数据隐私保护的反垄断法路径
2022-12-31李晓楠王嘉徽
李晓楠 王嘉徽
(1.郑州大学 法学院,河南 郑州 450001;2.华东政法大学 经济法学院,上海 201620)
一、问题的提出
数据以大规模聚合为基础,呈现出规模性、高速性、多样性和真实性等特性[1]。数字市场的发展在提升了消费者福利的同时,也有助于降低数字企业的运营成本。具体来讲,在用户注册阶段,数字企业从免费端获取用户注册信息,并将该信息作为个性化广告的基础以促使付费端运转;在注册用户使用免费产品阶段,企业也源源不断地获取用户的使用数据,产品凭此不断试验演练并实现进一步升级。数字企业把收集到的数据信息进行机器学习和算法分析,在精准画像的基础上为消费者降低搜寻成本,提供个性化推荐服务。
但在人们欢呼互联网免费产品所带来的福利时,经济学家却引入机会成本理论喊出“天下没有免费的午餐”。尤其是当媒体披露“剑桥分析丑闻”后,人们愈发认识到互联网的数据泄露风险,并进一步思考何为算法陷阱。甚至有学者[2]提出大数据带来的社会负外部性既有个人隐私泄漏风险的具体成本,又有包含个人隐私信息被平台用于政治选举而破坏民主制度的抽象成本。
囿于算法黑箱,用户和数字企业之间出现高度信息不对称。用户无法充分理解数字平台的技术规则,进一步造成个人对数据失去控制,最终仅保留虚幻的信息自决。用户和数字平台之间的信任之堤出现了缺口:用户对数据隐私失去预期,不知道来自何处的个人数据信息被用于画像,也不知道这些数据将基于何种目的被平台进行何种处理。信息不对称加强了地位不对称,数字企业出现道德风险,毫无底线地获取用户数据。又因为数据老化速度较快,其价值随时间推移而递减,所以数字企业纷纷开展异常的数据军备竞赛。数据是“石油”和“货币”这一简单的比喻掩盖了数据信息的主体价值,忽视了人们的隐私与尊严。
数据隐私与竞争看似毫无关联,却在数字经济时代发生竞合。数字平台收集个人数据并通过大数据技术对消费者画像,从而制定个性化和精准化的商业策略,助推其竞争优势甚至相关市场垄断地位的形成。但数字市场的垄断可能损害消费者福利包括滥用个人数据、侵犯消费者隐私,使消费者难以实现对个人数据的控制。例如,2019年2月6日,德国反垄断机构Bundeskartellamt基于《德国反限制竞争法》(以下简称GWB)第19条第1节对“脸书”(Facebook)损害用户私人利益的剥削性商业条款作出处罚,由此引发全世界相关学者和执法机构关于反垄断法保护数据隐私的讨论。目前学界对于隐私纳入《反垄断法》分析框架存在两种观点[3]。一是分离主义,提出数据隐私保护和反垄断竞争保护追求的法益不同,预设二者完全互斥;二是整合主义,主张扩张解释“质量”概念,将数据隐私保护纳入质量范畴,考虑私营机构的竞争行为是否会减少隐私保护的选择以进行反垄断法分析。无论承认何种观点,两者都表明市场竞争和隐私、消费者保护等领域的法律规定紧密相关[4]。
Ariel Ezrachi和Maurice E.Stucke在《VirtualCompetition》[5]一书中描述了互联网大数据算法改善人类生活的同时,也可能给人们带来负面作用。透过大数据的表象,人们可以看到信息科技的进步隐藏着传统市场结构性的变革,甚至蔑视自由竞争、践踏个人隐私。本文将结合《中华人民共和国反垄断法》(以下简称《反垄断法》)在发挥数据隐私保护功能方面的局限,探讨《反垄断法》通过规制排除或限制市场竞争行为来保护数据隐私的可能,适应性地提出制度完善路径。
二、《反垄断法》保护数据隐私的可能与功能
竞争围绕价格和非价格因素展开。其中,非价格因素包含质量、创新、公平等要素。《反垄断法》既能实现竞争保护目的,又能附带性实现价格规制、改善质量、促进创新等利益。竞争的衡量标准是消费者福利标准。目前,该标准的含义从历史和实践角度呈现由价格中心主义向多元化拓展的趋势。尤其是当隐私可以被视为消费者利益中的质量一环时,《反垄断法》的实施有助于配合其他数据保护立法,附带性保护消费者的数据隐私。
(一)消费者利益内涵拓展
1.衡量竞争的标准与内涵扩充。《反垄断法》旨在保护市场的有序运行和公平竞争,规制损害竞争的违法行为。对竞争损害的影响分析,传统实践和理论均倾向于可以量化的消费者福利分析。“最终衡量竞争政策的标准为是否满足消费者需要”[6]。消费者需求亦即消费者福利,包含价格方面和非价格因素。传统反垄断理论受芝加哥学派影响,注重消费者福利的价格因素而忽视非价格因素。由此,《反垄断法》在分析消费者福利时聚焦于产品或服务的成本、价格变动,并对消费者剩余产生直接影响。换言之,传统消费者福利标准的核心是以成本或价格变动为表现的价格因素。
在消费者福利的非价格方面,经济学理论也研讨提升产品质量和提供多样选择等内容。然而这些抽象因素难以量化,故此实践对其赋予较少权重,更多关注易于衡量的经济因素,如价格和产出(即消费者剩余和生产者剩余)。尽管如此,欧美和中国的反垄断法发展历史、立法与执法实践均表明消费者福利的考量已经从价格中心拓展到非价格因素。
第一,美国经历“镀金时代”和“新镀金时代”的转变,单一经济目标之下的价格中心主义出现向非价格因素拓展的趋势。芝加哥学派将消费者福利理论和经济学价格理论相结合,认为消费者福利标准中的经济效率是唯一目标,对“平民主义”展开抨击。美国最高法院在“丽晶案”中提出为促进竞争而采纳合理原则,衡量转售价格维持所带来的消费者福利[7]。实践中法官仅仅把消费者福利理解为“总消费者剩余”也再次印证芝加哥学派以价格为中心衡量竞争的经济效率主张。
然而,传统的价格中心主义面临数字经济时代的挑战,仅仅将价格作为衡量指标无法解决互联网市场中“免费产品或服务”带来的垄断问题。如,虽然亚马逊资产负债表显示连年亏损,但该平台仍然通过融资方式继续存活并最终成为互联网巨头。为解决这一难题,承接布兰代斯学派和“平民主义”的新布兰代斯学派反对芝加哥学派的价格中心论调,主张“新镀金时代”人们更应关注数字平台垄断对原有公权力等方面的冲击问题,倡议反垄断回归到更宏大的使命。概言之,反垄断立法仅以价格为中心的经济目标已经不足以解决问题,扩大其目标具有现实必要性。
2020年美国众议院反垄断委员会多次召开关于谷歌、苹果、“脸书”和亚马逊(上述四个公司以下简称GAFA)的听证会是其赞同新布兰代斯学派理论的一个例证。此外,2020年10月,美国众议会发布对GAFA的《数字市场竞争调查报告》,提出大型科技公司会阻遏市场创新和减少消费者选择,还损害了美国的政治、文化、新闻自由和个人隐私保护。值得一提的是,随着拜登政府任命新布兰代斯学派的代表人物吴修铭(Tim Wu)等人员担任反垄断要职,美国反垄断执法逐渐显现新布兰代斯学派的主张。2021年8月,美国更是提出一揽子的大数据反垄断法案[8]。由此可见,美国反垄断法再次趋向考察政治和社会影响,将消费者福利的过程和结构纳入消费者福利的考查范围[9],为考量非价格因素留下空间,从而更好地回应数字时代提出的挑战。
第二,相异于美国,欧盟竞争法具有多元立法目的。欧盟在竞争法层面存在区域整体和各成员国国内两个维度,这一特点决定了欧盟竞争法多元保护目标有着独特背景。虽然欧盟并未列明具体的竞争目标,但欧盟竞争法的内容和历史沿革可以看出其包含欧盟市场一体化,保护市场结构、经济自由和选择自由,保护公平竞争,保障消费者福利等目标[10]。欧盟竞争法的适用实践更是将消费者福利塑造为综合性概念,囊括质量、消费者选择等多种因素。举例来说,《欧盟运作条约》(以下简称TFEU)第102条禁止通过不公平交易条件和歧视性价格等对终端用户造成直接损害的剥削型滥用行为。由此,隐私可以作为公平和消费者福利的一个维度进行讨论。
第三,我国《反垄断法》既确立竞争为保护目标,又明确多元受益体。《反垄断法》第一条中“保护市场公平竞争”的顺序在先,“维护消费者利益”的顺序在后。我国《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称《平台经济领域的反垄断指南》)第十七条规定的“差别待遇”和第二十条规定的“经营者集中”的考虑因素[11],也对数据获取与消费者利益进行阐述。《经营者集中审查规定(征求意见稿)》第三十四条直接点明,评估经营者集中对消费者的影响可以考虑经营者集中对产品或服务质量等方面的影响,再次呈现出消费者福利的多维度理解。
《反垄断法》第二十二条第一款第(六)项禁止无正当理由对条件相同的交易相对人在交易价格等交易条件方面实施差别待遇。该条系剥削型滥用条款,将价格歧视作为剥削消费者的样态。同时本项采用“等”字进行兜底,再加上第二十二条新增的第二款内容,可以扩大解释用于规制数字平台与消费者之间以数据为对价时提供服务的不公平格式条款。此外,《反垄断法》第三十三条列明审查经营者集中的六个因素,审查集中行为对消费者的影响位列其中。该项也充分体现《反垄断法》对消费者利益的保护。由此可见,我国《反垄断法》将保护竞争设为首要立法目的,兼顾消费者在内的多元受益体利益。
不同于美国的价格中心主义,我国司法和执法机关对消费者利益的理解较为开放。具体而言,最高人民法院公布的“2008—2018年中国法院反垄断民事诉讼10大案件”[12]就有我国最高司法机关对滥用市场支配地位中消费者利益非价格因素的衡量。“3Q大战”[13]一案,最高院提出在滥用市场支配地位的案件中,即使被诉经营者已经被证明具有市场支配地位,法院仍应综合判断该行为对消费者和竞争产生的正负面效果,以检验违法性结论是否正确。最高院在分析“陕西广电案”[14]时也关注了消费者个人的自由选择权等方面。
与此同时,我国执法机关在处罚裁定中也将消费者非价格因素纳入衡量范围。2021年国家市场监督管理总局在“美团垄断案”处罚决定书中明确将“减少消费者的选择范围”视为损害消费者利益的一个考虑因素[15]。2020年上海市市场监督管理局也表示,认定食派士[16]构成滥用市场支配地位的要素包含减少消费者选择。我国司法和执法机构用实践清晰表明,消费者利益不仅仅是以价格为中心的消费者剩余,而且质量、选择等非价格因素也囊括其中。
总之,理论学派动向以及主要国家、地区的立法和执法实践表明,作为衡量市场竞争标准的消费者福利内涵较为开放,甚至提倡“关注质量、选择、创新”[17]。美国虽然尚未明确将非价格因素纳入竞争法的衡量范围,但已出现拓展趋势;中国和欧盟对非价格因素在理论、条文和实践中呈现出包容态度,为数据隐私接入消费者福利的考虑因素提供了条件。
2.非价格因素与数据隐私。数字经济时代,大数据被视为数字生产要素,甚至有人将其比为“石油”“黄金”,这无一不显示出个人数据的重要经济价值。人们逐渐改变互联网服务“免费”的看法,愈加清晰地认识到个人数据隐私取代现金成为使用互联网服务所支付的对价。即数据的双重属性被大众承认。同时,算法以数据为“燃料”进行学习分析的模式决定其始终受制于样本规模,具有被动性。如价格歧视下,算法需要尽可能完备地收集个人数据(包括个人地理位置、天气因素等)才能估算出无限接近于用户最高支付意愿的模拟价格,更毋宁说数据空缺会使行为缺失“启发性”,造成定价算法失去“数据弹药”[18]。因此,为实现数据的双重反馈,数字经营者纷纷开展“军备竞赛”,使得数据隐私和竞争之间逐渐呈现紧张关系。
首先,根据整合主义观点,隐私逐渐成为用户衡量产品质量的标准之一。在“脸书”和WhatsApp并购完成后,部分用户出于隐私考虑而更换社交产品。也有用户拒绝使用“脸书”,选择隐私保护程度更高的Telegram软件。另一方面,主导经营者也认识到消费者注重隐私功能并对此展开行动,例如“脸书”旗下的Instagram推出“私密”设置。隐私保护水平甚至成为新兴数字产品经营者取得竞争比较优势的筹码,以对抗在先竞争者引发的互联网效应和用户锁定效应。为此,更有专门主打保护信息隐私的“阅后即焚”(Snapchat)以及DuckDuckGo等应用软件受到用户追捧。可见,数据隐私逐渐成为消费者福利非价格因素的构成之一[19]。
其次,大量的官方文件和实践案例表明,数据隐私已成为非价格竞争因素之一。早期的法、德联合报告提出,隐私作为衡量竞争的因素仅仅是理论假设,并无相关实践[20]。随着时间推移,该主张得到官方报告和案例的佐证。
一是,官方文件不断号召反垄断分析更多关注符合立法历史和目的的竞争过程。在数字市场垄断问题上,竞争损害分析要跳出以经济效率为主要目标的考量模式。为保护隐私,欧洲数据保护监管局呼吁严格执行竞争规则。2018年10月,经济合作与发展组织发布了一份关于数字免费服务市场的质量考量报告,提出将隐私作为质量的一部分[21]。
二是,国内外实践陆续将数据隐私视为质量要素的一个方面。我国“3Q大战”的判决文书中使用和质量有关的“基于质量下降的假定垄断者测试”(以下简称SSNDQ)方式界定相关市场,凸显质量要素在提供免费产品的互联网市场中具有重要作用。美国参议院反垄断司法小组委员会提及2008年“微软与雅虎合并案”[22]时表明,反垄断分析应当考虑系争行为对互联网用户隐私的负面影响[23]。2016年12月,“微软与领英案”明确消费者隐私是质量竞争的重要方面之一。德国联邦卡特尔局凭借2019年“脸书案”裁决成为系争问题的先行者。该局突破性地将数据隐私保护和竞争法相结合,裁定“脸书”的隐私服务条款属于GWB规定的剥削型商业条款,构成剥削型滥用行为。
综上,以竞争为主要保护目标的反垄断立法在适用过程中也会附带性实现消费者福利在内的其他利益。尤其是学派演变、政府文件以及案例实践确认消费者福利的含义不再仅局限于经济效率,而是放眼于隐私、创新、公平等方面。这一转变趋势为反垄断法解决数字经济时代出现的竞争与数据隐私问题提供可能。
(二)数据保护立法和反垄断立法在数据隐私保护方面互相补强
如前所述,隐私保护和反垄断立法从完全独立走向部分交汇。个人数据保护立法和反垄断立法之间并非完全割裂,相反,二者具有互相补强的关系。
1.个人信息保护立法的不足与反垄断立法的弥补。个人数据保护立法是从数据主体个人角度促进市场竞争。由欧盟和我国立法实践可得,数据保护立法主要为提高个人数据控制权赋能。《通用数据保护条例》(以下简称GDPR)赋予个人数据可携权和随时撤回权等权利,增强个人对数据的控制权。《中华人民共和国个人信息保护法》(以下简称《个保法》)同样也设置了“知情-同意”规则、修改权以及撤销权等增强个人对自身数据控制的内容。数据主体对个人数据控制权的增加有助于提高数据主体相对于数字企业的地位,倒逼数字企业改善自身产品服务、促进创新和防止数据孤岛等。
个人数据保护立法虽然是保护个人数据隐私的主要法律依据,但无法解决所有有关数据隐私的问题。个人数据保护立法聚焦于数据处理活动的合法性以及个人隐私是否受损方面,然而在企业竞争维度的数据隐私方面,《个保法》有关规定未免有些捉襟见肘。即使个人信息保护立法赋予个人对其数据更多控制,其效果会受锁定效应和网络效应的影响而无法充分发挥,甚至出现权利被架空的情形。第一,以GDPR的可携权为例,数据主体通过API接口实现不同平台间的自由转换。网络效应下,用户向大平台以外企业转移的可能性较低,甚至会选择从小平台转移至大平台以满足自身对服务的需求。此时,数据可携权非但没有增加消费者的多样选择,反而增强市场集中度,巩固垄断的市场结构。第二,垄断市场中的数据可携权也可能会被架空。当市场本身集中度较高时,消费者没有其他选择,这一状态又进一步削减消费者的谈判议价空间,数据可携权无法保证个人对数据的控制。
《平台经济领域的反垄断指南》将“不恰当使用消费者数据”作为经营者集中应当考虑的因素,并首次在差别待遇中提及“平台在交易中获取的交易相对人的隐私信息”内容。虽然《平台经济领域的反垄断指南》没有明示数据隐私问题,但为《反垄断法》处理数据隐私问题提供接入口。《反垄断法》第九条概括性地为数字经济反垄断指明了方向,还有特定主体的法定保密义务范围增加了个人隐私和个人信息两项(《反垄断法》第四十九条)。这些内容从侧面透露出《反垄断法》对数据隐私保护的积极态度,以及借由该法第九条再转至其他具体法规,最终实现竞争维度下数据隐私的附带性保护。综上,《反垄断法》从竞争角度为数据隐私保护问题提供了解决方案。
2.《反垄断法》与《个保法》互动解决数据隐私问题。一方面,个人数据保护立法为个人数据隐私保护规定底线,反垄断立法提高个人数据隐私保护的上线。一是个人数据保护立法针对企业的数据处理行为作出明确规定。我国《个保法》第五条至第九条明确处理个人信息应当遵循的十个原则。二是反垄断法在促进竞争的同时提高个人数据隐私保护的上线。反垄断法中的经营者集中审查就是一个很好的例子。合并后企业是否会降低数据隐私保护标准被列为经营者集中审查的衡量指标之一,反垄断执法机构依据此要素可能否决数据驱动型经营者的扼杀式并购或附条件批准并购。例如,相关机构附条件批准“脸书”与WhatsApp的并购,要求二者保证彼此数据独立,并且向拒绝授予数据的消费者继续提供服务。由此,经营者集中审查考虑隐私要素促使消费者对个人隐私信息有充分选择,提高个人对数据隐私的保护。三是《个保法》下侵害个人数据隐私行为的侵权诉讼路径可能出现救济不足的情况。侵权诉讼中,原告难以证明损害和系争行为之间的因果关系,甚至面临个人隐私损害较小或未现实化的难题。即使原告证明成功,最终数字企业所面临的赔偿责任仅是赔偿损失或因违法行为所获利益或根据实际情况确定的数额(《个保法》第六十九条)。此时,反垄断立法就可以通过规制市场竞争行为的方式,附带实现保护数据隐私的目的。如2022年《反垄断法》第五十七条仍坚持2008年《反垄断法》第四十七条的内容,规定滥用市场支配地位的企业所面临的行政处罚为“责令停止+没收违法所得+上一年度销售额1%以上至10%以下罚款”。由此可知,数字企业在《个保法》下的赔偿责任和《反垄断法》相比不过尔尔。
另一方面,数据保护立法和反垄断立法分别从积极赋权和消极规制两个方面实现对个人数据隐私的剥削型滥用规制。承前所述,国内国外的个人数据保护立法均赋予个人以信息自决权等积极权利,让数据主体自由决定如何使用个人数据,增强个人对隐私数据的控制。这种积极赋权的方式保护数据主体免受数字平台对个人数据的无限剥削,即个人付出的数据成本过高和使用产品或服务的收益不相称。因此,个人数据保护立法需要数据主体积极行使权利。同时,由于信息不对称和实力不对称,再加上网络效应、转换成本等,数字平台相关市场集中度较高,用户实际上没有很多选择。反垄断立法通过限制数字企业的剥削性滥用市场支配地位行为,保护数据主体避免遭受因不公平交易条件而造成的剥削。
三、《反垄断法》解决数据隐私问题面临的挑战
一般性地断言“数据隐私保护可以适用反垄断规制”未必恰当。对此,可能的反驳是反垄断保护数据隐私会使其越界成为“万能法”。再者,将数据隐私纳入非价格因素的路径面临实践困难。即便数据隐私能被量化,人们在面对非价格因素的多重内涵,甚至质量因素本身就包括规格、隐私等多方面时,又当如何衡量隐私维度?
(一)《反垄断法》解决数据隐私保护的独立性质疑
芝加哥学派始终坚持以价格和产出为要素衡量经济效率,剥削型滥用市场地位行为尤其是剥削性定价也并不属于美国反垄断法的规制范围,而是置于消费者保护框架之下。美国采用的价格中心主义路径鲜明地勾勒出反垄断法的适用边界。美国联邦贸易委员会认为2007年谷歌与DoubleClick案的隐私保护和反垄断并无关联[24]。与此相反,欧盟和中国采用具有开放性的消费者福利标准则可能会过度扩大剥削型滥用的规制范围,造成反垄断法和消费者保护法、个人数据保护法等法律领域的部分重叠。2016年欧盟委员会对“微软与领英案”[25]的做法则凸显出欧盟竞争法与数据法之间的交叉关系。价格中心主义向新布兰代斯主义转变的趋势下,美国也会不可避免地面临相关法域重合的问题。由此,人们质疑将数据隐私保护纳入反垄断立法的质量要素路径会模糊不同法律间的边界,让反垄断立法变成“万能法”从而失去独立性。如何划定适用反垄断立法保护数据隐私的范围,成为其保持独立性所必须面对的课题。
(二)隐私要素量化困境
在审判实践中,法院倾向于分析具象因素而非难以量化的抽象因素。若隐私成为非价格因素质量的子项,则人们还需要考虑在适用反垄断法时如何量化隐私要素。该问题又可被具体分解为数据价值、数据隐私及其损害的量化。
首先,数据价值难以被量化。很多数字企业声称自己一直亏损,但实际上以庞大的用户群为基础吸引广告主进行融资输血得以存活。数据价值并非如资产负债表直接显现的那样简单易测。有报告提出以主导公司对被收购企业的数据价值预期为基准的数据价值量化方法,也就是强调数字驱动型企业合并的收购价格与正常市场交易价间的对比。例如,主导企业以高于市场价值Y的收购价格X来收购某一初创企业或者竞争对手。这一提议具有一定的启发性,却忽视了数据价值的动态变化性。据此可知,数据价值准确评估存在一定难度。
其次,数据隐私及其损害较难量化。芝加哥学派反对非价格目标的一个重要理由是非经济因素很难衡量,数据隐私即属此列。主观因素掺杂在内会进一步增加非经济因素的分析难度。在数据隐私问题中,主观因素具体表现为个体消费者的隐私敏感度各异,并且“审查者的身份及其对隐私的看法”也在“很大程度上”[26]决定了垄断行为的分析结果。同样,数据隐私损害的评估也具有相当难度。除个体消费者隐私敏感度不同外,行为经济学认为有些环境因素会影响人们对价值的判断。此外,数据隐私损害可能不会以一种直接损害的方式予以呈现,损害结果的反馈也可能具有非即时性。
综上,非价格因素难以量化并不代表仅衡量消费者剩余标准的简单做法即为合理,更不代表抽象因素可以被忽略。这一点同样得到诺贝尔奖经济学得主Hayek的提倡[27]。
(三)多因素间平衡困难
人们常说“一分价钱一分货”“便宜没好货”,这些俗语揭示出价格在一定程度上能够体现产品或服务的质量水平,进而消费者会通过价格来考量产品或服务的质量高低。以价格鉴别商品质量的方式在互联网市场中可能不太常见。具言之,数字平台毫无底线地攫取用户信息来充实数据弹药,不断调整算法并进行价格的模拟估算,从而使产品定价愈发接近消费者的最高支付意愿,逐步接近完全价格歧视。此时,单个消费者对商品价格的认知在主观上受限。虽然数字经济并非让人们完全抛弃价格要素(如网络价格歧视情形有时需要分析厂家的诱饵价格),但是人们必须承认零价免费的产品或者个性化定价会丧失可比价格,从而大大削弱价格因素的力量。由此,个性化定价就是数字经营者推算消费者的保留价格,攫取消费者剩余并转换为生产者剩余,实现自身利润最大化过程的结果呈现。价格歧视下,企业只是动用自己的市场力量来剥削消费者而不是为消费者提供额外服务。此时,个性化定价或者零价无法反射出产品质量的高低。
即使隐私要素得以量化,非价格因素本身包含质量、创新和消费者选择多样性等方面会加重多要素平衡的困难。例如,数据驱动型并购的主导企业在并购后可以凭借编码技术等优势提高目标公司的产品创新水平。人们不禁提出疑问:质量如何应对效率抗辩?此外,隐私并非产品质量项下的唯一方面,进而可以推导出企业的数据收集行为并非必然造成产品质量下降。质量要素的多个子项中,隐私维度的权重为何?类比而言,消费者购买电脑时会综合考虑产品的使用年限、款式新颖度、防水抗摔等级、机体及配件是否完好等质量要素。这即是说,质量包含多种因素,同时每一子项又并非决定性的存在。再如,个性化定价或广告推介的方式也可能降低消费者的搜寻成本。即使个性化方式侵犯消费者数据隐私,消费者也可能会因为认知局限(隐私悖论)和成本的非即时现实化而赋予隐私维度较低权重,主观上不会轻易改变对产品质量的总体评价。由此观之,综合质量项下多方面因素后的考量结果可能为上升、下降和持平。
四、《反垄断法》保护数据隐私的制度改进
反垄断立法保护数据隐私的路径虽面临前述重重挑战,却仍有破解之道。我国《反垄断法》明确保护竞争的首要目标,基于自身多元立法目的,保护消费者利益,并以此为连接点,推动建立我国完整的个人信息保护立法体系。考虑到抽象因素难以量化的情况,本文提出采用“基于成本上涨的假定垄断者测试”(以下简称SSNIC)来测试界定相关市场,选择事前视角的保险方式量化数据隐私价值。借鉴欧盟立法和实践并结合我国竞争法相关立法动态,本文提出规制对象特殊化的建议,动态化界定具体的超大型平台并重点监测其违法行为。最后,智慧监管和多元协同监管为反垄断法保护数据隐私赋能。
(一)坚持保护竞争目标,附带实现数据隐私保护目标
从“自由主义诀窍”向网络空间“控制论”转变,人们探索使用法律“代码”去规制人与人之间的关系,从而构建网络空间,保护现实世界的基本价值理念。“数字化的手”通过算法操纵互联网世界,向人们呈现出“竞争”假象。透过竞争和福利表象,数字企业贪婪地追逐自身利润最大化而置消费者利益于不顾。进言之,数字企业通过算法无限获取个人数据,破坏市场所要保护的竞争、公平和信任等基本价值。对此,需要反垄断法从企业竞争维度规制“数字的手”,在促进竞争的同时实现对个人数据隐私的保护。但是,反垄断立法应始终坚持保护竞争的立法目标,兼顾实现包括消费者利益在内的其他利益。时建中教授就提出《反垄断法》适用必须紧紧围绕《反垄断法》第一条所提出的多元立法目的,以达到更好的执法效果[28]。换言之,规制反竞争行为导致的隐私侵害风险的落脚点始终是保护市场竞争。
这就要求必须处理好《反垄断法》与其他法律规范之间的关系。我国《中华人民共和国民法典》《中华人民共和国消费者权益保护法》以及《个保法》已经对隐私保护作出专门规定。但是,数字市场表现出与传统市场不同的隐私保护风险,出现了数据驱动型并购[29]、新型差别待遇和接近完美价格歧视的新情形,反映了隐私与竞争的深度耦合,为《反垄断法》介入数据隐私保护提供了可能。面对数据隐私保护和反垄断之间的部分重叠,在适用《反垄断法》实现数据隐私保护目标时,应当尊重市场,不过多干预市场运行,坚持通过保护竞争附带实现数据隐私保护的部门法特色,以期建立各部门法之间相互配合的隐私保护法律体系。
(二)改善反垄断分析工具
1.界定相关市场。传统的“基于价格上涨的假定垄断者测试”(以下简称SSNIP)工具无法应对零价免费市场。免费效应(Free Effect)使得消费者很难接受任何零价产品的价格提升。在此情形下,SSNIP采用的持续小幅价格上涨策略会导致更多的消费者转移,进而过度扩大相关市场界定。此外,由于多边市场的间接网络效应影响,SSNIP会造成市场范围界定过小[30]。由此可见,互联网多边市场以及零价免费的特点急需其他能够替代SSNIP测试的经济分析工具来回应。
尽管替代工具不够成熟,但SSNDQ和SSNIC方法在免费效应等方面弥补了SSNIP工具的缺陷。第一,以“3Q大战”为代表,SSNDQ逐渐被用于界定互联网相关市场。用户被互联网平台转让大量个人数据是消费者隐私降级的表现,此时平台产品或服务的质量下降。在此情形下,SSNDQ工具可以较好地避免因免费效应而造成过分扩大相关市场范围界定的问题。有学者模仿SSNIP,提出将数据隐私情形中的SSNDQ测试命名为“基于隐私保护水平下降的假定垄断者测试”(SSNDPP),即考虑降低隐私保护水平5%—10%时的用户转移情况[31]。第二,SSNIC是另一个在互联网零价免费市场中适用于界定相关市场的工具。SSNIC是指持续性地小而显著地成本上升,强调成本的改变。2017年,日本在《数据和竞争政策研究报告》中就已经提出将SSNIC测试作为SSNIP的替代工具[32]。具体而言,该方法对成本的定义较为宽泛:成本可以是用户的时间成本,可以包含互联网下用户换取免费商品或服务的个人数据,也可以是用户为获取服务而对广告付出的注意力[33]。所以,增加的成本就是指能够使用户转换至替代商品或服务所需额外付出的个人数据或者注意力。
综上,因为互联网市场具有免费定价和多边市场的特点,SSNDQ和SSNIC测试在一定程度上弥补了SSNIP测试的不足。
2.数据隐私量化。质量作为竞争的一个维度不容小觑。人们愈发意识到质量要素的重要性,同时必须承认质量难以量化的现实困境。如前所述,质量本身包含较多维度且易受主观因素影响。因此,顾客和竞争者视角下的质量可以通过市场调研和消费者调查进行。调查报告可以用作衡量隐私是否为竞争关键因素的证据,同时也能够促进数据价值的量化。
数据价值量化还可以从事前与事后两个视角进行。一是,事后角度强调借助数字企业违法泄漏数据隐私或错误处理数据隐私的赔偿数额来量化数据隐私的价值。《中华人民共和国刑法》(以下简称《刑法》)区分泄漏普通数据信息和个人生物信息等隐私的量刑表明不同性质信息的价值不一。与《刑法》相反,事后视角借由赔偿数额来界定侵犯数据隐私行为的数据价值,也就是说事后视角不关注数据信息的价值,而是衡量每条记录的违规成本。由此,事后视角是通过计算泄漏的数据量和每条数据的平均价格来计算赔偿数额。二是,事前角度则依托个人信息安全类保险来衡量用户个人隐私数据的效用。仅民事救济无法为管控数据隐私泄漏的风险提供完全有效救济,需要保险市场来合理补偿个体风险损失。据此,个人信息安全保险或者数字企业被要求购买的强制责任险可能作为量化数据隐私的一个考量因素。
数据信息价值和数据隐私价值保护的侧重点不同。事后视角更倾向于对数字价值即个人转移数据信息成本的界定。事前视角属于对数据隐私价值的衡量,具体表现是个人为保护个人数据隐私不被泄漏所花费的成本。相较之下,购买保险的事前视角更符合保护数据隐私的目的。
3.多元因素平衡。SSNDQ和SSNIC工具也会面临定量分析的困难。如何确定质量下降的具体幅度?如何处理消费者对隐私偏好的异质性?如何权衡质量要素下创新和隐私之间的关系?由此,《反垄断法》保护数据隐私还要对各因素之间以及质量项下各方面之间进行协调。有学者将多重要素难以平衡作为否定《反垄断法》保护数据隐私的缘由之一。本文认为,不能因为衡量要素多样而否定反垄断法保护数据隐私的可能,关键是如何衡量隐私要素与其他多元因素间的关系。
多因素情形可以采用衡平测试的方法进行灵活判断。否则,让某一要素成为决定性因素的路径和仅以效率与产出为衡量标准的价格中心主义并无二致。对此,企业内部决定文件和市场调查文件,以及第三方独立机构市场调查问卷结果等可以较为明确地反映受众消费者如何看待各因素间的权重关系。以“脸书”为例,该公司内部文件将WhatsApp视为有竞争威胁的公司。“脸书”的高级执行官为保护和扩大本平台在社交网络市场的支配地位,于2014年推进并购WhatsApp的计划[34]。“脸书”也将尚为新兴社交产品的Instagram等视为竞争威胁并以维持“脸书”的市场地位为目的进行收购。换言之,如果某些企业将隐私视为质量的重要因素,那么监管机构在个案分析中就应当予以较多关注,而不是对所有企业用一刀切的标准予以对待。衡平测试也是价格中心主义向新布兰代斯主义转变的体现。总之,不能仅因衡量要素过多且隐私要素并非原则上的决定性因素就认定反垄断法不能被用于保护数据隐私。
(三)规制对象特殊化
在解决数据隐私问题方面,欧美聚焦于拥有巨大网络效应的大型企业并出台专门法律予以规制。欧洲议会以压倒性多数通过的《数字市场法案》(以下简称DMA)规定,如果拥有巨大网络效应的大型“守门人”平台违反本法案对商户和终端消费者施加“接受或走开”条件,那么执法机构会根据比例原则对“守门人”处以全球营业额罚款以及定期罚款。2021年,美国提出四个大数据反垄断法案,从而专门禁止覆盖平台(covered platforms)的运营商参与多形式歧视性行为。覆盖平台是指同时满足月活跃用户或商业用户数量规定、控制公司净年销售额或市值要求以及拥有核心交易伙伴地位这三个条件的企业。H.R.3826(1)参见美国2021年《平台竞争与机会法案》(the Platform Competition and Opportunity Act of 2021)。规制覆盖平台的合并和收购行为,H.R.3849(2)参见美国2021年《通过支持服务交换(接入)增强兼容性和竞争法案》(the Augmenting Compatibility and Competition by Enabling Service Switching (ACCESS) Act of 2021)。则关注交互操作和数据可携带问题。这些文件将规制对象专注于覆盖平台,为竞争法解决数据隐私问题提供可能。同时,欧美法案均动态界定守门人和覆盖平台,凸显企业市场力量的动态变化。如,DMA动态化地周期复审和裁定守门人的具体对象。
目前我国提出的《互联网平台分类分级指南(征求意见稿)》(以下简称《分类分级指南》)和《互联网平台落实主体责任指南(征求意见稿)》[35]也对规制对象进行限定。《分类分级指南》综合考虑用户规模、业务种类以及限制能力,将互联网平台分为三级。其中,超级平台(又称超大型平台)是指在我国上年度年活跃用户不低于5000万、具有表现突出的主营业务、上年底市值(或估值)不低于1000亿人民币、具有较强的限制平台内经营者接触消费者(用户)能力的平台。两份文件均对超级平台作出单独规定。
此外,《反垄断法》本身就反对企业非法获取或维持市场支配地位的行为。因此,获取市场支配地位的大型数字企业是《反垄断法》在数据隐私保护方面应当特别关注的对象。并非仅有大型数字企业才能实施侵害隐私行为,小型企业也会借助地位不对称的天然优势侵害用户隐私。有人主张反垄断机构主要关注大型数字企业,一定程度上忽视了小型企业侵犯个人隐私的行为,因此《反垄断法》在个人隐私保护方面存在对小型企业的监管漏洞。本文认为该理由自身存在逻辑缺陷。《反垄断法》存在对小型企业隐私侵害行为的监管漏洞这一观点混淆了《反垄断法》的立法目的,将保护竞争和保护消费者的数据隐私混为一谈。任何级别的企业都应重视数据隐私保护问题,这一点也得到《互联网平台落实主体责任指南(征求意见稿)》第二十七条的确认。但反垄断立法应当以保护竞争为重,消费者数据隐私保护是实现保护竞争目标的附带利益。换言之,反垄断立法本身就应当以破坏市场竞争的获取或维持垄断地位的行为为对象,而非对其苛加保护所有消费者数据隐私的要求。
总而言之,立法机关在适用《反垄断法》保护数据隐私时,可以通过规制对象特殊化的方式重点关注超大型平台的具体行为。同时,超大型平台具体范围的动态界定符合市场动态竞争的特点。
(四)推进智慧监管,强化监管合作
智慧监管系统为市场监管现代化提供强有力的科技支撑。浙江率先使用数字化技术建立“浙江公平在线”这一平台经济数字化监管系统,大大提高市场监管效率和精准实效。广东也推出《广东省进一步推动竞争政策在粤港澳大湾区先行落地的实施方案》,强化线下竞争执法的同时,运用互联网智能监测手段进行线上执法工作。2021年12月16日,我国国家市场监督管理总局宣布成立的竞争政策与大数据中心旨在帮助总局在反垄断、平台经济、大数据等领域进行事前、事中、事后的全过程监管。因此,我国应吸取地区的数字化监管先进经验并加以推广,提升全过程监管实效。
许多国家的竞争执法机构都采取多元主体合作的方式监管市场竞争行为。承前所述,大数据隐私议题关系到个人信息保护、消费者利益保障以及反垄断竞争利益保护的交叉领域。故此,多元主体进行监管合作符合解决数据隐私问题的执法实践需要。英国竞争与市场管理局和数据保护机构联合发布报告,强调竞争和数据保护目标之间的协同增效作用,并提出规制者之间应该寻求合作以克服不同目标之间的冲突[36]。法国竞争管理局曾与数据保护机构在苹果公司使用用户个人数据的问题中合作。意大利数据保护机构、竞争管理局和电信监管机构这三家政府部门在针对大数据问题联合倡导11个建议中也提出建立永久协作机制[37]。
对于个人数据信息问题,我国《个保法》提出由国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。《个保法》虽然没有明确提及市场监督管理局,但并未排除多部门合作监管的可能。从我国监管现状而言,多部门协作监管逐步走向现实。例如,经由我国工业和信息化部、公安部、国家市场监督管理总局之间的多部门同意,国家互联网信息办公室发布的《互联网信息服务算法推荐管理规定》[38]明确禁止算法推荐服务提供者利用算法在交易价格等交易条件上实施不合理的差别待遇。因此,我国应在推广智慧监管的同时加强多部门监管合作,使市场监管实现协同增效。
五、结语
数字经济时代的互联网市场出现和数据隐私保护相关的反竞争行为,如数据驱动型并购、价格歧视等。因为仅强调经济效率的传统反垄断理论无法应对互联网市场中的“零价”服务,所以反垄断法应拓展消费者福利标准的内涵,将隐私纳入质量分析,实现价格中心主义向非价格因素的多元化转变。欧盟和我国的立法、司法和公共执行均对此予以承认。再者,我国《个保法》《反垄断法》分别从不同角度为解决数据隐私问题提供方案,形成协同效应。尽管如此,《反垄断法》在个人数据隐私保护方面仍显制度不足,面临着独立性危机和隐私量化难题。即使隐私得以量化,《反垄断法》的适用还要解决消费者福利标准下多元因素间的权衡困境。面对这些挑战,我国首先应当明确《反垄断法》保护竞争的目标以及附带性实现其他利益的理念。再次,推动建立完整的个人信息保护立法体系,为保护数据隐私提供较为全面的法律保障。坚持各部门法特色的同时,通过《反垄断法》转致条款以及配套规定细化款项的方式实现个人信息保护的立法协调。我国还应深化SSNDQ测试、拓展SSNIC测试,弥补反垄断分析工具SSNIP测试的不足。隐私量化方面,本文提出事前保险和事后损害赔偿两种量化方式。经比较分析,事前保险更符合保护数据隐私的目的。又因为消费者福利标准的内涵拓展,多元因素间可采用衡平测试的方式,借助公司内部评估文件和第三方评估机构调查文件等进行个案分析。此外,在借鉴欧美立法实践的基础上,我国可以采取规制对象特殊化和动态化界定规制对象的方式,重点关注超大型平台的具体行为。最后,推广智慧监管、持续深化跨部门合作,为《反垄断法》保护数据隐私提供有效保障。