选择时消费者对于隐私保护的态度存在一定的差异。例如,一些用户排斥定向广告认为其具有侵犯性,而一些用户则愿意用数据换取“免费”的服务,甚至认为定向广告可以节约搜索成本。阿兰·威斯汀将这种差异划分为三个等级—漠不关心者(privacy unconcerned)、实用主义(privaragmatists)以及原教旨主义(privacy fundamentalists)。  由于消费者具有不同的隐私保护需求,通过保护市场自由竞争促进不同数据隐私水平的商品或服务的发展,赋予消费者自由选择权也是对消费者利益的保护。而实践中,数字平台为了维护其数字驱动型盈利模式,不惜通过并购(甚至“扼杀式并购”)等反竞争手段消除提供较高隐私保护水平产品或服务的“搅局者”,抑制数据隐私友好型商品和服务的发展,最终限制消费者选择。例如, Facebook 和 WhatsApp 是两个实行不同程度隐私政策且相互竞争的数字平台,并购导致消费者在使用该类数据平台时选择减少,而新的数据保护水平本身并不重要,重要的是合并会降低消费者选择的可能性。因此,通过保护商品或服务中不同水平的数据隐私选择,保障消费者选择权属于消费者利益的范畴。

      也有观点认为,将消费者数据隐私保护作为质量竞争因素的思路仍然是对价格理论的坚持与运用,分析的出发点是对价格产生的直接或间接作用。数字时代个人信息已经具有重要的反垄断法属性,个人信息不仅是价格的影响因素,很多时候就是在线服务的对价;在很多领域,个人信息不再附属于价格,而是与价格同等重要的因素,已然成为一项独立的消费者利益内容。因此,反垄断法应当实现从“关注价格”向“关注个人信息保护”的制度转型。

      三种观点各有侧重,对数据隐私利益在反垄断法分析中的保护程度和方法具有不同的认识。“质量说”是目前的主流观点,隐私保护水平的高低是企业提供的产品或服务好坏的判断依据,是商品或服务的质量属性。隐私作为质量的一个维度更易于被当前的思维所接受,但是如何克服其主观性,以及如何与价格等因素权衡,仍然是目前还未解决的问题。“消费者选择说”从另一个维度阐述了消费者数据隐私利益纳入反垄断分析框架的可能性,同时由于其标准侧重于定性分析,可以避免数据隐私主观性的干扰。但其局限性在于,一般仅适用于提供不同隐私保护政策企业之间的合并或者滥用市场支配地位的案件。将个人信息作为独立的消费者利益进行保护,是目前提出的反垄断法框架下更高规格的保护模式,目的在于对消费者数据隐私提供更加直接和有效的保护,也意味着需要从制度设计层面全面规划数据保护制度路径,对当前的反垄断执法工具提出挑战。

(二)涉数据隐私的反竞争行为与效果

      1. 数据驱动型经营者集中

      随着消费者隐私保护意识的提高,数字企业处理和保护数据的方式以及为消费者提供的数据控制方式逐渐成为竞争要素。企业提供有力的数据隐私措施不仅是为了遵守法律,而且可以增强其商品或服务的竞争力。然而,数字企业建立在数据驱动型商业模式之上,为了能够达到商业利益最大化、加速实现数据流量变现,在没有外在竞争压力的情况下,在位企业没有动力促进或投资隐私友好型商品或服务。甚至反而企图通过数据驱动型经营者集中获得市场支配地位,排除、限制数据隐私保护方面的竞争对手,从而能够不受竞争限制地收集使用用户数据谋取经济利益。而这一竞争模式无疑对消费者数据隐私利益造成巨大威胁或直接损害。

      例如, 在 Facebook 和 WhatsApp 并购后,WhatsApp 的隐私保护政策被改变并宣称WhatsApp 将与 Facebook 共享用户数据,用户不仅失去了一款能有效保护数据隐私的社交产品,同时 Facebook 拥有大量数据和更强的大数据分析能力后,可能从单纯的“数据挖掘”提升到渗透进生活各个领域的“现实挖掘”,从而能够更加精准地进行用户画像、广告投放、内容推荐等商业活动,损害消费者数据隐私利益。通过调取 Facebook 内部文件,美国《数字市场竞争调查报告》已经证实 Facebook 并购 WhatsApp 的目的就是排除竞争威胁,维持市场支配地位,其自称该战略为“抢夺地盘”

(land grab)以“巩固我们的地位”(shore up our position)。

      又如,欧盟委员会对 Microsoft 与 LinkedIn并购案的分析说明,跨行业数字平台的合并(尤其一方在某一领域占有市场主导地位,掌握企业竞争的重要数据要素)可能会通过限制、拒绝交易等行为排除被合并对象的竞争对手, 从而间接影响消费者数据隐私保护。欧盟委员会认为 Microsoft 与 LinkedIn 合并可能有助于LinkedIn 利用 Microsoft 在操作系统中的资源优势(例如,通过“预安装”等操作),排挤同类职业社交软件中隐私保护水平更高的 XING,从而间接损害消费者隐私保护利益。

      1. 滥用市场支配地位

      滥用市场支配地位包括剥削性滥用和排他性滥用两种类型。数字平台利用其垄断地位不合理地收集处理用户数据,降低消费者数据隐私保护水平的行为可能构成反垄断法中的剥削性滥用。数据积累具有类似于网络效应的自我强化功能,在数据访问权限中占有优势的公司可以利用获得的数据更好地定位用户或提高产品质量以吸引更多用户,进而生成更多数据, 形成一个有利的反馈循环,不断巩固其市场势力。因此,商业模式依赖于收集、处理个人数据的垄断企业,更倾向于利用与消费者之间地位不对等,向其施加不公平交易条款,将其隐私保护降低到竞争水平以下,而在竞争水平以上收集个人数据。2019 年德国联邦卡特尔局(Federal Cartel Office,以下简称 FCO)在Facebook 反垄断案中,认为平台强迫用户允许其无限制地收集其他接入 Facebook API 的数据, 非法收集、整合旗下平台用户数据的行为,实质上是利用不公平交易条款收集、使用用户数据的行为,构成剥削性滥用。尽管 Facebook 案决定书涉及 Facebook 的行为对竞争对手所造成的负面影响的分析(例如,Facebook 不恰当的数据处理行为增加了社交网络市场中潜在竞争对手的进入壁垒),FCO 对于 Facebook行为的认定更多地关注剥削性滥用, 直接以Facebook 与消费者之间的关系为基础,首次以欧盟《一般数据保护条例 》(General Data Protection Regulation,以下简称 GDPR)为竞争执法标准,将侵犯数据隐私的行为直接认定为滥用市场支配地位。

      排他性滥用是指具有市场支配地位的企业为了排挤竞争对手和排斥竞争,或者为了将市场优势不合理地扩大到相邻市场而实施的限制竞争行为。大型平台企业利用其市场支配地位以及与用户之间的交易力量和信息不对称,通过算法等数据挖掘技术获取其他竞争对手无法获得的私人数据,并使用这些数据从事限制竞争对手访问消费者数据的排他性行为时,可能会产生排除限制竞争的效果;或者,如果具有垄断地位的企业拥有对消费者数据的排他性访问权,其从而可能通过捆绑销售等手段来提高竞争对手的成本或进入壁垒,因此侵犯隐私的行为可能构成排他性滥用。例如,在 FCO 对Facebook 反垄断案调查指出,Facebook 通过侵犯用户隐私的方式积累了庞大的数据群,非法获得了竞争优势,并进一步提高了市场进入壁垒,对竞争对手造成实际和潜在的不利影响。在 GDF Suez 案中,法国竞争管理局(Autorité de la concurrence)认为 GDF Suez 公司能够利用其在以前的垄断地位中获得的客户信息,滥用其在天然气市场的支配地位以超出其公共服务义务范围的市场价格报价,从而排除限制其他竞争对手。对于数据排他性滥用行为的救济一般需要打破数据壁垒,实现一定范围内数据共享和自由流通。为了促进市场竞争,法国竞争管理局商请法国数据保护局(Commission Nationale de l'Informatique et des Libertés, CNIL), 在遵守数据保护法的前提下,要求 GDF Suez 必须履行与竞争对手共享客户信息的义务,向其竞争对手提供客户姓名、地址、电话号码和消费状态等个人数据,以便其他企业能够联系到潜在的新客户。但在此之前,GDF Suez 有权通过电子邮件或信件的方式告知其用户,并向不愿意提供数据的用户提供退出(Opt-out)机制。   

      排他性滥用案件的特殊之处在于,既存在侵犯消费者数据隐私排除、限制竞争的排他性滥用行为,又在反垄断救济层面要求数据垄断企业向竞争对手开放用户数据,打破数据壁垒促进市场竞争。在这类案件的处理过程中需要反复权衡消费者数据隐私保护、有效竞争、经济效率以及企业创新积极性等多种利益,也体现了将消费者数据隐私利益纳入反垄断法分析框架的现实需求。


三、数据隐私反垄断监管的外在因素


      有观点认为数据隐私保护问题应该由专门的数据保护法和隐私法进行监管,反垄断法的介入容易造成执法混淆,导致其成为万能法, 违背其立法宗旨。利用反垄断法解决隐私和数据保护问题,实际上是让反垄断法解决其职权范围以外的问题,是一种“奴役”。这一观点将消费者隐私保护视为独立的数据保护法上的问题,脱离了数据保护法的实际应用场景—— 数字经济市场的诸多特征,忽略了数据亦是一种重要的社会资源,数据使用能够产生经济价值,割裂了有效竞争市场与消费者数据权益之间的关系,未意识到数据保护法在高度集中的数字市场实施的局限性。

      目前,各国为了应对数字经济时代的隐私问题,加强个人数据保护的立法,以欧盟的 GDPR、美 国《加州消费者隐私法案》(California Consumer Privacy Act, 简 称CCPA) 以及弗吉尼亚州《消费者数据保护法》(Consumer Data Protection Act,简称 CDPA)最为典型。我国正在加紧制定《个人信息保护法》,目前关于个人信息保护的制度规定散见于《刑法》《民法典》《消费者权益保护法》《网络安全法》《电子商务法》等多部法律法规、规章及规范性文件。无论是以隐私权为基础的美国立法路径,还是以“信息自决”理论为基础的将数据权利视为一般人格权范畴加以保护的欧盟路径,都以强化数据主体对数据的控制为主线。“知情同意”原则是为了实现个人对数据的控制最为重要的一项制度设计。然而,市场力量、信息不对称以及数据外部性等市场失灵以及消费者有限理性的共同作用,导致以“知情同意”原则为基础的数据保护法的实施存在诸多现实困境。此外,数据保护制度中的其他一般原则也可能与数字经济创新与发展的需求相背离。

(一) 结构性垄断限制消费者选择
知情同意原则要求任何主体在进行数据处理活动时,必须告知数据主体数据处理的目的、方式、范围等信息,并获得数据主体或其监护人同意。真正意义上的“同意”的反面,意味着具有不同意的可能性,即消费者具有不被胁迫的选择自由和多种有效选择。

      然而,由于数字经济具有网络效应、范围经济、锁定效应、传导效应等特征,数字市场一般由少数几个头部企业主导,处于结构性垄断导致的弱竞争状态。用户与数字巨头之间交易力量愈加不对等。由于技术水平不对等,用户难以获知数字平台提供服务需要收集哪些类型的数据,如何使用其数据,也难以判断提供其用户个人信息与数字平台提供服务之间的直接联系;由于利益状态不对等,用户放弃获取服务的损失,与数字平台放弃单个用户的损失之间,利益失衡情况十分明显。市场竞争不足导致用户没有可供选择的替代性商品或服务,用户在选择是否同意数字平台收集、使用个人信息时,面临着“拒绝即无服务”的困境。数字平台表面上提供了是否同意的选择机制,而实际上用户只能选择同意,等同于没有真正的选择,导致数据保护法的“知情同意” 原则形同虚设。或者,尽管有时用户存在多归属(Multi-homing)选择,但平台正在努力通过提供个性化服务锁定用户,提高用户转移成本。因此,处于垄断地位的数字企业倾向于利用其市场支配地位过度收集、处理用户数据,从而利用这些数据提供更加个性化的服务,增强自身的竞争力巩固其垄断地位,排除、限制竞争对手进一步限制消费者选择,从而形成不断加强的恶性循环。因此,数字市场的结构性垄断限制了消费者的有效选择,妨害了知情同意原则实施的基础,实质上限制了数据保护法的有效实施。因此,亟需通过打破结构性垄断格局、保障市场有效竞争等反垄断法措施弥补数据保护法职能的不足,促进其有效实施。

(二) 信息不对称与有限理性弱化同意的有效性
信息不对称是指交易中买方和卖方之间掌握的信息存在差异,导致市场交易环境存在缺陷。数字平台的数据处理活动具有隐蔽性,用户通常很难意识到企业的数据处理活动对其个人数据隐私产生的影响,加之企业隐私政策一贯以冗长、晦涩的语言表述, 用户难以明确自己的数据是如何被收集使用的。而且,有研究表明消费者在进行隐私决策时的理性是有限的, 存在用长期的隐私利益来换取短期利益的“短视行为”,导致企业能够利用“小恩小惠”诱导其放弃个人数据利益。此外,行为经济学学者已经证明消费者对默认设置具有普遍惯性,仅仅通过操纵隐私政策,就有可能促使个体披露更多的个人信息。现实中,声称高度关注隐私的个体并不一定会采用隐私保护技术或主动了解隐私政策。因此,企业通过操纵隐私保护政策、系统设置等前置条件,诱导用户放弃数据,并以“知情同意”原则为由绑架消费者, 得出消费者不关心隐私保护的结论,产生所谓的“隐私悖论”。企业反而可能利用隐私保护政策获取更多的用户数据,使其并未真正发挥告知用户数据使用规则的功能。信息不对称的主要原因是消费者与企业之间的交易关系不对等, 垄断性企业在缺乏竞争压力的情况下可以选择利用信息不对称设置不合理交易条款剥削消费者数据,使知情同意原则名存实亡。

      此外,这种信息不对称可能导致“逆向选择”(也称“柠檬市场”)问题。例如,经济学家约瑟夫·法瑞尔指出,如果消费者认定隐私保护是一种幻觉或者说辞,对市场失去信任, 认为根本没有真正的隐私保护可言,那么即使企业提供差异化的高水平隐私保护产品或服务也并不能够从中获利。因此,企业失去促进或投资隐私保护产品或服务的动力,从而抑制隐私友好型产品或服务的技术或者经营模式创新,这种现象被称为“功能失调(Dysfunctional equilibrium)”。  而由于数字平台的商业经营模式主要依赖于消费者数据的收集、分析和评估, 垄断型企业更没有动力为消费者主动提供隐私友好型的产品或服务,造成数据隐私保护竞争机制被破坏,消费者需求无法得到回应。

(三)数据外部性与数据保护机制相背离

      个人数据的披露不仅涉及个人利益,还涉及他人或社会公共利益,可能会对他人或社会产生负外部性或正外部性影响。例如,医疗行业收集分析个人基因信息,可能会促进医疗创新技术的发展增加公众利益,但也可能泄露其家庭成员的信息带来严重不利后果(例如,一些人可能会遭受保险费加价、保障不足、免赔额过高等逆向选择问题)。数字平台向特定主体收集的数据,可能不仅包含被收集主体的个人信息,也可能进一步揭示其同类群体或者与其密切关联的其他个体的信息,因此尽管平台提供产品或服务对消费者具有重要的使用价值, 信息的外部性特征可能使平台收集的数据的经济价值超过其对消费者的经济价值。在这种情况下,企业具有很强的大规模收集使用消费者数据的动力,而企业在缺乏竞争压力且不需要为过度收集和滥用用户数据的行为造成的负外部性付出任何代价时,企业的唯利性促使企业之间滥用用户数据行为愈演愈烈,“逐底竞争”(Race to the bottom)代替“逐顶竞争”(Race to the top),彻底破环隐私友好型产品或服务的潜在市场。数据负外部性导致对市场竞争机制的破坏,而以赋权为主要原则的数据保护法难以真正从源头上解决消费者数据隐私保护问题。

      而另一方面,数据的潜在价值可能大于其最初设计的目的价值,在不同维度上产生价值和效用,因此数据收集使用以及数据共享和自由流通可能产生巨大的正外部性利益。然而, 纵观世界各国数据保护制度的一般原则,主要包括知情同意、公平性、数据质量、目的限制、数据最小化、收集必要性等原则。这些原则大部分来源于被认为是构成“全球个人信息保护的基本思想渊源与基本框架”的美国《公平信息实践》, 形成于工业化时代。在大数据技术的深刻影响下,数据处理在商业模式中的角色由工业时代的辅助型转变成信息时代的主导型, 这些原则并不必然能够与大数据时代数据实践所兼容, 严格的数据保护措施并不必然能够有效地发挥作用,甚至可能破坏创新和竞争。数据保护制度多采用数据使用的限制性规定,考量因素单一,不足以保障数据共享和流通的有效实施,也无法全面解决数据共享和流通中的隐私和安全问题。

      对于数据负外部性导致的“逐底竞争”问题以及如何发挥数据正外部性对经济和社会的促进作用,不能仅仅依靠数据保护法解决,甚至还需要警惕数据保护制度对正外部性的限制作用。应该结合具体场景,恢复市场有效竞争机制,在保障数据合规的前提下能动性地促进数据经济发展与创新。


四、数据隐私保护反垄断监管的路径构建

 

      (一) 基于传统的反垄断法分析框架

传统反垄断法理论分析框架仍然适用于解决部分数据隐私竞争损害问题。本部分立足于传统的反垄断法框架,分析将消费者数据隐私利益纳入反垄断法范围的法律依据,以及对传统的反垄断法监管和分析工具提出的挑战和应对措施。

      1. 数字平台双边市场中相关市场的界定问题

      数字平台具有双边市场特征,将两组及以上不同的用户群体聚集在一起,并为不同的用户群体提供不同的服务。例如,搜索引擎一边为用户提供搜索服务,另一边为广告商提供在线广告服务。为了能够使双方(或多方)用户都加入进来,并且吸引足够多的用户,平台企业一般根据不同用户群体之间的相互依赖程度采用较为特殊的定价策略。例如,社交网络平台为了吸引终端用户,直接向其提供免费的服务,而向广告商收取广告费获得利润。因此, 这种向终端用户提供免费服务的市场被称为“零价格”市场。尽管传统的竞争政策分析的基本概念仍然适用于“零价格”市场,但是许多以价格为中心的分析工具(例如,SSNIP 假定垄断者测试法)无法适用。在界定数字平台相关市场时执法机构往往只关注交易方所在的 市场,而忽视了消费者所在的“零价格”市场。例如,在 Facebook 并购 WhatsApp 案中,欧盟委员会仅分析了数据合并对于在线广告市场的影响,并没有考虑消费者所在的市场以及相应的消费者隐私损害。

      以价格为中心的反垄断评估机制, 通常认为只有平台付费边才构成相关市场,只关注“付费”边市场。而以双边平台为特征的数字企业并购也会对“免费”边市场的消费者利益造成损害,以非价格利益损害为主要表现形式 , 例如,数据隐私利益损害。

      因此,为了全面分析企业竞争行为引起的损害 ( 包括数据隐私损害 ),应该引入多边市场结构的评价机制。我国新出台的《国务院反垄断委员会关于平台经济领域的反垄断指南》第 4条第 1 款规定,“可以根据平台一边的商品界定相关商品市场;也可以根据平台所涉及的多边商品,分别界定多个相关商品市场,并考虑各相关商品市场之间的相互关系和影响。当该平台存在的跨平台网络效应能够给平台经营者施加足够的竞争约束时,可以根据该平台整体界定相关商品市场”。这一规定有利于我国反垄断执法机构对“免费”边市场中的消费者利益提起重视,为消费者数据隐私利益纳入反垄断分析提供法律适用基础。

      1. 经营者集中中的数据隐私利益考量

      尽管我国反垄断执法机构还未就经营者集中以及滥用市场支配地位案中涉及的消费者数据隐私问题进行实质性审查,但《指南》突破性地规定了消费者数据隐私利益。《指南》第 20条第 7 款,明确规定平台经济领域经营者集中对消费者的影响,可以考虑集中后经营者是否有能力和动机以“不恰当使用消费者数据等方式损害消费者利益”。该条款将“不恰当使用消费者数据”与“提高商品价格、降低商品质量、减少商品多样性、损害消费者选择能力和范围、区别对待不同的消费者群体”等方式相并列, 共同认定为经营者集中对消费者利益影响的考量因素,为在经营者集中制度下将消费者隐私利益纳入反垄断分析框架提供了法律依据。然而,对于“不恰当使用消费者数据”行为的认定标准仍需进一步明确,对“使用”以及“消费者数据”的内涵需进一步解释。例如,“使用”是否包括收集数据的行为,不合理收集行为是否具有同等的违法性?“消费者数据”是否仅限于企业已经获得的数据,是否包括消费者在使用服务的过程中不断产生的数据?因此, 为了保持立法语义上的连贯性、全面地涵摄不合理使用用户数据的行为,有必要对“不恰当使用消费者数据”作出进一步解释。

      此外,经营者集中的救济措施条款,即《指南》第 21 条第 1 款规定了数据等无形资产的结构性条件。为了权衡规模经济带来的经济效率与数据集合对其他利益(例如,隐私)的潜在损害,一些情况下执法机构可以附加数据的结构性剥离条件,这一规定为在经营者集中制度下考量消费者数据隐私利益提供了技术路径。另外,同条第 3 款规定,对具有或者可能具有排除、限制竞争效果的经营者集中,反垄断执法机构可以附加“开放网络、数据或者平台等基础设施、许可关键技术、终止排他性协议、修改平台规则或者算法、承诺兼容或者不降低互操作性水平等行为性条件”。该条款反向考虑了经营者集中可能对市场竞争产生潜在的技术、数据等封锁效应,为了降低成本或进入壁垒向并购后的企业附加开放技术、数据等重要资源以增加企业之间产品或服务的兼容性和互操作性的行为性条件。虽然此规定有利于市场竞争,但也可能降低企业创新的动力并且对消费者的数据隐私利益造成直接的损害。因此, 这一条款如何适用不仅是反垄断法的问题,也具有数据保护法和消费者保护法上的意义,反映了三者之间存在一定程度上的对立统一关系, 需要权衡数据隐私利益与经济效率等多种利益关系。

      3. 滥用市场支配地位中的数据隐私利益考量

      《指南》第 16 条第 5 款规定“强制收集非必要用户信息”是分析是否构成搭售或者附加不合理的交易条件的因素。《指南》第 17 条第 1 款规定“基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件”是分析是否构成差别待遇的因素。这两个条款对于数字经济领域滥用市场支配地位强制收集非必要用户信息的行为或者滥用用户数据信息进行差别待遇行为,且具有排除、限制市场竞争效果的, 认定为滥用市场支配地位行为。但是,这两个条款并非等同于欧盟意义上的“剥削性滥用”,仍然坚持以反竞争效果作为认定滥用市场支配地位的基础。《指南》的这两款规定实际上属于对消费者的剥削性滥用行为,同时在特定市场产生排他性滥用的效果,反映了我国反垄断执法坚持以反竞争效果作为行为定性的基本标准。

      我国反垄断法是否有必要规定欧盟意义上的“剥削性滥用”,以实现反垄断法层面更大程度的消费者隐私利益保护,要结合数据保护法的具体实施以及所需解决数字经济问题的实际情况,进一步分析确立与否的必要性。总体而言,基于数字经济的特殊性以及消费者数据隐私保护需求,可以适当放宽当前侵犯隐私所造成的竞争损害的认定标准。

      对于数字企业滥用市场支配地位利用消费者数据隐私进行排除、限制竞争对手的行为,《指南》没有明确规定相应的救济措施,例如共享数据、开放 API 等增加数据可操作性的措施。从欧美等国家的实践经验来看,增加企业数据互操作性,需要结合具体案例具体分析, 需要权衡多种利益,防止搭便车或者损害消费者利益的行为。

(二)数据隐私保护反垄断监管工具创新

      面对数字经济领域竞争的新问题不能片面强调从严监管加重责罚,重点在于监管转型, 实质在于监管创新。数据隐私保护纳入反垄断监管框架,需要融入当前的整体监管思路,加强事前监管、协同监管和激励监管,实现监管工具创新。

      1. 事前监管

      鉴于过去十余年各国数字经济领域宽松的监管政策,数字平台得以飞速发展,部分创立较早且实力雄厚的数字平台积累了远胜于竞争对手的技术与资本优势,获得了先发制人的优势地位。但是,数字市场具有动态竞争的特征, 数字技术和颠覆性创新技术的发展能够实现快速更新迭代,威胁在位企业的市场地位,因此不能直接认定规模较大的数字平台一定具有市场力量。然而,Facebook、Google 等数字平台已经分别占据社交网络平台和搜索引擎平台十余年并且仍然在扩大其市场份额,拥有庞大的数字生态系统也是不争的事实, 市场结构高度集中已经成为数字经济领域的竞争现状。虽然“大并非坏”——经济学家普遍认可托拉斯等垄断组织所能带来的巨大经济效率,贝茨·克拉克曾提出,托拉斯就像火车头,有力地推进了经济的发展,同时还提供了更为多样、更为廉价的服务;而且以市场集中度高低单向决定市场行为方式进而决定市场绩效好坏的 SCP 理论范式已经被关注竞争行为的理论所取代——然而系统性市场失灵导致的结构性竞争不足仍然可能从源头上严重阻碍技术和经营模式创新。数字市场未能有效回应消费者数据隐私保护的需求,主要原因在于垄断性市场结构造成的竞争不足以及对竞争机制的侵噬,使其他中小企业没有生存(盈利)空间与之竞争。

      因此, 欧美国家为了防范结构性垄断对竞争机制的损害,秉持“企业越大,责任越大”的理念,对于数字巨头采取了有针对性的立法措施。例如,欧盟分别起草了《数据服务法(草案)》和《数据市场法(草案)》提出了对于“守门人”进行事前监管的思路。在保护数据隐私竞争方面,《数据市场法(草案)》第 5 条 (a) 款规定,守门人应避免将来自其平台服务的个人数据与守门人提供的任何其他服务的个人数据或第三方服务的个人数据相结合,并避免将终端用户登录到守门人的其他服务中以实现个人数据合并,除非已向终端用户提供了特定的选择并在法规 (EU) 2016/679(GDPR)的意义上获得了同意。第 6 条第 1 款(a)规定,不在与商业用户的竞争中使用非公开可得的数据, 包括由商业用户以及其终端用户基于使用核心平台服务活动而产生的数据,或该商业用户或其终端用户提供的核心平台服务数据。这些条款主要基于 GDPR 数据使用规则对数字平台守门人竞争行为中的数据使用义务予以特别规定, 旨在限制守门人通过侵犯消费者隐私增强市场势力,排除、限制竞争对手。而且《数据市场法(草案)》鉴于部分第 61 款, 对数字市场弱竞争问题造成的数据隐私损害进行了回应,通过向守门人施加特殊义务,确保守门人采用的特征分析做法的透明度,促进进入者或新兴的服务提供者推出差异化的隐私友好型产品或服务,从根本上为提高消费者的数据隐私保护水平提供可能性。这些规定以及鉴于条款体现了欧盟竞争法通过有针对性地采取事前干预措施促进潜在市场竞争,积极保护消费者数据隐私利益的动向。这种事前监管举措有利于解决已经形成的垄断性市场结构导致的竞争不足,恢复可竞争性市场结构,加强事前事中事后全链条监管。

      2. 协同监管

      消费者数据隐私保护问题是一个系统性问题,涉及数据保护机构、反垄断机构以及消费者保护机构等多个部门,需要不同监管部门加强协作实现多元共治。欧盟数据保护专员(European Data Protection Supervisor,EDPS) 在 2014 年的《大数据时代的隐私与竞争 : 数字经济中数据保护、竞争法与消费者保护的相互作用》报告中呼吁数据保护机构、竞争执法机构与消费者保护机构之间加强合作,提出在欧盟范围内共建“数据保护文化”理念。为了保证反垄断执法的连贯性和有效性,英国竞争与市场管理局(Comeptition and Market Authority, CMA)联合信息专员办公室(Information Com- missioner’s Office,ICO)、通信办公室(Ofcom)以及金融行为监管局(Financial Conduct Authority, FCA)建立了数字监管合作论 坛(Digital Regulation Cooperation Forum,DRCF), 共 享专业知识和资源,在重大的数据经济领域监管中开展密切合作。2021 年 5 月 19 日,CMA 和ICO 发布了《数字市场竞争和数据保护:CMA和 ICO 的联合声明》,旨在加强合作共同解决数据保护和竞争之间的对立统一关系问题。

      我国的反垄断执法部门、数据保护机构和消费者保护机构也应当加强合作与联系,通过制定具体的工作制度,建立协商机制共享专业知识和资源、共定政策,以应对复杂的数据隐私保护和市场竞争的执法难题,促进平台经济规范有序健康发展,维护消费者利益和社会公共利益。《个人信息保护法(草案)》规定的“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”已经对实现各相关部门协调监管进行了部署。作为在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索的试点区域,深圳于 2021 年 6 月 29 日通过了《深圳经济特区数据条例》(以下简称《条例》)。《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法,实现了数据保护与公平竞争立法初步融合,有利于促进数据保护机构与反垄断执法机构之间的协同合作。但是对于反竞争行为引起的消费者数据隐私利益损害规定较少,有进一步探索的空间 。

      3. 激励监管

      在数据驱动型经济模式下,信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。命令控制式的监管方式容易导致数据隐私保护监管成本过高而效益不足。有学者指出,近年来有关部门对移动 App 处理个人信息的治理活动取得了一定成效,但总体来看效果不佳,原因在于移动 App 数量庞大,逐一治理不具有现实可行性;而且移动 App 发展速度快,行政执法能力和资源有限跟不上其变化。因此,有必要建立更加有效的治理手段, 从源头治理。而这其中的源头应该是找到能够使企业主动进行数据合规的动力,建立激励相容的数据治理机制。

      首先,需要明确坚持“保护与发展并重, 以保护为基础,以发展为目标,以保护促发展” 的指导思想,在保护数据隐私和数据安全的前提下,为企业留足利用数据进行发展与创新的空间。过于严格的数据保护监管可能会阻碍数字经济发展,可以通过建立数字平台数据合规评估报告制度(例如,结合平台制定的行为准则、实际的数据使用情况、数据创新成果等制作数据合规评估报告)鼓励数字平台积极主动地保护并合理有效地使用用户数据。同时,以构筑严格的外部执法威慑为保证,激励企业主动合规,提高合规动力。

      其次,发挥市场竞争机制的调节作用,为企业开展数据隐私保护方面的竞争提供有效的市场条件,从而形成数据隐私保护的良性竞争。一方面应该加强消费者数据隐私保护意识,加强企业的透明性义务帮助消费者了解不同企业之间数据隐私保护政策的差异性;另一方面倡导和激励企业进行经济模式创新,积极参与数据隐私保护竞争,通过建立信誉评价机制等措施对此类企业进行公开鼓励,促进企业进行自我监管、主动合规。


五、结论


消费者数据隐私利益能否纳入反垄断分析框架仍然存在争议,但无论从反垄断法的内在需求还是数据保护法的外在因素角度分析,将数据隐私利益纳入反垄断分析框架确有其必要性与合理性。然而,反垄断法保护消费者的数据隐私利益应该遵循适度原则,以竞争损害为前提,以实体公正为出发点结合具体场景确定竞争损害的认定标准,避免过度强调反垄断法保护消费者数据隐私利益职能,冲淡反垄断法保护市场竞争秩序的基本功能,损害法律的确定性和可预见性。

      结合当前反垄断立法趋势和传统的反垄断法框架,可以构建消费者数据隐私保护反垄断监管的双重路径。因循传统的反垄断立法框架,我国新出台的《国务院反垄断委员会关于平台经济领域的反垄断指南》创造性地对数字经济中的反垄断问题进行了回应。其中,消费者数据隐私保护问题在经营者集中和滥用市场支配地位等条款中有所体现,但是部分规定存在语义模糊、界限不明等问题,无法为执法活动提供明确指导,亟待进一步解释和完善。而且《指南》属于软法且位阶较低,需要《反垄断法》进一步吸收相关的规定,增强法律效力。另外,当前的反垄断执法工具主要适用于解决以价格为中心的经济效率问题,解决隐私的主观性、数字平台双边市场的相关市场界定以及权衡数据隐私与其他利益之间的关系等问题, 需要借助新的执法规则和工具。

      从当前国际反垄断立法趋势来看,以欧美国家为代表的反垄断机构正在针对数字经济中的竞争问题进行专门性立法,通过创新性的协同监管、激励监管、事前监管等措施增强反垄断机构的执法能力。数据隐私保护问题作为与竞争相互联系的一个面向,也需要在创新性的反垄断立法模式下进行监管。数据保护法作为保护消费者数据隐私利益的专门法,主要通过事后行为救济措施弥补对消费者的隐私损害, 而无法解决结构性竞争不足导致的消费者缺乏选择权从而阻碍其有效实施的问题。反垄断法则可以通过事前的结构性救济恢复有效的市场竞争,建立公平的竞争环境,从而促进数据保护合规,保障数据保护法的有效实施。因此, 是否借鉴域外“守门人”制度向数字平台施加特殊义务,增强数字市场竞争,刺激市场有效回应消费者数据隐私保护需求,激活数据保护友好型的产品或服务的市场竞争,在我国立法实践中也存在讨论的空间。


谢谢阅读

长按下方二维码关注我们

编辑:任志超

审核:孙晋

校对:万召宗

涉及内容转载、推送事宜请及时联系微信后台编辑

任志超3474498489@qq.com



文章讨论
0条评论
中心成果 || 消费者数据隐私保护的反垄断监管理据与路径
来源: 天风证券投教基地
浏览数:3067
2022-03-23

点击蓝字 关注我们

作者

于颖超

加拿大蒙特利尔大学博士研究生,武汉大学法学院博士交流生

孙晋

武汉大学法学院教授,武汉大学网络治理研究院执行院长


消费者数据隐私保护的反垄断监管理据与路径

             载《电子知识产权》2021年第7期


摘要:

      消费者数据隐私关切是否可以纳入反垄断分析框架逐渐引起理论界与实务界的广泛关注。从理论依据分析,数字经济时代消费者利益蕴含对数据隐私利益的保护,将反竞争行为引起的数据隐私损害纳入反垄断分析框架符合其内在需求;数字市场结构性垄断导致的缺乏有效竞争、信息不对称以及数据外部性等方面的市场失灵,导致数据保护法对于消费者数据隐私的保护不足,反垄断监管解决结构性垄断引起的竞争不足问题具有外在动因。结合传统反垄断法分析框架以及当前反垄断执法趋势,有必要整体分析涉数据的滥用市场支配地位和经营者集中引起的数据隐私竞争损害和消费者隐私利益损害,重新审视反垄断法规则和执法方式,同时亟需创新反垄断监管手段,加强事前监管、协同监管和激励监管。 


关键词: 

      反垄断法;数据隐私;消费者利益;结构性垄断;创新性监管

 

一、问题的提出

   

      近年来大数据体量呈现爆发式增长,数据成为数字经济中的关键生产要素和重要战略资源。数字经济建立在企业大规模收集、存储、处理、分析及使用数据的基础之上。社交网络、电子商务、搜索引擎等数字平台通过处理用户数据,一方面,能够实时监测消费者行为和需求,实现对市场趋势的精准预测,还可以利用消费者数据进行用户画像、精准推送商业广告、实施差别定价等商业目的,以实现流量变现;另一方面,可以利用数据优势增强自身竞争力, 提高市场进入壁垒,排除、限制竞争对手进入相关市场。然而,有些数据属于用户的个人信息,包括个人身份、工作、家庭、财产、健康等各方面的信息,是反映个体特征的具有可识别性的符号系统。因此,消费者数据除了能够产生经济价值,提高企业竞争优势外,还具有个人信息属性和人格权利益。随着数据竞争趋于常态化,实践活动中大型数字企业企图通过数据驱动型经营者集中、滥用市场支配地位等手段滥用用户数据,排除、限制竞争对手以谋取垄断利益,既违反垄断法维护市场自由竞争的价值目标,又侵犯了消费者的数据隐私利益。因此,数据隐私保护问题与反垄断逐渐出现交叉,引起理论研究和司法实践领域关于“数据隐私利益是否构成反垄断议题”的思辨。

      理论界与实务界对于此问题的大规模讨论始于美国2007 年的Google 并购 DoubleClick 案。理论界对于消费者数据隐私利益能否纳入反垄断分析框架存在不同的认识。较为主流的支持观点认为,消费者数据隐私是商品或者服务质量的一个维度,当数字企业反竞争行为导致消费者数据隐私水平降低时,反垄断法则应当考虑数据隐私利益。有反对观点认为,数据隐私难以评估、难以量化,反垄断法救济无法处理隐私问题,将隐私纳入反垄断执法容易出现冲突、降低执法确定性等问题, 因此尽管数据隐私能够被视为竞争分析的非价格参数,但应当明确数据隐私与反垄断法之间的界限,将数据隐私问题置于反垄断法的管辖范围之外。

      实践中, 不同国家和地区的反垄断执法机构对于该问题的处理也存在不同的做法。在Google / DoubleClick 案中,美国联邦贸易委员会(Federal Trade Commission,以下简称 FTC) 虽然对交易中非价格因素竞争(包括数据隐私) 进行了调查,但认为似乎没有证据表明并购主体之间存在隐私方面的竞争,未对并购中的数据隐私问题作进一步调查。前 FTC 委员帕米拉·琼斯港则对此发表反对意见认为并购会引起隐私问题,而传统的竞争执法工具未能顾及各相关方利益,尤其是与并购双方没有直接交易关系的消费者,因此需要思考能够识别隐私损害的反垄断法理论,将隐私问题纳入反垄断分析框架。实际上,数据隐私作为竞争的非价格因素之一的观点得到了 FTC 的认可,然而受限于传统的反垄断理论和分析工具,FTC 在处理此类并购案件时很少考虑可能引起的数据隐私损害。

      对于这一议题欧盟竞争执法机构的执法思路则体现了动态变化性。在 Google/DoubleClick 案中, 欧盟委员会(European Commission, 以下简称 EC)未对并购交易对消费者隐私的影响进行调查,并明确表示其仅根据欧盟竞争法对并购进行了评估,此决定不影响合并双方在隐私法下的义务。在 2014 年 Facebook/WhatsApp案中,EC 主要审查了并购后 Facebook 的数据收集能力是否会形成市场势力,以及对广告市场竞争的损害,并没有深入分析并购对“免费边”市场消费者数据隐私利益的损害。但是, EC 确实意识到用户越来越重视隐私和数据安全,认为隐私是竞争的非价格因素。但基于当时对 Facebook 并购动机的认知以及隐私仅是该案中的众多竞争参数之一的实际情况,EC 并未从这一角度具体分析这起并购, 并认为“交易导致的 Facebook 控制范围内数据越来越集中而引起的任何与隐私相关的问题,不在欧盟竞争法监管范围之内,而属于欧盟数据保护规则范筹 ”。然而, 在 2016 年 Microsoft / LinkedIn 案中,EC 分析了合并对消费者数据隐私竞争产生的影响,认为可能导致其他提供高水平隐私保护的专业社交网络平台(例如,XING9)被边缘化或者退出市场,限制关于隐私保护的竞争, 因此不能满足消费者隐私保护的需求。

      近年来,欧盟和美国就该问题的执法思路逐渐出现分野,前者及其成员国竞争执法机构在合并控制和滥用市场支配地位案件中逐步考量数据隐私竞争损害,而后者重视数字企业创新,对数字经济领域反垄断执法长期采取宽松的态度,极少干预数字企业合并等竞争行为, 遑论在反垄断框架下分析数据隐私利益。尽管我国数字经济领域反垄断执法实践还未在具体案例中就消费者数据隐私损害进行分析,但2021 年 2 月 7 日正式公布的《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称《指南》)已经涉及对用户数据隐私损害的规定(后文作进一步讨论),体现了我国反垄断执法对于滥用市场支配地位、经营者集中等垄断行为损害隐私竞争、侵犯消费者隐私的否定性评价和规制态度。

      总体而言,理论界与实务界的基础共识是“数据隐私可以作为竞争的非价格参数”,但是由于对法律专门化界限和执法工具限制的不同认识,整体上存在支持与反对两种不同的学术观点。本文支持前一种观点,并拟从反垄断法和数据保护法两个视角分析数据隐私保护与反垄断之间的联系,提出数据保护法的有效实施, 反垄断法自身发展完善,以及解决“数据保护与经济发展”的矛盾问题,都需要在反垄断执法框架内考量数据隐私因素,并结合传统的反垄断执法思路以及当前国内外立法活动趋势, 分析数据隐私利益纳入反垄断法框架的路径。为此,本文首先基于传统的反垄断执法思路分析数据隐私保护作为数字经济时代反垄断执法的内在需求;其次,从数据保护法角度分析数据保护法制度有效实施需要反垄断法维持有效竞争秩序作为保障,并将其视为反垄断监管的外在因素;再次,从规范性分析和创新反垄断 监管工具的双重路径构建数据隐私保护的反垄断监管模式。


二、数据隐私利益保护构成反垄断法的内在需求


在数字时代,反垄断法中消费者利益的内涵正在发生变化。传统的以价格为中心的反垄断执法思路忽视了对非价格因素的考量,特别是在数字市场,消费者数据成为其使用商品或服务而支付的“货币”,具有逐渐取代价格成为消费者利益主要内容的趋势。数字企业经营者集中,以及滥用市场支配地位等垄断行为造成的损害,可能表现为消费者数据隐私竞争程度的降低、侵犯消费者隐私。随着消费者越来越重视数据隐私保护,反垄断执法应该随着数据驱动型商业模式的发展转换执法重点,将保护消费者数据隐私利益视为其内在需求。

      (一)消费者利益蕴含数据隐私利益

      1. 消费者利益范围与反垄断法价值体系

      保护消费者利益是各国反垄断法的立法目的。然而,消费者利益是一个笼统、模糊的概念,其范围取决于一国反垄断立法价值体系, 即公平、正义、效率等多元价值或经济效率的一元价值。我国《反垄断法》第 1 条明确规定反垄断法的多元立法目的,即保护市场公平竞争,提高经济运行效率,维护消费者利益和社会公共利益,促进社会主义市场经济健康发展。

      美国是反垄断的策源地,纵观美国反垄断法的发展历程,其价值体系遵循了因时而变的规律。19 世纪末期《谢尔曼法》诞生主要是为了应对当时经济结构变化和托拉斯等垄断组织的出现对小生产者利益的威胁,以及由此产生的政治压力和公众对于经济权利集中的担忧。因此,与其说《谢尔曼法》重点解决经济问题, 不如说更多的是应对公众情绪所反映的社会问题和政治问题,体现了反垄断法具有与生俱来的政治使命, 以及对公平正义的追求。20 世纪 30 年代,为了回应国内经济发展的需求,纯粹追求公平正义的目标逐渐被弱化,折衷了“效率”和“公平正义”的哈佛学派受到推崇。到了 20 世纪 70 年代,随着生产率降低以及世界经济对美国经济产生的冲击,反托拉斯法价值取向发生彻底转变,主张以狭义的“消费者福利(即经济效率)”为反托拉斯法明确单一目 的的芝加哥学派在反垄断立法和实践中占据主 导地位。此后,后芝加哥学派的讨论也一直没有脱离“反垄断是一个经济问题”的框架。而近来,一些美国学者主张回塑反托拉斯法的多元价值目的,认为反垄断应关注经济权力集中导致的政治和社会问题,不能以经济效率为检验竞争损害的唯一标准。新布兰迪斯学派认为美国多数部门的产业经济过于集中,质疑过去 30 多年来在美国盛行的以芝加哥学派为主导的竞争政策和反托拉斯哲学,批判芝加哥学派将“消费者福利(经济效率)”作为反托拉斯法的衡量标准是以竞争结果为导向,导致过度集中的市场势力造成的损害未能被执法者发现。 近来,美国对互联网科技巨头展开反垄断调查, 发布的《数字市场竞争调查报告》(下称《报告》)指出,当前反托拉斯法实施目标单一和施之过软的问题,建议国会考虑重申反垄断法的最初意图和多元目标。《报告》称,最高法院狭义地将“消费者福利”解释为反托拉斯法的唯一目标,重点关注价格和产出而非竞争过程,限制了对竞争损害的分析且与反垄断立法历史和立法意图不符。并建议国会考虑重申“反托拉斯法的初衷及广泛的目标,澄清其不仅是为了保护消费者,而且也是为了保护工人、企业家、独立的企业、开放的市场、公平的经济和民主的思想”。

      相较于美国,欧洲的反垄断思想虽然受到美国反垄断思想的启发,却在不断演进中发展出了新的思想谱系—弗莱堡学派(又称,奥尔多自由主义学派)。该学派主张反垄断法除了追求效率目标外,还应维护经济秩序。欧盟的竞争政策体现了多元化的立法价值,不仅承担着建立统一的欧共体市场的重大任务,还力求维护市场有效竞争,提高欧共体企业经济效益, 推动欧共体经济和政治民主,保护消费者福利, 保障公平,促进创新与效率等。

      在单一的“消费者福利(经济效率)”目的之下,消费者利益局限于以“价格增加或产量限制”为损害的经济利益,而“公平、正义、效率”等多元反垄断立法目的包含除价格和产出外的消费者选择多样性、消费者隐私等非经济利益考量。有学者基于“消费者福利(经济效率)”的一元目的,主张隐私问题可能在反垄断分析中发挥一定的作用,但是这种作用必须与反垄断法促进经济效率以增加消费者福利的目标相一致,而非解决其他类型的损害。然而,这一观点异议在于,即使在美国消费者福利(经济效率)的一元目的理论仍然存在争议, 而且随着数字经济时代竞争问题的凸显,囿于一元价值目标难以捕捉市场力量集中导致的竞争损害,特别是在数字市场,以价格为中心的消费者经济利益标准在很多情况下难以适用, 为非经济效率层面消费者隐私利益纳入反托拉斯法框架预留了空间。

      2. 数字经济时代“消费者利益”的演变

      立足于多元的反垄断价值目标,消费者利益既表现为更低的价格、更高质量的产品或服务等经济利益,又表现为保护消费者的公平选择权或公平交易权等非经济利益。传统的反垄断法产生于工业经济时代,主要为了满足消费者的基本物质需求,因此消费者利益以价格为中心。后工业经济时代物质需求得到极大的满足,创新、质量等非价格因素的重要性突显, 传统的以价格为中心的消费者利益概念范围已经难以达到保护消费者的目的。尤其在数字经济领域,企业一般采取“双边市场”商业模式, 一边向用户提供“免费”的产品或服务而收集大量携带用户行为习惯、个人偏好等内容的数据,另一边为了实现流量变现与第三方经营者(例如,广告商)进行用户数据交易或者开放API 为其提供接入用户数据的端口。这种所谓的“零价格”商品或服务打破了传统的以价格为中心的消费者利益概念,用户数据隐私保护成为维护消费者利益的重要内容。数字平台市场力量的最佳证据不是收费价格,而是平台在没有引起市场反应的情况下侵犯消费者隐私的程度。

      关于如何将数据隐私利益纳入反垄断法消费者利益范畴,学者提出了不同的切入点:

      有学者提出数据隐私保护作为质量竞争维度的观点。相比于价格因素,数字市场中消费者利益在一定程度上体现为商品或服务的隐私保护水平,隐私保护水平的高低影响着用户体验和用户评价,是产品价值的一部分,甚至在某些领域(例如,金融)是用户选择商品或服务的决定性因素。因此,隐私保护水平可以作为数字经济竞争分析中商品或服务质量的一个维度。如果数字企业合并后或者具有垄断地位的企业利用其垄断地位要求用户提供不合理(例如,超出了数据保护法的必要性原则、目的限制原则)的数据,或者将这些数据提供给第三方作为向消费者提供“免费”产品的条件,那么这种肆意地收集和使用用户数据的行为可以被认定为违反了竞争法上的“提高价格或者降低商品质量”或者“获得垄断价格”的规定。在 Google/DoubleClick 案中,有学者指出,信息时代隐私是消费者利益的重要内容, Google 并购 DoubleClick 将导致隐私保护程度降低、商品质量下降,从而损害消费者利益,而用户隐私损害与价格损害没有区别,应该成为竞争法考量的重要因素。

      也有观点认为消费者数据隐私保护是消费者选择的内容。消费者选择是企业竞争非价格因素的一个维度,反映了用户对于商品或服务的自由选择权,通过保障消费者的自由选择能力和议价能力维护消费者利益。在数字经济时代,虽然人们普遍愿意享受更高水平的隐私保护,但是当需要在数据隐私、价格与创新之间作出选择时消费者对于隐私保护的态度存在一定的差异。例如,一些用户排斥定向广告认为其具有侵犯性,而一些用户则愿意用数据换取“免费”的服务,甚至认为定向广告可以节约搜索成本。阿兰·威斯汀将这种差异划分为三个等级—漠不关心者(privacy unconcerned)、实用主义(privaragmatists)以及原教旨主义(privacy fundamentalists)。  由于消费者具有不同的隐私保护需求,通过保护市场自由竞争促进不同数据隐私水平的商品或服务的发展,赋予消费者自由选择权也是对消费者利益的保护。而实践中,数字平台为了维护其数字驱动型盈利模式,不惜通过并购(甚至“扼杀式并购”)等反竞争手段消除提供较高隐私保护水平产品或服务的“搅局者”,抑制数据隐私友好型商品和服务的发展,最终限制消费者选择。例如, Facebook 和 WhatsApp 是两个实行不同程度隐私政策且相互竞争的数字平台,并购导致消费者在使用该类数据平台时选择减少,而新的数据保护水平本身并不重要,重要的是合并会降低消费者选择的可能性。因此,通过保护商品或服务中不同水平的数据隐私选择,保障消费者选择权属于消费者利益的范畴。

      也有观点认为,将消费者数据隐私保护作为质量竞争因素的思路仍然是对价格理论的坚持与运用,分析的出发点是对价格产生的直接或间接作用。数字时代个人信息已经具有重要的反垄断法属性,个人信息不仅是价格的影响因素,很多时候就是在线服务的对价;在很多领域,个人信息不再附属于价格,而是与价格同等重要的因素,已然成为一项独立的消费者利益内容。因此,反垄断法应当实现从“关注价格”向“关注个人信息保护”的制度转型。

      三种观点各有侧重,对数据隐私利益在反垄断法分析中的保护程度和方法具有不同的认识。“质量说”是目前的主流观点,隐私保护水平的高低是企业提供的产品或服务好坏的判断依据,是商品或服务的质量属性。隐私作为质量的一个维度更易于被当前的思维所接受,但是如何克服其主观性,以及如何与价格等因素权衡,仍然是目前还未解决的问题。“消费者选择说”从另一个维度阐述了消费者数据隐私利益纳入反垄断分析框架的可能性,同时由于其标准侧重于定性分析,可以避免数据隐私主观性的干扰。但其局限性在于,一般仅适用于提供不同隐私保护政策企业之间的合并或者滥用市场支配地位的案件。将个人信息作为独立的消费者利益进行保护,是目前提出的反垄断法框架下更高规格的保护模式,目的在于对消费者数据隐私提供更加直接和有效的保护,也意味着需要从制度设计层面全面规划数据保护制度路径,对当前的反垄断执法工具提出挑战。

(二)涉数据隐私的反竞争行为与效果

      1. 数据驱动型经营者集中

      随着消费者隐私保护意识的提高,数字企业处理和保护数据的方式以及为消费者提供的数据控制方式逐渐成为竞争要素。企业提供有力的数据隐私措施不仅是为了遵守法律,而且可以增强其商品或服务的竞争力。然而,数字企业建立在数据驱动型商业模式之上,为了能够达到商业利益最大化、加速实现数据流量变现,在没有外在竞争压力的情况下,在位企业没有动力促进或投资隐私友好型商品或服务。甚至反而企图通过数据驱动型经营者集中获得市场支配地位,排除、限制数据隐私保护方面的竞争对手,从而能够不受竞争限制地收集使用用户数据谋取经济利益。而这一竞争模式无疑对消费者数据隐私利益造成巨大威胁或直接损害。

      例如, 在 Facebook 和 WhatsApp 并购后,WhatsApp 的隐私保护政策被改变并宣称WhatsApp 将与 Facebook 共享用户数据,用户不仅失去了一款能有效保护数据隐私的社交产品,同时 Facebook 拥有大量数据和更强的大数据分析能力后,可能从单纯的“数据挖掘”提升到渗透进生活各个领域的“现实挖掘”,从而能够更加精准地进行用户画像、广告投放、内容推荐等商业活动,损害消费者数据隐私利益。通过调取 Facebook 内部文件,美国《数字市场竞争调查报告》已经证实 Facebook 并购 WhatsApp 的目的就是排除竞争威胁,维持市场支配地位,其自称该战略为“抢夺地盘”

(land grab)以“巩固我们的地位”(shore up our position)。

      又如,欧盟委员会对 Microsoft 与 LinkedIn并购案的分析说明,跨行业数字平台的合并(尤其一方在某一领域占有市场主导地位,掌握企业竞争的重要数据要素)可能会通过限制、拒绝交易等行为排除被合并对象的竞争对手, 从而间接影响消费者数据隐私保护。欧盟委员会认为 Microsoft 与 LinkedIn 合并可能有助于LinkedIn 利用 Microsoft 在操作系统中的资源优势(例如,通过“预安装”等操作),排挤同类职业社交软件中隐私保护水平更高的 XING,从而间接损害消费者隐私保护利益。

      1. 滥用市场支配地位

      滥用市场支配地位包括剥削性滥用和排他性滥用两种类型。数字平台利用其垄断地位不合理地收集处理用户数据,降低消费者数据隐私保护水平的行为可能构成反垄断法中的剥削性滥用。数据积累具有类似于网络效应的自我强化功能,在数据访问权限中占有优势的公司可以利用获得的数据更好地定位用户或提高产品质量以吸引更多用户,进而生成更多数据, 形成一个有利的反馈循环,不断巩固其市场势力。因此,商业模式依赖于收集、处理个人数据的垄断企业,更倾向于利用与消费者之间地位不对等,向其施加不公平交易条款,将其隐私保护降低到竞争水平以下,而在竞争水平以上收集个人数据。2019 年德国联邦卡特尔局(Federal Cartel Office,以下简称 FCO)在Facebook 反垄断案中,认为平台强迫用户允许其无限制地收集其他接入 Facebook API 的数据, 非法收集、整合旗下平台用户数据的行为,实质上是利用不公平交易条款收集、使用用户数据的行为,构成剥削性滥用。尽管 Facebook 案决定书涉及 Facebook 的行为对竞争对手所造成的负面影响的分析(例如,Facebook 不恰当的数据处理行为增加了社交网络市场中潜在竞争对手的进入壁垒),FCO 对于 Facebook行为的认定更多地关注剥削性滥用, 直接以Facebook 与消费者之间的关系为基础,首次以欧盟《一般数据保护条例 》(General Data Protection Regulation,以下简称 GDPR)为竞争执法标准,将侵犯数据隐私的行为直接认定为滥用市场支配地位。

      排他性滥用是指具有市场支配地位的企业为了排挤竞争对手和排斥竞争,或者为了将市场优势不合理地扩大到相邻市场而实施的限制竞争行为。大型平台企业利用其市场支配地位以及与用户之间的交易力量和信息不对称,通过算法等数据挖掘技术获取其他竞争对手无法获得的私人数据,并使用这些数据从事限制竞争对手访问消费者数据的排他性行为时,可能会产生排除限制竞争的效果;或者,如果具有垄断地位的企业拥有对消费者数据的排他性访问权,其从而可能通过捆绑销售等手段来提高竞争对手的成本或进入壁垒,因此侵犯隐私的行为可能构成排他性滥用。例如,在 FCO 对Facebook 反垄断案调查指出,Facebook 通过侵犯用户隐私的方式积累了庞大的数据群,非法获得了竞争优势,并进一步提高了市场进入壁垒,对竞争对手造成实际和潜在的不利影响。在 GDF Suez 案中,法国竞争管理局(Autorité de la concurrence)认为 GDF Suez 公司能够利用其在以前的垄断地位中获得的客户信息,滥用其在天然气市场的支配地位以超出其公共服务义务范围的市场价格报价,从而排除限制其他竞争对手。对于数据排他性滥用行为的救济一般需要打破数据壁垒,实现一定范围内数据共享和自由流通。为了促进市场竞争,法国竞争管理局商请法国数据保护局(Commission Nationale de l'Informatique et des Libertés, CNIL), 在遵守数据保护法的前提下,要求 GDF Suez 必须履行与竞争对手共享客户信息的义务,向其竞争对手提供客户姓名、地址、电话号码和消费状态等个人数据,以便其他企业能够联系到潜在的新客户。但在此之前,GDF Suez 有权通过电子邮件或信件的方式告知其用户,并向不愿意提供数据的用户提供退出(Opt-out)机制。   

      排他性滥用案件的特殊之处在于,既存在侵犯消费者数据隐私排除、限制竞争的排他性滥用行为,又在反垄断救济层面要求数据垄断企业向竞争对手开放用户数据,打破数据壁垒促进市场竞争。在这类案件的处理过程中需要反复权衡消费者数据隐私保护、有效竞争、经济效率以及企业创新积极性等多种利益,也体现了将消费者数据隐私利益纳入反垄断法分析框架的现实需求。


三、数据隐私反垄断监管的外在因素


      有观点认为数据隐私保护问题应该由专门的数据保护法和隐私法进行监管,反垄断法的介入容易造成执法混淆,导致其成为万能法, 违背其立法宗旨。利用反垄断法解决隐私和数据保护问题,实际上是让反垄断法解决其职权范围以外的问题,是一种“奴役”。这一观点将消费者隐私保护视为独立的数据保护法上的问题,脱离了数据保护法的实际应用场景—— 数字经济市场的诸多特征,忽略了数据亦是一种重要的社会资源,数据使用能够产生经济价值,割裂了有效竞争市场与消费者数据权益之间的关系,未意识到数据保护法在高度集中的数字市场实施的局限性。

      目前,各国为了应对数字经济时代的隐私问题,加强个人数据保护的立法,以欧盟的 GDPR、美 国《加州消费者隐私法案》(California Consumer Privacy Act, 简 称CCPA) 以及弗吉尼亚州《消费者数据保护法》(Consumer Data Protection Act,简称 CDPA)最为典型。我国正在加紧制定《个人信息保护法》,目前关于个人信息保护的制度规定散见于《刑法》《民法典》《消费者权益保护法》《网络安全法》《电子商务法》等多部法律法规、规章及规范性文件。无论是以隐私权为基础的美国立法路径,还是以“信息自决”理论为基础的将数据权利视为一般人格权范畴加以保护的欧盟路径,都以强化数据主体对数据的控制为主线。“知情同意”原则是为了实现个人对数据的控制最为重要的一项制度设计。然而,市场力量、信息不对称以及数据外部性等市场失灵以及消费者有限理性的共同作用,导致以“知情同意”原则为基础的数据保护法的实施存在诸多现实困境。此外,数据保护制度中的其他一般原则也可能与数字经济创新与发展的需求相背离。

(一) 结构性垄断限制消费者选择
知情同意原则要求任何主体在进行数据处理活动时,必须告知数据主体数据处理的目的、方式、范围等信息,并获得数据主体或其监护人同意。真正意义上的“同意”的反面,意味着具有不同意的可能性,即消费者具有不被胁迫的选择自由和多种有效选择。

      然而,由于数字经济具有网络效应、范围经济、锁定效应、传导效应等特征,数字市场一般由少数几个头部企业主导,处于结构性垄断导致的弱竞争状态。用户与数字巨头之间交易力量愈加不对等。由于技术水平不对等,用户难以获知数字平台提供服务需要收集哪些类型的数据,如何使用其数据,也难以判断提供其用户个人信息与数字平台提供服务之间的直接联系;由于利益状态不对等,用户放弃获取服务的损失,与数字平台放弃单个用户的损失之间,利益失衡情况十分明显。市场竞争不足导致用户没有可供选择的替代性商品或服务,用户在选择是否同意数字平台收集、使用个人信息时,面临着“拒绝即无服务”的困境。数字平台表面上提供了是否同意的选择机制,而实际上用户只能选择同意,等同于没有真正的选择,导致数据保护法的“知情同意” 原则形同虚设。或者,尽管有时用户存在多归属(Multi-homing)选择,但平台正在努力通过提供个性化服务锁定用户,提高用户转移成本。因此,处于垄断地位的数字企业倾向于利用其市场支配地位过度收集、处理用户数据,从而利用这些数据提供更加个性化的服务,增强自身的竞争力巩固其垄断地位,排除、限制竞争对手进一步限制消费者选择,从而形成不断加强的恶性循环。因此,数字市场的结构性垄断限制了消费者的有效选择,妨害了知情同意原则实施的基础,实质上限制了数据保护法的有效实施。因此,亟需通过打破结构性垄断格局、保障市场有效竞争等反垄断法措施弥补数据保护法职能的不足,促进其有效实施。

(二) 信息不对称与有限理性弱化同意的有效性
信息不对称是指交易中买方和卖方之间掌握的信息存在差异,导致市场交易环境存在缺陷。数字平台的数据处理活动具有隐蔽性,用户通常很难意识到企业的数据处理活动对其个人数据隐私产生的影响,加之企业隐私政策一贯以冗长、晦涩的语言表述, 用户难以明确自己的数据是如何被收集使用的。而且,有研究表明消费者在进行隐私决策时的理性是有限的, 存在用长期的隐私利益来换取短期利益的“短视行为”,导致企业能够利用“小恩小惠”诱导其放弃个人数据利益。此外,行为经济学学者已经证明消费者对默认设置具有普遍惯性,仅仅通过操纵隐私政策,就有可能促使个体披露更多的个人信息。现实中,声称高度关注隐私的个体并不一定会采用隐私保护技术或主动了解隐私政策。因此,企业通过操纵隐私保护政策、系统设置等前置条件,诱导用户放弃数据,并以“知情同意”原则为由绑架消费者, 得出消费者不关心隐私保护的结论,产生所谓的“隐私悖论”。企业反而可能利用隐私保护政策获取更多的用户数据,使其并未真正发挥告知用户数据使用规则的功能。信息不对称的主要原因是消费者与企业之间的交易关系不对等, 垄断性企业在缺乏竞争压力的情况下可以选择利用信息不对称设置不合理交易条款剥削消费者数据,使知情同意原则名存实亡。

      此外,这种信息不对称可能导致“逆向选择”(也称“柠檬市场”)问题。例如,经济学家约瑟夫·法瑞尔指出,如果消费者认定隐私保护是一种幻觉或者说辞,对市场失去信任, 认为根本没有真正的隐私保护可言,那么即使企业提供差异化的高水平隐私保护产品或服务也并不能够从中获利。因此,企业失去促进或投资隐私保护产品或服务的动力,从而抑制隐私友好型产品或服务的技术或者经营模式创新,这种现象被称为“功能失调(Dysfunctional equilibrium)”。  而由于数字平台的商业经营模式主要依赖于消费者数据的收集、分析和评估, 垄断型企业更没有动力为消费者主动提供隐私友好型的产品或服务,造成数据隐私保护竞争机制被破坏,消费者需求无法得到回应。

(三)数据外部性与数据保护机制相背离

      个人数据的披露不仅涉及个人利益,还涉及他人或社会公共利益,可能会对他人或社会产生负外部性或正外部性影响。例如,医疗行业收集分析个人基因信息,可能会促进医疗创新技术的发展增加公众利益,但也可能泄露其家庭成员的信息带来严重不利后果(例如,一些人可能会遭受保险费加价、保障不足、免赔额过高等逆向选择问题)。数字平台向特定主体收集的数据,可能不仅包含被收集主体的个人信息,也可能进一步揭示其同类群体或者与其密切关联的其他个体的信息,因此尽管平台提供产品或服务对消费者具有重要的使用价值, 信息的外部性特征可能使平台收集的数据的经济价值超过其对消费者的经济价值。在这种情况下,企业具有很强的大规模收集使用消费者数据的动力,而企业在缺乏竞争压力且不需要为过度收集和滥用用户数据的行为造成的负外部性付出任何代价时,企业的唯利性促使企业之间滥用用户数据行为愈演愈烈,“逐底竞争”(Race to the bottom)代替“逐顶竞争”(Race to the top),彻底破环隐私友好型产品或服务的潜在市场。数据负外部性导致对市场竞争机制的破坏,而以赋权为主要原则的数据保护法难以真正从源头上解决消费者数据隐私保护问题。

      而另一方面,数据的潜在价值可能大于其最初设计的目的价值,在不同维度上产生价值和效用,因此数据收集使用以及数据共享和自由流通可能产生巨大的正外部性利益。然而, 纵观世界各国数据保护制度的一般原则,主要包括知情同意、公平性、数据质量、目的限制、数据最小化、收集必要性等原则。这些原则大部分来源于被认为是构成“全球个人信息保护的基本思想渊源与基本框架”的美国《公平信息实践》, 形成于工业化时代。在大数据技术的深刻影响下,数据处理在商业模式中的角色由工业时代的辅助型转变成信息时代的主导型, 这些原则并不必然能够与大数据时代数据实践所兼容, 严格的数据保护措施并不必然能够有效地发挥作用,甚至可能破坏创新和竞争。数据保护制度多采用数据使用的限制性规定,考量因素单一,不足以保障数据共享和流通的有效实施,也无法全面解决数据共享和流通中的隐私和安全问题。

      对于数据负外部性导致的“逐底竞争”问题以及如何发挥数据正外部性对经济和社会的促进作用,不能仅仅依靠数据保护法解决,甚至还需要警惕数据保护制度对正外部性的限制作用。应该结合具体场景,恢复市场有效竞争机制,在保障数据合规的前提下能动性地促进数据经济发展与创新。


四、数据隐私保护反垄断监管的路径构建

 

      (一) 基于传统的反垄断法分析框架

传统反垄断法理论分析框架仍然适用于解决部分数据隐私竞争损害问题。本部分立足于传统的反垄断法框架,分析将消费者数据隐私利益纳入反垄断法范围的法律依据,以及对传统的反垄断法监管和分析工具提出的挑战和应对措施。

      1. 数字平台双边市场中相关市场的界定问题

      数字平台具有双边市场特征,将两组及以上不同的用户群体聚集在一起,并为不同的用户群体提供不同的服务。例如,搜索引擎一边为用户提供搜索服务,另一边为广告商提供在线广告服务。为了能够使双方(或多方)用户都加入进来,并且吸引足够多的用户,平台企业一般根据不同用户群体之间的相互依赖程度采用较为特殊的定价策略。例如,社交网络平台为了吸引终端用户,直接向其提供免费的服务,而向广告商收取广告费获得利润。因此, 这种向终端用户提供免费服务的市场被称为“零价格”市场。尽管传统的竞争政策分析的基本概念仍然适用于“零价格”市场,但是许多以价格为中心的分析工具(例如,SSNIP 假定垄断者测试法)无法适用。在界定数字平台相关市场时执法机构往往只关注交易方所在的 市场,而忽视了消费者所在的“零价格”市场。例如,在 Facebook 并购 WhatsApp 案中,欧盟委员会仅分析了数据合并对于在线广告市场的影响,并没有考虑消费者所在的市场以及相应的消费者隐私损害。

      以价格为中心的反垄断评估机制, 通常认为只有平台付费边才构成相关市场,只关注“付费”边市场。而以双边平台为特征的数字企业并购也会对“免费”边市场的消费者利益造成损害,以非价格利益损害为主要表现形式 , 例如,数据隐私利益损害。

      因此,为了全面分析企业竞争行为引起的损害 ( 包括数据隐私损害 ),应该引入多边市场结构的评价机制。我国新出台的《国务院反垄断委员会关于平台经济领域的反垄断指南》第 4条第 1 款规定,“可以根据平台一边的商品界定相关商品市场;也可以根据平台所涉及的多边商品,分别界定多个相关商品市场,并考虑各相关商品市场之间的相互关系和影响。当该平台存在的跨平台网络效应能够给平台经营者施加足够的竞争约束时,可以根据该平台整体界定相关商品市场”。这一规定有利于我国反垄断执法机构对“免费”边市场中的消费者利益提起重视,为消费者数据隐私利益纳入反垄断分析提供法律适用基础。

      1. 经营者集中中的数据隐私利益考量

      尽管我国反垄断执法机构还未就经营者集中以及滥用市场支配地位案中涉及的消费者数据隐私问题进行实质性审查,但《指南》突破性地规定了消费者数据隐私利益。《指南》第 20条第 7 款,明确规定平台经济领域经营者集中对消费者的影响,可以考虑集中后经营者是否有能力和动机以“不恰当使用消费者数据等方式损害消费者利益”。该条款将“不恰当使用消费者数据”与“提高商品价格、降低商品质量、减少商品多样性、损害消费者选择能力和范围、区别对待不同的消费者群体”等方式相并列, 共同认定为经营者集中对消费者利益影响的考量因素,为在经营者集中制度下将消费者隐私利益纳入反垄断分析框架提供了法律依据。然而,对于“不恰当使用消费者数据”行为的认定标准仍需进一步明确,对“使用”以及“消费者数据”的内涵需进一步解释。例如,“使用”是否包括收集数据的行为,不合理收集行为是否具有同等的违法性?“消费者数据”是否仅限于企业已经获得的数据,是否包括消费者在使用服务的过程中不断产生的数据?因此, 为了保持立法语义上的连贯性、全面地涵摄不合理使用用户数据的行为,有必要对“不恰当使用消费者数据”作出进一步解释。

      此外,经营者集中的救济措施条款,即《指南》第 21 条第 1 款规定了数据等无形资产的结构性条件。为了权衡规模经济带来的经济效率与数据集合对其他利益(例如,隐私)的潜在损害,一些情况下执法机构可以附加数据的结构性剥离条件,这一规定为在经营者集中制度下考量消费者数据隐私利益提供了技术路径。另外,同条第 3 款规定,对具有或者可能具有排除、限制竞争效果的经营者集中,反垄断执法机构可以附加“开放网络、数据或者平台等基础设施、许可关键技术、终止排他性协议、修改平台规则或者算法、承诺兼容或者不降低互操作性水平等行为性条件”。该条款反向考虑了经营者集中可能对市场竞争产生潜在的技术、数据等封锁效应,为了降低成本或进入壁垒向并购后的企业附加开放技术、数据等重要资源以增加企业之间产品或服务的兼容性和互操作性的行为性条件。虽然此规定有利于市场竞争,但也可能降低企业创新的动力并且对消费者的数据隐私利益造成直接的损害。因此, 这一条款如何适用不仅是反垄断法的问题,也具有数据保护法和消费者保护法上的意义,反映了三者之间存在一定程度上的对立统一关系, 需要权衡数据隐私利益与经济效率等多种利益关系。

      3. 滥用市场支配地位中的数据隐私利益考量

      《指南》第 16 条第 5 款规定“强制收集非必要用户信息”是分析是否构成搭售或者附加不合理的交易条件的因素。《指南》第 17 条第 1 款规定“基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件”是分析是否构成差别待遇的因素。这两个条款对于数字经济领域滥用市场支配地位强制收集非必要用户信息的行为或者滥用用户数据信息进行差别待遇行为,且具有排除、限制市场竞争效果的, 认定为滥用市场支配地位行为。但是,这两个条款并非等同于欧盟意义上的“剥削性滥用”,仍然坚持以反竞争效果作为认定滥用市场支配地位的基础。《指南》的这两款规定实际上属于对消费者的剥削性滥用行为,同时在特定市场产生排他性滥用的效果,反映了我国反垄断执法坚持以反竞争效果作为行为定性的基本标准。

      我国反垄断法是否有必要规定欧盟意义上的“剥削性滥用”,以实现反垄断法层面更大程度的消费者隐私利益保护,要结合数据保护法的具体实施以及所需解决数字经济问题的实际情况,进一步分析确立与否的必要性。总体而言,基于数字经济的特殊性以及消费者数据隐私保护需求,可以适当放宽当前侵犯隐私所造成的竞争损害的认定标准。

      对于数字企业滥用市场支配地位利用消费者数据隐私进行排除、限制竞争对手的行为,《指南》没有明确规定相应的救济措施,例如共享数据、开放 API 等增加数据可操作性的措施。从欧美等国家的实践经验来看,增加企业数据互操作性,需要结合具体案例具体分析, 需要权衡多种利益,防止搭便车或者损害消费者利益的行为。

(二)数据隐私保护反垄断监管工具创新

      面对数字经济领域竞争的新问题不能片面强调从严监管加重责罚,重点在于监管转型, 实质在于监管创新。数据隐私保护纳入反垄断监管框架,需要融入当前的整体监管思路,加强事前监管、协同监管和激励监管,实现监管工具创新。

      1. 事前监管

      鉴于过去十余年各国数字经济领域宽松的监管政策,数字平台得以飞速发展,部分创立较早且实力雄厚的数字平台积累了远胜于竞争对手的技术与资本优势,获得了先发制人的优势地位。但是,数字市场具有动态竞争的特征, 数字技术和颠覆性创新技术的发展能够实现快速更新迭代,威胁在位企业的市场地位,因此不能直接认定规模较大的数字平台一定具有市场力量。然而,Facebook、Google 等数字平台已经分别占据社交网络平台和搜索引擎平台十余年并且仍然在扩大其市场份额,拥有庞大的数字生态系统也是不争的事实, 市场结构高度集中已经成为数字经济领域的竞争现状。虽然“大并非坏”——经济学家普遍认可托拉斯等垄断组织所能带来的巨大经济效率,贝茨·克拉克曾提出,托拉斯就像火车头,有力地推进了经济的发展,同时还提供了更为多样、更为廉价的服务;而且以市场集中度高低单向决定市场行为方式进而决定市场绩效好坏的 SCP 理论范式已经被关注竞争行为的理论所取代——然而系统性市场失灵导致的结构性竞争不足仍然可能从源头上严重阻碍技术和经营模式创新。数字市场未能有效回应消费者数据隐私保护的需求,主要原因在于垄断性市场结构造成的竞争不足以及对竞争机制的侵噬,使其他中小企业没有生存(盈利)空间与之竞争。

      因此, 欧美国家为了防范结构性垄断对竞争机制的损害,秉持“企业越大,责任越大”的理念,对于数字巨头采取了有针对性的立法措施。例如,欧盟分别起草了《数据服务法(草案)》和《数据市场法(草案)》提出了对于“守门人”进行事前监管的思路。在保护数据隐私竞争方面,《数据市场法(草案)》第 5 条 (a) 款规定,守门人应避免将来自其平台服务的个人数据与守门人提供的任何其他服务的个人数据或第三方服务的个人数据相结合,并避免将终端用户登录到守门人的其他服务中以实现个人数据合并,除非已向终端用户提供了特定的选择并在法规 (EU) 2016/679(GDPR)的意义上获得了同意。第 6 条第 1 款(a)规定,不在与商业用户的竞争中使用非公开可得的数据, 包括由商业用户以及其终端用户基于使用核心平台服务活动而产生的数据,或该商业用户或其终端用户提供的核心平台服务数据。这些条款主要基于 GDPR 数据使用规则对数字平台守门人竞争行为中的数据使用义务予以特别规定, 旨在限制守门人通过侵犯消费者隐私增强市场势力,排除、限制竞争对手。而且《数据市场法(草案)》鉴于部分第 61 款, 对数字市场弱竞争问题造成的数据隐私损害进行了回应,通过向守门人施加特殊义务,确保守门人采用的特征分析做法的透明度,促进进入者或新兴的服务提供者推出差异化的隐私友好型产品或服务,从根本上为提高消费者的数据隐私保护水平提供可能性。这些规定以及鉴于条款体现了欧盟竞争法通过有针对性地采取事前干预措施促进潜在市场竞争,积极保护消费者数据隐私利益的动向。这种事前监管举措有利于解决已经形成的垄断性市场结构导致的竞争不足,恢复可竞争性市场结构,加强事前事中事后全链条监管。

      2. 协同监管

      消费者数据隐私保护问题是一个系统性问题,涉及数据保护机构、反垄断机构以及消费者保护机构等多个部门,需要不同监管部门加强协作实现多元共治。欧盟数据保护专员(European Data Protection Supervisor,EDPS) 在 2014 年的《大数据时代的隐私与竞争 : 数字经济中数据保护、竞争法与消费者保护的相互作用》报告中呼吁数据保护机构、竞争执法机构与消费者保护机构之间加强合作,提出在欧盟范围内共建“数据保护文化”理念。为了保证反垄断执法的连贯性和有效性,英国竞争与市场管理局(Comeptition and Market Authority, CMA)联合信息专员办公室(Information Com- missioner’s Office,ICO)、通信办公室(Ofcom)以及金融行为监管局(Financial Conduct Authority, FCA)建立了数字监管合作论 坛(Digital Regulation Cooperation Forum,DRCF), 共 享专业知识和资源,在重大的数据经济领域监管中开展密切合作。2021 年 5 月 19 日,CMA 和ICO 发布了《数字市场竞争和数据保护:CMA和 ICO 的联合声明》,旨在加强合作共同解决数据保护和竞争之间的对立统一关系问题。

      我国的反垄断执法部门、数据保护机构和消费者保护机构也应当加强合作与联系,通过制定具体的工作制度,建立协商机制共享专业知识和资源、共定政策,以应对复杂的数据隐私保护和市场竞争的执法难题,促进平台经济规范有序健康发展,维护消费者利益和社会公共利益。《个人信息保护法(草案)》规定的“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作”已经对实现各相关部门协调监管进行了部署。作为在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据共享开放以及数据交易等方面先行探索的试点区域,深圳于 2021 年 6 月 29 日通过了《深圳经济特区数据条例》(以下简称《条例》)。《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法,实现了数据保护与公平竞争立法初步融合,有利于促进数据保护机构与反垄断执法机构之间的协同合作。但是对于反竞争行为引起的消费者数据隐私利益损害规定较少,有进一步探索的空间 。

      3. 激励监管

      在数据驱动型经济模式下,信息控制者对于个人信息有很强的利用激励而缺乏同等程度的保护激励。命令控制式的监管方式容易导致数据隐私保护监管成本过高而效益不足。有学者指出,近年来有关部门对移动 App 处理个人信息的治理活动取得了一定成效,但总体来看效果不佳,原因在于移动 App 数量庞大,逐一治理不具有现实可行性;而且移动 App 发展速度快,行政执法能力和资源有限跟不上其变化。因此,有必要建立更加有效的治理手段, 从源头治理。而这其中的源头应该是找到能够使企业主动进行数据合规的动力,建立激励相容的数据治理机制。

      首先,需要明确坚持“保护与发展并重, 以保护为基础,以发展为目标,以保护促发展” 的指导思想,在保护数据隐私和数据安全的前提下,为企业留足利用数据进行发展与创新的空间。过于严格的数据保护监管可能会阻碍数字经济发展,可以通过建立数字平台数据合规评估报告制度(例如,结合平台制定的行为准则、实际的数据使用情况、数据创新成果等制作数据合规评估报告)鼓励数字平台积极主动地保护并合理有效地使用用户数据。同时,以构筑严格的外部执法威慑为保证,激励企业主动合规,提高合规动力。

      其次,发挥市场竞争机制的调节作用,为企业开展数据隐私保护方面的竞争提供有效的市场条件,从而形成数据隐私保护的良性竞争。一方面应该加强消费者数据隐私保护意识,加强企业的透明性义务帮助消费者了解不同企业之间数据隐私保护政策的差异性;另一方面倡导和激励企业进行经济模式创新,积极参与数据隐私保护竞争,通过建立信誉评价机制等措施对此类企业进行公开鼓励,促进企业进行自我监管、主动合规。


五、结论


消费者数据隐私利益能否纳入反垄断分析框架仍然存在争议,但无论从反垄断法的内在需求还是数据保护法的外在因素角度分析,将数据隐私利益纳入反垄断分析框架确有其必要性与合理性。然而,反垄断法保护消费者的数据隐私利益应该遵循适度原则,以竞争损害为前提,以实体公正为出发点结合具体场景确定竞争损害的认定标准,避免过度强调反垄断法保护消费者数据隐私利益职能,冲淡反垄断法保护市场竞争秩序的基本功能,损害法律的确定性和可预见性。

      结合当前反垄断立法趋势和传统的反垄断法框架,可以构建消费者数据隐私保护反垄断监管的双重路径。因循传统的反垄断立法框架,我国新出台的《国务院反垄断委员会关于平台经济领域的反垄断指南》创造性地对数字经济中的反垄断问题进行了回应。其中,消费者数据隐私保护问题在经营者集中和滥用市场支配地位等条款中有所体现,但是部分规定存在语义模糊、界限不明等问题,无法为执法活动提供明确指导,亟待进一步解释和完善。而且《指南》属于软法且位阶较低,需要《反垄断法》进一步吸收相关的规定,增强法律效力。另外,当前的反垄断执法工具主要适用于解决以价格为中心的经济效率问题,解决隐私的主观性、数字平台双边市场的相关市场界定以及权衡数据隐私与其他利益之间的关系等问题, 需要借助新的执法规则和工具。

      从当前国际反垄断立法趋势来看,以欧美国家为代表的反垄断机构正在针对数字经济中的竞争问题进行专门性立法,通过创新性的协同监管、激励监管、事前监管等措施增强反垄断机构的执法能力。数据隐私保护问题作为与竞争相互联系的一个面向,也需要在创新性的反垄断立法模式下进行监管。数据保护法作为保护消费者数据隐私利益的专门法,主要通过事后行为救济措施弥补对消费者的隐私损害, 而无法解决结构性竞争不足导致的消费者缺乏选择权从而阻碍其有效实施的问题。反垄断法则可以通过事前的结构性救济恢复有效的市场竞争,建立公平的竞争环境,从而促进数据保护合规,保障数据保护法的有效实施。因此, 是否借鉴域外“守门人”制度向数字平台施加特殊义务,增强数字市场竞争,刺激市场有效回应消费者数据隐私保护需求,激活数据保护友好型的产品或服务的市场竞争,在我国立法实践中也存在讨论的空间。


谢谢阅读

长按下方二维码关注我们

编辑:任志超

审核:孙晋

校对:万召宗

涉及内容转载、推送事宜请及时联系微信后台编辑

任志超3474498489@qq.com



我要
建议
回到
顶部

我要建议

我们期待您的意见和建议,我们会关注您的反馈,为您提供更好的服务!

1. 您参与证券投资的经验是
2. 您对天风证券投资者教育基地的整体满意度是
3. 你对天风证券投资者教育基地的其它意见和建议: