个人信息保护视角下平台反垄断研究
2022-09-06朴宗根董东晓
□朴宗根 董东晓
平台在自身掌握庞大用户个人信息数据后,不但易形成平台经济领域的垄断地位,危害市场公平竞争;在收集、存储和使用用户个人信息时,又极易造成对用户个人信息的泄露与个人权益的侵害。本文将平台垄断问题纳入个人信息保护的视角下进行研究,从顶层制度重构上,思考个人信息保护与平台反垄断之间的协调问题,从而实现个人信息保护的力度加大与平台反垄断工作顺畅开展的双重目的。
一、竞争到垄断:平台经济活动的初心与归宿
(一)竞争:互联网平台参与经济活动的基本手段
互联网平台刚刚兴起之时,由于市场并未得到充分开发,互联网经济领域也未得到细化,平台的介入与发展相对容易,在各个细分行业领域,不存在本应得到法律规制的竞争手段,因此,平台会采取各种经营策略,以便尽快达到垄断,获得竞争上的绝对优势。互联网经济发展初期,某一互联网平台将注意力聚焦在网络零售行业时,其他平台如果也想获得先发优势,便可以避开互联网零售行业,开发餐饮外卖平台,即使也要开发互联网零售平台,也可将互联网零售进一步细分,如原来的平台业务以日用品为主,后来者便可以书籍、文化用品为主。如此便可避开先到者的先发优势。此时,后入场者其实也获得了该细分领域的先发优势。这个阶段较短,随着市场经济主体的不断学习,很快就会过去,进入到一种充分竞争的局面。利用市场细分避开与“巨无霸”平台进行竞争的策略,已很难奏效,因为市场主体已很难找到一个尚未得到开发的“处女地”。平台经济领域与其他传统经济领域一样,竞争是常态,而通过对市场不断细分获得先发优势,或是通过垄断获得超额利润,均为非常态。对于平台经济领域来说,平台垄断行为需进行规制。
(二)垄断:互联网平台梦寐以求的终极归宿
垄断是竞争的必然结局,竞争在不断的自我否定中产生垄断。互联网平台期望通过垄断获得超额利润,这是天然本能。而平台欲获得市场支配地位进行垄断,就需要掌握足够多的个人用户信息,对用户进行准确“画像”,精准营销。如何获得更多的用户信息,引导更多用户进行注册并长期使用,平台各出奇招。平台在不受法律法规约束的情况下,就会产生尽可能多地去收集用户信息的冲动。在此过程中,用户个人信息的处理权限,就成为规制平台垄断行为的重要“起点”与“支点”,也是平台反垄断工作的重要抓手。
目前,互联网平台自行建立用户个人信息数据库,自行收集、存储和使用用户个人信息,甚至司法机关因刑事案件侦查需要,依然要倚重平台的支持,否则会因无法调取电子数据而无法侦破案件。目前如此布局,能够适应平台运营需求,平台可以根据市场变化和用户诉求,自主随时调整,无需得到相关国家行业主管部门的审批与监管。但是,弊端也是明显的,一是平台个人信息数据库重复建设,资源浪费严重;二是平台维护网络安全能力参差不齐,个人信息保护不力,失密泄密事件频发,引发公众担忧;三是平台垄断冲动难以遏制,手握海量用户个人信息,不自觉间已身处市场支配地位。
(三)由乱到治:行业发展的一般规律
19世纪末,美国处于农业社会向工业社会急剧转型后期,食品安全问题层出不穷。1898年罗斯福带部队参加美西战争所携带的罐头大量变质,数千名士兵因腹泻而失去战斗力,数百名美国士兵因此丧命。后来罗斯福亲自整顿,通过顶层制度设计,组建以威利博士为首的美国食品药品监督管理局(FDA),并颁布《食品和药品法》。从此美国逐渐走上食品药品行业由乱到治的发展状态。
审视平台经济领域的发展历程,也不例外,平台发展依然会经历一个由乱到治的过程。互联网平台经济是互联网平台发展到高级阶段而形成的一种新型经济形态。整体而言,目前我国平台经济领域呈现出的是垄断与竞争并存、相关细分市场高度集中的局面。[1]因此,针对目前互联网平台经济领域发展现状和已经暴露出来的诸如个人信息泄露等问题,对平台经济领域进行规范正当其时,而且也非常迫切。相信随着对平台经济领域规范发展、公平良性竞争问题的进一步关注,我国平台经济领域也必然会走出一条富有时代特色的“中国之路”,向世界贡献出平台垄断治理的“中国方案”。
二、一体或分立:平台个人信息保护的模式之辨
(一)一体:个人信息处理高效便捷,平台成本低
一体,是指对于用户个人信息的收集、存储与使用由互联网平台统一管理,这是目前互联网平台的一种普遍做法。一体化处理用户个人信息,可提高平台运营效率,有助于平台在市场竞争中获得优势,这对于个人信息保护来说,不失为一种高效管理模式。但是这种模式在方便平台的同时,因企业自身经营管理或者其他原因,问题不断。
2014年初,支付宝因“内部作案”,出现用户信息泄露; 同年底,12306 也出现用户信息泄露;2016年12月,京东12GB 用户信息泄露再次牵动着公众的心,因为这关系着太多的京东平台用户,数据中包括数量庞大的电话号码、家庭住址和身份证号码等。后据报道,经京东信息安全部门判断,该数据源于2013年Struts2 的安全漏洞问题,当时国内几乎所有的互联网公司及大量银行、政府机构都遭到波及,导致大量数据信息泄露。[2]问题频仍,但因对个人信息的侵害较轻微,或只是造成一种受到侵害的可能,而直接产生现实危害较少,因此即使泄露的数据量比较大,但是受害人也易怠于行使诉讼权利或者因取证问题无法行使以获得救济。[3]
个人信息的收集、存储与使用一体化管理的个人信息保护模式,在实践中暴露出诸多弊端,也助长了平台在市场竞争中进行垄断的冲动,这种模式必须得到重新审视。
(二)分立:个人信息流转环节增多,平台成本增加
目前互联网平台各自收集用户个人信息,重复建设数据库,使用信息各自为政,虽有平台内部规范,但平台自身的裁量权非常大。因此,应将个人信息采集与存储业务,从平台业务中分离出来,单独设立相关的数据库。当平台需要使用个人信息时从基础数据库中申请调用,并且强制要求平台不再存储用户个人信息、交易记录等信息,平台的数据库中只保留其经营类的数据,比如交易额等。
个人信息采集、存储与使用分立的模式,会使得平台当中个人信息流转环节增多,从而使使用成本增加。此处的分立是将整个互联网平台领域所有涉及个人信息的业务,全部予以整合,由国家牵头建立一个基础数据库和若干行业数据库,供国内互联网平台申请调用。当然,这个工作前期投入可能比较大,但这是个利国利民的大事,同时也是提升个人信息保护和规制平台垄断行为的有效措施。
平台个人信息保护到底是采取一体还是分立的模式,要结合平台经济发展的具体阶段去看。在平台经济发展初期,平台各自为政自行建立数据库,而国家不去做过多的干预,是一种正常现象,因为这个阶段互联网平台经济未得到充分发展,不论是平台垄断问题,还是用户个人信息安全问题,均未得到充分暴露。在问题充分暴露前,国家贸然介入,只会影响行业发展;平台经济经过一段时间发展,产生了较为充分的市场竞争,将各种问题充分暴露出来,这时国家采取具有针对性的手段去干预市场发展中出现的垄断问题,科学选择平台个人信息保护模式,从而破解个人信息保护和平台垄断行为所产生的一系列问题,才恰如其分。
三、分立与监管:平台反垄断的利器
(一)分立:个人信息收集与平台使用相分离
基于个人信息保护和平台反垄断的需要,必须从顶层设计上,将个人信息收集、存储等活动从互联网平台用户个人信息数据库中分立出来,将个人信息收集、存储等个人信息处理活动由国家或者国家授权的机构独立管理,由国家实际控制。目前公民个人信息大数据中心的建设工作,已然成为国家基础设施建设的重要组成部分。
个人信息数据库建设,可分为国家个人信息基础数据库和国家行业个人信息数据库。国家个人信息基础数据库,可依托目前公安部公民户籍信息数据库,对公民个人相关信息进行丰富完善,这样一来可大大降低建设成本,二来公安机关管理公民个人信息也是岗位职责和本职工作。国家个人信息数据库采集的数据,可涵盖公民个人的各项自然信息,如姓名、性别、民族等,随着社会管理需求和科技的进一步发展,可以采集公民的一些生物学信息,如DNA、人脸识别信息等。
国家行业个人信息数据库可涵盖公民在该行业活动过程中所产生的数据信息,如国家医疗行业个人信息数据库,可以收集和存储人们在医院、药店等诊疗机构就诊时所产生的病例、购药等信息。国家行业个人信息数据库可由中央行业主管部门牵头抓总,建立相应数据库。
平台运营商需要的数据,由国家个人信息基础数据库和国家行业个人信息数据库按照 “非必要不提供”原则,予以提供。申请提供数据须提供申请提供数据的报告,列明要求提供的每一项个人信息的理由与用途,由国家行业主管部门和第四方进行审查。该处的第四方,可由国家监管机构设置专门的内设机构予以审查,也可成立相应的行业协会,由行业协会组织第四方进行审查,防止平台数据收集、存储的运营方与平台运营商形成利益共同体。即使如此,依然要考虑在这个运行体系中,监督问责问题,要加强相关专业机构的监督,比如检察机关的法律监督。
(二)监管:个人信息收集与平台使用规范化
对于平台反垄断问题,目前尚缺乏可供借鉴的成功经验,为防止对平台监管从过度包容甚至放纵的极端,走向过度管制甚至压抑平台经济领域活力的另一个极端。因此,监管应当秉持谦抑性理念和审慎监管理念,创新监管手段,升级监管系统。从顶层制度设计上,分离个人信息处理权限,分段监管。有学者认为,依据良法积极推进高效的包容审慎监管、公平公正监管、协同整体监管、激励性监管、信用监管和智慧监管、技术赋能监管,是实现平台反垄断监管的善治之道[4],这与本文所讨论的监管只是视角不同,异曲同工。
强化平台经济领域监管也是大势所趋,具有深刻的全球化背景。欧盟平台经济领域近年来主要是被美国的互联网平台所占据。因此,欧盟很早就对美国的互联网平台巨头展开了措施严厉的反垄断,近年来有进一步加强监管的趋势。
(三)理论模型:个人信息保护与监管体系的制度重构
个人信息保护与监管体系的理论模型构建,对本文的论述起着关键性作用。本节主要就上文论述的个人信息保护与监管所构建的理论模型展开阐释,以明确个人信息保护各主体所担负的主要责任和运转流程,以及监督机制如何发挥作用。
国家个人信息基础数据库,主要依托公安部现有户籍信息数据库,对国家行业个人信息数据库进行指导与监管,同时也承担互联网平台个人信息保护相关工作的整体统筹、业务培训和法治宣传等职责。
国家行业个人信息数据库,使用国家个人信息基础数据库的基础数据,同时增加公民在各个行业中参与社会活动所产生的各种信息,接受政府行业主管部门审批通过的调用申请和业务监管。
政府行业主管部门,是指教育部、财政部等中央政府行业主管部门,主要负责对各互联网平台申请调用国家行业个人信息数据库中个人信息的申请进行审核,对申请调用项目和申请理由是否符合相关规定做出决定。同时,国家行业主管部门要承担对驳回平台申请的复议和互联网平台个人用户的投诉与建议,确保国家行业个人信息数据库良好运行。
互联网平台,是指通过网络信息技术,使相互依赖的双边或者多边主体在特定载体提供的规则下交互,以此共同创造价值的商业组织形态,如淘宝、美团等。在图1 中,主要是对用户个人信息在经营活动中有使用需求的一方,依申请调用公民个人信息数据后用以经营活动,同时新产生的个人数据要即时回传国家行业个人信息数据库,互联网平台只有使用权限,而无存储与转授他人的权限。
图1 个人信息保护与监管体系
互联网平台个人用户,主要是指利用互联网平台工作、生活的自然人,以个人身份在互联网平台上注册并进行活动的单位,也视同个人用户。
图1 中(1)是国家个人信息基础数据库与互联网平台个人用户交互的过程。在这个过程中,国家个人信息基础数据库向互联网平台个人用户依据 《个人信息保护法》《网络安全法》 等法律法规采集相关个人信息,而个人有配合采集的义务,同时对所采集的个人信息是否正确以及用途享有监督权。在此环节,对于互联网平台个人用户而言,采集个人信息时要遵循“知情+同意+监督”原则。
(2)是国家行业个人信息数据库与平台个人用户之间的交互过程。这个过程与(1)类似。
(3)是国家行业个人信息数据库与平台之间的交互过程。在国家行业主管部门审批通过平台申请调用公民个人信息数据的申请后,由国家行业个人信息数据库依申请将相关数据传输给平台。
(4)(5)是国家个人信息基础数据库与国家行业个人信息数据库之间的交互过程。国家个人信息基础数据库对国家行业个人信息数据库具有业务指导和技术监管职责; 国家行业个人信息数据库接受国家个人信息基础数据库的业务指导、技术支持与监管,最重要的是获取个人信息基础数据的使用授权,在此基础上,丰富公民个人行业信息。
(6)是国家行业个人信息数据库与政府行业主管部门的交互过程。政府行业主管部门审核平台调用个人信息数据的申请后,向国家行业个人信息数据库发出指令,由国家行业个人信息数据库向平台传输数据。
(7)是国家行业主管部门对国家行业个人信息数据库的监管。对国家行业个人信息数据库采集数据的种类、范围、数量等进行监管。同时,政府行业部门依据国家个人信息基础数据库和国家行业个人信息数据库的建设运营成本情况,向平台收取一定的费用,用于数据库的建设与后期运营维护。
(8)表示政府行业主管部门接受平台调用公民行业个人信息数据申请的程序。国家行业主管部门对申请依据相关规定进行审查,决定是否同意申请。
(9)表示政府行业主管部门接受互联网平台对拒绝其调用个人信息数据申请的复议、投诉以及关于个人信息保护方面的建议等。
(10)(11)是平台与平台个人用户之间的交互过程。互联网平台为平台个人用户提供服务,并在提供服务过程中记录相关数据,即时回传给国家行业个人信息数据库存储; 平台个人用户对平台在提供服务过程中是否存在侵权等进行监督,平台要接收相关投诉与建议,对用户监督认真研究改进。
(12)是政府行业主管部门与平台个人用户之间的交互。当出现个人信息方面的侵权时,平台个人用户可以向政府行业主管部门投诉,由政府行业主管部门予以核实、解决,发现涉嫌刑事犯罪的要及时向公安机关移送线索,同时向检察机关报送相关情况。
(13)(14)(15)(16)(17)表示检察机关对个人信息保护与监管体系各环节的履职过程。检察机关对国家个人信息基础数据库、国家行业个人信息数据库的运营合规性实施法律监督。
关于个人信息保护与监管体系中的利益分配,国家个人信息基础数据库和国家行业个人信息数据库的数据收集工作的主体,初期可以考虑由市场主体通过公平竞争的方式进行参与,或者是国有企业与私营企业共同经营,但是最终要由国家进行控制,比如通信行业,中国移动、中国联通等。不管股权形式如何,最终都是要由国家统一进行管理,因为用户信息的重要程度,并不比通信自由的重要程度低。
四、结语
反垄断执法目前能够做的只有在现有的法律法规框架内开展平台经济领域反垄断工作,而垄断的根源却是市场主体天然具有的一种冲动,作为利益追逐者的市场主体,获得垄断超额利润是其追求。因此,只有从顶层制度设计上对平台经济领域开展反垄断,从国家制度层面进行布局,从根源上考虑信息时代平台经济领域的垄断规制问题,才会使得个人信息保护与平台垄断行为得以协调治理。
将个人信息的采集、存储从传统的由平台自身收集、存储和使用的一条龙流程中分离出来,建立由国家实际掌控和运营的国家个人信息基础数据库和国家行业个人信息数据库,加强个人信息数据流转各环节的闭环监管,并且强化检察机关法律监督职能的充分发挥,对个人信息保护与监管体系中的各环节进行法律监督,能够推动有效市场和有为政府更好地结合,推动更高水平的法治中国、平安中国建设。