欧盟竞争法中个人数据保护的实践及启示
2021-01-03黄政宗冯泽华
黄政宗 冯泽华
竞争是市场经济的重要运行方式。竞争法通过维护市场竞争而促进经济社会的发展。在“免费”“共享”的经济模式中,市场交易的主要标的不是具体的商品和服务,而是使用商品和服务的“人”以及个人所产生的数据信息。用户数据成为互联网企业的“货币”。免费网络服务平台可以通过收集用户数据进行交易或者向用户精准推送广告而盈利,其侵犯隐私的程度会超出用户的可控、可知范围。用户要么在不知情的情况下被盗用了个人信息数据,要么在知道数据风险情况下仍无法控制个人信息数据被滥用。网络谚语称“免费的才是最贵的”,或许正是喻指免费互联网服务的潜在风险。隐私保护水平决定了网络服务的“服务质量”并已成为互联网企业的重要竞争手段。互联网企业合并过程中,如果一方公司收集的个人数据无法获得另一方公司的隐私政策的保护,那么合并可能导致个人隐私和个人数据的泄露。不同的互联网企业所拥有的用户数据的集中会形成市场支配地位,对个人信息自决权和市场竞争构成威胁。
欧盟竞争法中个人数据保护的实践探索
从欧盟地区的法律实践来看,将个人数据保护纳入竞争法规范领域正在逐步探索中。欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)于2018年5月25日开始实施,是欧盟在收集、使用、访问、数据可携权(right to data portability)等方面制定的统一的个人数据保护规则。以GDPR的通过时间为界限,可以看出欧盟在竞争法中对个人数据保护问题的立场转变。
1.GDPR通过之前。2016年4月14日GDPR通过之前,欧盟在竞争法规范中排除个人数据保护。在2006年Ansef-Equifax V. Ausbanc一案中,欧洲法院认为与个人数据保护有关的任何问题本质上均非竞争法问题,应该根据数据保护的相关规定加以解决。[1]在2008年谷歌(Google)与DoubleClick业务合并检查中,欧盟委员会(European Commission)认为批准收购决定不会干扰竞争,但是双方应当履行《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)保护个人隐私的义务,特别是应当履行1995年《数据保护指令》(EU Data Protection Directive, Directive 95/46/EC)和2002年《电子通信隐私指令》(Directive on privacy and electronic communications, Directive 2002/58/EC)规定的义务。[2]在2014年Facebook收购WhatsApp的企业合并审查中,欧盟委员会认为此次交易虽然可能会使Facebook控制的数据集中度增加,但是由此形成的隐私风险不在欧盟竞争法的规制范围,而是应该由欧盟数据保护法规进行规制。[3]Facebook回复欧盟委员会质询时指出,Facebook虽然完全控制其与WhatsApp合并成立的全资子公司,不过两家公司的用户账户之间无法自动匹配,因而不会造成用户数据泄露风险。
2.GDPR通过之后。GDPR通过后旋即对竞争法实践产生明显影响。在2016年8月,WhatsApp更新了隐私政策,允许Facebook连接WhatsApp的用户标识符(主要是电话号码)进而在线查找用户的社交关系网络,理由是此举将有助于改善服务。欧盟委员会于2016年12月30日向Facebook发送反对意见书并勒令Facebook支付1.1欧元的罚款。[4]在微软/LinkedIn企业合并审查中,欧盟委员会于2016年12月6日批准了有条件收购的申请。合并的前提是企业拥有的用户个人数据应遵循GDPR进行保护。[5]GDPR加强了用户对个人数据的控制权利,会限制微软访问和处理用户个人数据的权限。欧盟关于微软/LinkedIn企业合并的审查的决定是欧盟将个人数据保护纳入竞争法规范性构成要件的标志。
2019年2月6日,德国联邦卡特尔办公室(Bundeskartellamt)针对Facebook的德国子公司违反GDPR和德国《反限制竞争法》第19条的行为,下达了禁止合并不同来源的用户数据的决定。[6]《根据德国〈反限制竞争法〉第32条第1款条做出的决定》指出,Facebook强迫用户接受收集用户数据和cookies的服务条款的行为违反了GDPR的基本原则和德国《反限制竞争法》第19条第1款的一般性条款,属于滥用市场支配地位之行为。[7]用户如果不同意Facebook全面收集和利用数据的服务条款,则无法使用Facebook的服务。而GDPR第6条第1款规定,用户“同意”数据管理者处理其个人数据之前,应当清楚数据的特定用途或目的。Facebook如果没有说明数据的准确用途,即使事先声明了其收集个人数据的行为也会被视为违法。
欧盟竞争法中个人数据保护的启示
欧盟的法律实践经验表明,在数字经济时代个人数据保护与竞争法息息相关。
1.针对数字经济市场构建以数据可携权为根本的法律架构。在GDPR通过之前,欧盟竞争法与个人数据保护法之间缺乏底层法律架构。数据保护法的目标之一是消除数据管理者和数据主体之间的力量不对称,确保两者之间利益的适当平衡。为了保护信息自决权(informational self-determination)这一基本权利,数据保护法赋予个人自由而不受强制地决定个人数据的权利。但是,信息自决权受到数据管理者的限制。
数据可携权(Right to data portability)是GDPR第20条新创的个人数据权利,旨在保障个人数据高效、安全地在不同数据管理者之间传输。数据主体在不损害他人权利和自由的前提下,有权直接将个人数据从一个数据管理者转移到另一个数据管理者。该权利的行为不得违反公共利益或者国家赋予特定数据管理者的职权范围。数据可携性的前提是数据无障碍传输,即数据管理者必须为用户提供常用的、结构化的、机器可读的数据格式。目前在欧美发达国家,数据可携权已经成为个人数据保护的一项基础性权利。2020年1月1日起生效的美国《2018年加州消费者隐私法案》(California Consumer Privacy Act of 2018, CCPA)要求掌握超过5万人信息的企业,应根据用户申请而免费提供用户自身的数据信息。用户可以随时通过电子邮件、手机通信等可能的途径获得本人的信息数据,而企业有义务配合用户的查询申请。另外,CCPA特别强调了用户获得的本人数据必须是允许用户随时可用并无障碍转移的格式,即个人数据应当具有可携性(portability)。[8]
第29条数据保护工作组(Article 29 Working Party)公布的《关于数据可携权的指南》(Guidelines on the right to “data portability”)[9]中提出,数据可携权支持个人数据在不同的数据管理者之间自由流动,从而促进竞争、提高数据服务质量。用户数据是网络服务平台生存发展之基,互联网企业需要提供更人性化的服务以吸引用户、获得更多可携数据。数据可携权是数据主体有权获取由数据管理者收集的有关个人的信息数据,以机器可读的方式保存并用于个人用途。可见,数据可携权超越了传统的数据访问权,增加了个人保存、转移、使用等相关权利。例如,当数据主体在一个音乐平台上获得了音乐作品著作权许可,他有权在另一个音乐平台上使用。数据可携权有助于增强数据管理者之间的安全共享途径,防止数据领域的“圈地运动”。
2.赋予数据主体个人对“用户画像”的拒绝权。数据可携权保障个人信息自决权的作用无可置疑,但是对市场竞争的潜在影响仍是未知数。数据可携权允许数据以通用格式在不同的数据管理者之间流通,如同货币一样。数据主体可以根据自己的需要选择个人数据的管理者,而不必受限于特定的网络服务商。一方面,如果数据不可自由流动,必然强化用户对特定网络平台服务商的数据依赖,从而提高市场的准入门槛,限制新竞争者的进入。网络服务市场的垄断企业可以声称数据以加密格式存储在特定设备,拒绝用户的访问、提取或转移。此类行为违背了《欧洲联盟条约》(Treaty on European Union)第119条中自由竞争的开放市场原则。按此逻辑,数据可携权将有利于打破数据准入壁垒,促进行业公平竞争。另一方面,数据可携权允许用户自由地把个人数据从中小型互联网公司转移至大型互联网公司之中,可能会增加中小型互联网公司的经营成本和市场风险,损害市场竞争。大型数据管理者可以凭借优势地位对中小型数据管理者进行“数据掠夺”,中小型数据管理者则缺乏数据壁垒的缓冲和保护而处于竞争弱势地位。数据壁垒既可能阻碍数据流动、强化数据垄断,也可能在某种程度上保护中小型数据管理者的持续经营和创新动力。数据可携权虽然打破数据壁垒,但没有消除大型数据管理者滥用市场支配地位、侵犯个人隐私的可能性。从数据掠夺的角度看,数据的自由流动甚至可能有助于大型数据管理者的数据集中战略。大型的互联网企业可能凭借其市场优势地位收集到更多可携数据,从而生成更准确的“用户画像”(profiling)并为用户编织“信息茧房”(information cocoons)。
数据集中带来的各种各样的隐私风险。比如Facebook/WhatsApp擅自改变隐私策略使用户数据集中并生成“用户画像”。根据GDPR第4条(4)项的定义,“用户画像”是指数据管理者通过任何形式自动处理的个人数据生成的个人形象。这些个人数据主要是指可用于分析和预测自然人在工作、经济地位、健康、个人倾向、兴趣爱好、可信度、行为、地点或行动方面的特定数据。“用户画像”能为用户提供更便捷有效的网络服务,同时也可能导致隐私泄露,威胁到人类的精神自由和行动自由。因此,GDPR第21条赋予数据主体拒绝数据管理者处理个人数据的权利,第22条更是直接赋予用户拒绝“用户画像”的个人数据自动化处理服务的权利。数据管理者如果不保护数据主体拒绝处理个人数据的要求,将会违反GDPR的规定而受到处罚。
3.严格区分个人数据和非个人数据。数据壁垒是企业为了维护竞争优势和市场地位而主动设置的行业准入障碍,不仅涉及数据的技术壁垒,而且包含了法律方面的准入障碍。数据的技术壁垒首先体现在技术的研发成本上。在市场竞争层面,大型企业等数据管理者在算法、大数据、机器学习等方面具备尖端的技术研发能力,可以不断提高行业的技术壁垒,从而提高行业的市场准入门槛。资金实力有限的企业将无法持续参与技术竞赛而被迫退出市场。再者,不同的数据管理者采取了不同的数字设备和数据存储标准,使得数据可携权缺乏统一硬件和软件标准。当个人数据与特定数字设备或者数据存储标准捆绑的时候,用户将会丧失对个人数据的控制能力。数据管理者可以设备不兼容为由拒绝个人数据的流动,或者为用户提供标准不兼容的个人数据。从数据壁垒的法律方面看,虽然竞争法反对数据管理者的市场垄断行为,但是法律也保护企业商业秘密和数据所有权。个人数据是用户在使用企业的产品或服务之后产生的。当该产品或服务免费时,企业会将收集到的所有数据视为私有财产或者商业秘密。不可否认,越来越多的产品、服务以数据为载体,与用户个人数据混合在一起。此时,企业可以商业秘密或数据财产的理由掩饰其对个人数据的滥用,而法律需要在企业商业秘密、数据财产与个人数据可携权之间进行艰难的法益权衡。
为了避免数据可携权可能造成的负面影响,欧盟对个人数据与非个人数据(non-personal data)采取了严格区分。从技术角度看,可携之数据不仅包括个人数据,还包括非个人数据。个人数据可携权的权利主体是自然人,而政府、企业等法人单位则是数据可携权的义务主体。非个人数据可携权的权利主体则主要是政府、企业等法人单位。《欧盟非个人数据自由流动框架》(A framework for the free flow of non-personal data in the European Union)指 出,非个人数据主要来源于不断扩大的物联网、人工智能和机器学习,将有利于推动工业自动化生产、农业自动化、工业机器维护等领域的技术进步。欧盟在非个人数据领域制定的明确、全面和可预测的法律框架,可以促进非个人数据的自由流动,发展数字经济和提高欧盟的产业竞争力。
现实中,数据管理者由于设备的特殊性或者出于利用数据壁垒保护自身利益的目的,收集了大量的混合数据,以此规避个人数据保护的监管。例如,自动驾驶汽车既包含了乘客的个人活动轨迹,又含有汽车设备运行的数据。如果不严格区分个人数据和非个人数据,那么自动驾驶汽车的数据管理者可以非个人数据的名义间接收集并非法使用大量的个人数据。对此,欧盟委员会指出,只要匿名的数据集可能通过技术手段转化为个人数据或形成用户画像,则此类数据即属于个人数据并根据GDPR规则进行保护。除此之外的数据则归属于非个人数据。[10]企业把个人数据与非个人数据混同的行为,将导致企业所拥有的数据均被视为个人数据并应当允许随时访问,使其知识产权和商业秘密暴露给所有数据主体,显然不利于企业自身利益。企业的最佳选择只能是严格区分个人数据与非个人数据,把个人数据独立保存并以通用格式随时提供给数据主体。因此,欧盟通过明确并扩大个人数据的概念内涵,增进数据主体的权利和自由,强化对数据集中行为的监管,从而有效避免数据管理者以混合数据的形式逃避监管。