个人信息可携带权在数据反垄断领域的意义及其实现
2023-02-04叶敏
叶 敏
(江南大学,江苏 无锡 214122)
我国自2021年11月1日起施行的《个人信息保护法》第45条在法律层面首次对“个人信息可携带权”作出了明确规定,这标志着我国在欧盟、美国加洲、印度、新加坡和韩国等相继立法确认该项权利后,正式在个人信息保护领域引入了这一在理论与实践中均关注度很高的权利,丰富了个人信息权利的内涵。
个人信息可携带权的确认是对传统“知情—同意”个人信息保护框架的必要补充。随着互联网经济与大数据产业的飞速发展,现行“知情同意”框架的缺陷日益突显:一方面,现实中大数据产业发展的速度已经远远超出当初立法者的想象,每天都有成千上万的数据被处理,每次处理都需要信息主体点击同意本身是不现实的。但如果基于这个原因将知情同意仅限于信息主体的初次授权,则又违背了该立法原则的初衷,让个人对未来所有不可知的信息用途提前作出授权岂非本身就是对个人合法权益的讽刺?同时,由于一些APP的使用基本是生活必需,如微信等人际交往几乎必备的软件等,用户在面临不同意就无法使用的两难选择时也基本只能“同意”其信息收集与处理条款。正是因为现实中所谓的“知情同意”授权往往是在未了解个人信息收集范围、可能的全部用途等必要信息的情况下“不完全知情”或是面临“不授权就无法使用”的选择下“非真正同意”做出的[1],最新出台的《个人信息保护法》也采取了一系列举措试图弥补传统“知情同意”立法框架的缺陷,如第15条规定的同意撤回权、第47条规定的删除权等。本文所探讨的个人信息可携带权也带有此种意义,同时相对于直接的撤回同意或要求删除,可携带权的行使还涉及信息在不同处理者之间的传递问题,因此在保护单个民事主体的合法权益之外,更带有一层竞争法上的涵义。
一、个人信息可携带权的多重立法意义
(一)个人信息可携带权的权利综合性
从根源上讲,“知情—同意”规则源于“个人信息自决权理论”,是构建在个人信息民事权利基础上的延伸产物。私法理论认为:个人数据作为人的延伸,在人权和自由涵射范围之内,基于对人权和自由的保护,人应当独立自主掌控个人信息[2]。而这种自我控制的实现,需要一种赋权思维支撑下的“知情同意”规则构造[3]。不过,虽然传统民法理论倾向于将个人信息纳入人格权保护的范畴,但我国现行《民法典》仍然坚持了个人信息受法律保护的表述,并未在法律条文中明确规定一项“个人信息权”,从法律解释学的角度来看目前在私法领域个人信息法益保护的定位似乎更符合立法现状。近年来,还有越来越多的学者指出私法单一保护模式的不足,提出仅“将个人信息作为私权客体的权利保护模式,在规范逻辑、制度功能等方面存在局限”[4]。
从理论和现实两个层面来说,将个人信息相关权利局限在私法领域都是不够的,需要公法的有力配合与补足。一方面个人信息权利的起点在于宪法,《宪法》第33条第3款规定的“国家尊重和保障人权”以及第38条对公民人格尊严的保护是个人信息的权利根源。从这个角度看,“个人信息保护是信息时代的一项全新挑战,个人信息控制权是需要通过个人信息保护法确立的一项新型公法权利”[5]。另一方面,从现有的实际执法与司法现状来看,由于单个信息主体与数据巨头企业悬殊的力量对比,个人直接基于民法规则起诉并获得充分信息权利救济的成功案例为数甚少(1)有的案件法院会直接以原告无法举证证明被告泄露个人信息行为为由驳回原告诉讼请求,如“朱迎光诉中国联合网络通信有限公司连云港分公司、傅红隐私权纠纷案”[(2014)连民终字第0006号民事判决书]、“赵虹、赵志平与浙江浪仕威电子商务有限公司、浙江天猫网络有限公司案”[(2015)沈和民一初字第00732号民事判决书],比较知名的还有“庞某诉趣拿公司、东方航空侵犯隐私权案”等[见(2017)京01民终509号民事判决书]通过二审判决被告承担侵犯隐私权的民事责任。,更多的个人信息保护案件是通过行政处罚、企业间不正当竞争诉讼甚至刑事诉讼来得到有效处理的。面对强大的个人信息处理者,抽象的民事权利规定容易被虚化,沦为“纸面上的权利”,实践中站在维权第一线的其实往往是监管者而非个人[6]。
个人信息可携带权的权利综合性表现尤为突出,由于信息的转移必然涉及消费者与两个以上的数据处理平台,因此这一权利肯定不局限于民法层面,而具有充分的竞争法意义。目前多数学者均较为认同这点:数据可携不仅是个人数据保护法的调整对象,也是竞争法的调整范围。现实中欧盟和美国也均已将缺乏数据可携作为竞争法的规制对象。[7]
(二)个人信息可携带权的三重立法意义
基于个人信息可携带权本身的权利综合性,至少可以从以下三个层面来理解其立法意义:
一是在民法层面,《个人信息保护法》第45条的规定可视为对《民法典》“人格权编”第六章“隐私权和个人信息保护”相应内容的延伸与具体化。该章第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息”。一般认为个人信息可携带权的权利内容包括查阅和副本复制、数据传输权和数据传输请求权,所以可以将《个人信息保护法》第45条的规定理解为《民法典》第1037条的延伸,其对个人信息自决权的保护内核是一致的。通过《个人信息法》的更细致具体规定,新型的数据可携带权能够作为一项实在法意义上的制度性权利在立法中得到确认并且能够被应用到司法裁判当中作为审理依据[10],是对个人信息民事权益的扩张与补充。
二是在公法层面,信息数据本身具有一定的公共物品属性,“数据作为天然的公共品服从固有的互惠分享的原理,在此基础上数据法理论应实现思维模式上的转换,即实现从基于稀缺的法律到基于充裕的法律、从私益保护面向到公益保护面向和从数据控制的强化到数据控制的谦抑的观念转变”[9]。从《个人信息保护法》第45条的表述看,这一条文本身也体现了公私法相结合的特色,该条规定信息转移的启动条件是“个人请求”,但同时也设定了“符合国家网信部门规定条件”这一履行条件。也就是说,国家网信部门可以根据实际上的数据产业发展状态、行业特点、技术条件等多种因素设定相关的信息转移条件。该条文给予了行政管理部门强势介入个人信息主体与信息处理者(通常为企业)之间进行利益平衡的权力。可以预见,“国家网信部门规定条件”将成为今后个人信息可携带权能否顺利实现的关键因素,公共权力的干预不可忽视。
三是在竞争法层面,个人信息可携带权从诞生之初就被寄予厚望,大多学者认为欧盟创立该权利的目的是重构个人信息主体与数据控制者之间的法律关系:“这一权利在一定程度上有助于澄清数据归属,即控制者对个人数据不具有控制权,仅负有配合义务,由此避免控制者争夺用户数据,促进数据流动。”[10]在这个意义上,数据可携权制度为消费者参与数据经济、分享数据红利提供了新路径[11],这个变化可谓是突破性的,因为此前的立法一向将消费者视为需要保护的弱势群体,定位于接受法律保护的被动一方,但数据可携权的赋予却颠覆了这一传统视角,使数据主体化被动为主动,第一次有了可以正面对抗强大垄断平台的法律武器。
但也有论者认为,数据可携权与反垄断法内在理念相冲突,影响非垄断企业的创新能力与积极性[12],因为该权利并未区分适用对象,一些并不具有市场支配地位的中小企业也要无区别地遵守数据可携权规范,可能会反而加速数据向大平台的集中与垄断。还有观点认为反垄断法不应关注个人信息保护,以免模糊不同法律部门之间的界限,反垄断法一般分析架构与个人信息保护的要求存在冲突,不适用于个人信息保护[13]。但更多的反垄断法学者开始用开放与包容的态度看待这一新型权利,指出一方面,“市场双重结构失衡,使得对隐私的个人保护(私法)、国家保护(公法)存在着明显不足,亟需作为市场修复机制的反垄断法支援”;另一方面,“反垄断法关注隐私侵害并不是对其内在机理的颠覆”[14],新布兰代斯学派以结构关切为核心的竞争保护观,可以为反垄断法考量非价格因素的正当性提供理论基础。
应当承认的是,现代法律部门在分工越来越精细化的同时,也需要各部门法通过协同效应来共同形成有效的整体法律体系。作为与土地、劳动力、资本、技术并列的第五大生产要素的数据资源,同样也是需要多个部门法共同协作,方能建立起有效的产权保护与资源流转规则。在代表市场力量的私法与代表行政力量的公法之外,代表社会力量的经济法其角色与作用也不可或缺。具体到本文所探讨的个人信息可携带权,在制度定位上我国应充分借鉴域外相关立法经验与司法实践,从个人信息保护、数据竞争、消费者利益保护等维度体系化构建相关规定,创新权利实现的外部机制[15]。尤其在反垄断法领域,个人信息可携带权可能带来新的变化与意想不到的积极效用。
二、目前平台数据垄断治理困境的根源分析
(一)平台数据垄断现状及其监管回应
在互联网经济中,由于数据的边际效应递增性质,存在着明显的“马太效应”与“赢者通吃”现象。已经有不少研究表明:数据生产要素价值实现的市场主体,平台经济中各类组织形式之间的竞争关系,以数字平台的规模效应、网络效应以及数据和算法的潜在生产力为基础,具有天然的垄断倾向[16]。“据统计,目前各国日获取数据达到1亿条以上的数据收集者数量仅有18个,占总数据收集者总数的0.01%。”[17]
平台垄断的现象在国内国外均日趋严重,这也引起了各国反垄断监管机构的重视。以美国脸书(Facebook)社交平台为例,美国48名州总检察长在对脸书提起的诉讼中称,脸书消费者隐私的减少是一种垄断租金[18],德国联邦卡特尔局也以滥用市场支配地位为由对脸书的强加不公平数据条款作出了处罚[19]。但这些诉讼与处罚并未影响脸书作为欧美第一网络社交媒体的地位,同样的因为消费者缺乏有用的替代选择,谷歌也曾多次违反自己的隐私政策和不同法域的隐私法,但仍没有失去其市场支配地位[20]。
这一网络平台上消费者的“锁定效应”已经引起了研究者的广泛关注,锁定效应是指消费者依赖单一服务商提供特定服务,且在没有大量成本或不便的情况下无法转移到另一个服务商的情况。[21]以微信为例,即使某个用户对腾讯的用户隐私政策不满,想要换用另一个即时通讯软件,但当他的大多数朋友、工作伙伴都使用着微信,尤其是一些重要的工作或客户群都在微信上时,他是很难作出这种切换的决定的。用户的这种路径依赖和转换成本本身就可能导致高度集中的市场结构。表面上看,消费者是否选择某个平台是消费者与平台企业间的关系,但实际上这一选择深受平台企业间竞争力量的影响。越是具有竞争优势与垄断地位的企业,越有充分的余地压缩其用户信息保护政策的空间,因为消费者已经被“锁定”无从转投其他竞争对手怀抱了。从“路径依赖消费”的发展来看,平台垄断还会发展出更极端的“独宿现象(single-homing)”,即用户越来越多地发展他们不愿改变的消费模式,每一次对同一产品的额外消费都会强化这种不愿改变的消费模式,从而导致用户在情感上或潜意识上锁定于特定产品或数字平台,产生相对强烈的忠诚度效应,即便这一选择从质量或个人数据收集的数量方面而言不是最佳的[22]。
如前所述,平台的垄断地位也是造成个人信息保护法“知情同意”框架失灵的重要原因,因为消费者不能以放弃生活所必需的APP或其他软件的使用为代价来达成个人信息的保护。显而易见的事实是:如果运营商数量有限,或者具有支配地位,而且其提供的也不过是一套复杂的“不要拉倒”(take it or leave it)的隐私条款,那么消费者即便完全理解这些条款蕴含的风险,也没有真正的选择自由,更不可能通过谈判改变这种情况。在这种情形下,“纵然是完全理性的人也无法在隐私决策方面取得成功”[23]。正是因为个人信息主体和信息处理者之间存在着“持续性不平等信息关系”[24],在传统“知情同意”框架上衍生出的权利如个人信息同意撤回权也将面临实施的困境,信息主体将面临“同意撤回的心理障碍”,在与平台的博弈中陷入“撤回困境”,最终仍然选择放弃撤回[25]。
基于前述的平台数据垄断问题,越来越多的国家开始在竞争法领域引入个人信息保护的考量因素。如德国《反限制竞争法》就在第九次修订时新增了一系列针对数字市场的反垄断法规则,使德国成为世界上第一个明文规定数字市场反垄断法的国家[26]。在“Microsoft/Linked In案”中,欧盟委员会建立了排他性竞争损害理论,指出该项合并将可能限制消费者在隐私方面的选择,“导致那些隐私保护程度优于Linked In的竞争对手被边缘化,或者使他们的市场进入更加困难”[27]。2017年美国的HiQ诉领英(LinkedIn)案中,二审法院认可了HiQ的主张,通过竞争法上的必要设施原则判决领英败诉。(2)See HiQ Labs,Inc.v.LinkedIn corporation,17-cv-03301-EMC。
相较之下,我国的司法与行政则似乎呈现了不同的走向。在司法领域,裁判者往往更为关注从反不正当竞争的角度保护平台对于现有数据的权利,从2017年的“淘宝诉美景”案(3)参见浙江省杭州市铁路运输法院(2017)浙8601民初4034号民事判决书。来源:中国判决文书网。到2021年1月的“抖音诉刷宝”案[28]均体现着这一倾向。在反垄断行政执法领域,从2021年阿里巴巴“二选一”行为受到行政处罚[29]到2022年知网涉嫌垄断被立案调查[30],占据数据垄断地位的平台频频受到国家监管部门的关注,尤其是后者,在反垄断被立案1个月后又被网络安全审查办公室约谈,对其启动网络安全审查[31],而这主要就是基于知网平台掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。可见,反垄断执法与反不正当竞争诉讼的价值保护目标还存在一定的差异,前者会更关注整体市场结构的优化与竞争秩序的维持,而不是从单个企业的角度来衡量是否竞争对手的行为违反了一般的市场规则与商业道德。
(二)平台数据反垄断治理困境的根源——双边商业模式干扰信息传递
为什么在平台经济中会出现“隐私悖论”[32]?消费者一边明确知道平台并未提供足够充分的个人信息保护,但一边却又无法通过用脚投票的方式来给予平台企业负面反馈,通过市场机制来淘汰不能提供更优质服务的企业主体?甚至很多以更强的隐私保护为招揽手段的新产品要闯入市场分一杯羹仍然困难重重,大平台的地位似乎无法撼动,并且不会因为客户持续的对于个人信息保护的抱怨而受到影响,其原因何在?
传统竞争法机制在互联网平台经济场景下失灵的根源在于:互联网的新型双边商业模式与传统的单边商业模式是不同的。与传统的一对一单边交易模式不同,互联网平台与直接注册用户之间看起来“免费”的服务供给是以用户出让个人信息为对价进行的,平台再通过向另一端的企业用户(如广告商)收费来获得盈利。互联网模式下“羊毛出在狗身上,由猪买单牛结账”的奇怪逻辑,实际上只是商业关系在网络环境下多边化与复杂化的一种体现,并不会背离基本的商业规则[33]。“由于互联网平台双边之间正外部性的存在,当平台拥有的客户越多,则越容易吸引另一边的产品提供商,反之亦然”[34]。为了吸引用户,平台可通过调整对不同用户群体的策略改变商业模式的类型和运行效能,其中最为典型和普遍的是前端让利后端收费的非对称性定价策略[35],在实践中,基于价格非对称性,平台通常会采取倾斜定价策略,即使平台一边的价格低于边际成本甚至为零或负,由此形成零定价模式和补贴模式[36]。在这一模式下,付费用户(如广告商)需要尽可能多和精确的个人信息数据,免费用户(信息提供者)离不开平台提供的服务,而且更多的关注点会放在平台服务的质量(搜索引擎、内容提供类)、覆盖面(社交类)等方面,尤其是社交类平台因存在用户锁定效应,更是不可能因为个人信息保护不足这一因素就放弃大平台的服务。互联网平台双边商业模式的基本运行结构如下图所示:
图1 互联网平台的双边商业模式运行结构
可见,在这一商业模式下,平台类似于一个数据加工器,一边收入个人用户提供的海量信息,通过自己的收集、加工和处理,形成具有商业价值的、可交换的数据,再凭借此数据资源通过与付费用户的交易来获取市场利润。正是由于双边商业模式割裂了传统市场交易模型下消费者对市场主体直接的信息反馈渠道,由此造成市场选择机制的失灵。有学者使用MATLAB模拟不同交叉网络外部性下数字平台竞争的绩效,发现在双边市场中较强的交叉网络外部性对于厂商之间的竞争非常重要,它会减弱差异化程度与平台竞争绩效的正相关关系[37],从经济学角度也印证了这一推论。
需要注意的是,随着平台经济的持续发展与规模不断扩大,目前实际的互联网巨头企业已经从单一平台向综合性的平台生态系统演变,如腾讯旗下既有微信、QQ等即时通讯工具软件,也有“王者荣耀”“和平精英”等手机游戏,还有QQ音乐、腾讯视频等媒体软件。这些软件之间的用户信息在一定程度上是互通的,如用户可以用自己的微信帐号登录腾讯视频,或者在QQ看点中发现推送的内容与之前玩的游戏密切相关。类似这样的互联网巨型平台在进行跨界竞争时,其生态系统能够将其所拥有的数据和算法等优势迅速传导到其他市场,在新的市场上形成“数据+算法”的双轮驱动,吸引更多新的数据,利用这些丰富的数据资源反哺优化算法,从而进一步扩张并巩固平台的生态系统,推动平台发展壮大,形成中心化和结构化的生态型垄断[38]。在这一过程中,数据甚至比算法的作用更大,正如谷歌前研究主管所言:没有更好的算法,只有更多的数据。[39]因此,“立足于平台多边市场的特点,具有市场支配地位的平台经营者强制收集非必要用户信息的行为可以被视为一种具有排他倾向的非纯粹剥削性滥用”[40],因为垄断的数据资源将不断强化平台相对于其竞争对手的市场优势地位。在这一过程中,平台不会愿意与其竞争者分享自己的数据资源,个人信息保护有时甚至会被平台用作排除竞争的借口,如苹果公司在其iOS14的升级中,就在系统中默认了“隐私关心”选项,但如果用户默认了这一选项进行系统升级后,只是第三方应用程序收集数据的难度会大幅增大,而苹果公司自身的应用程序并不受明显影响。
既然互联网平台已经发展出不同于传统一对一交易模式的新型双边交易商业模式,法律也应当与时俱进,适应新的经济形势需求。尤其是基于前述数据、算法等新型竞争要素影响力的加大,反垄断法的立法与执法视野都需要进行拓展与升级。“对反垄断监管者来说,困难在于那些源于标准市场的传统智慧不再有效”[41],需要基于平台、数据、算法三元融合的规制原理,以鼓励创新与隐私保护重构反垄断法立法目的和价值体系,构建价格和质量并重、法律和技术共治的反垄断法体系[42]。正如国家市场监督管理总局在对阿里巴巴公司“二选一”垄断行为的行政处罚决定书和指导书中所指出的一样:当数据已经成为企业排除、限制其他竞争对手的工具时,裁判者审理数据纠纷案件也应充分考虑数据垄断的可能性,通过对数据财产流转的激励,满足公众和基于社会公共利益对于数据的合理需求。
在这个新的反垄断法体系重构过程中,个人信息可携带权的意义是重大的,因为这是个人主体唯一一项可以从个人提供的原始信息跨越到平台处理后的具有商业价值的数据层面的权利,它能够跨越双边商业模式下平台设置在真正的买方与卖方之间的障碍,直接带来数据资源的流动,从而达到有效的反垄断效果。
三、个人信息可携带权对贯通互联网双边商业模式的积极作用
如前文所述,个人信息可携带权作为自产生之初就被寄予厚望的一项综合性权利,不仅具有私法层面的意义,更天然具有促进数据资源流动的反垄断价值,尤其适合在互联网双边商业模式下突破信息传递的阻隔,破解当下的平台数据垄断困局。
(一)个人信息可携带与反垄断在消费者保护价值目标上的内在契合
首先,反垄断法的基本假设就是竞争的市场才能提升消费者福利,因此破坏市场竞争的垄断行为必须受到法律规制,这与个人信息保护中消费者利益优先的价值取向完全契合。在反垄断法语境中,“消费者”是一个更广义的概念,涵盖产品的直接和间接用户,但在基本价值取向上与民法的自然人权益保护目标仍然是一致的,甚至范围更广泛。在解决权力集中方面,反垄断法与个人信息保护法对私人主体合法权益的强调与对平台霸权的警惕也是指向一致的,“这些共同目标显示出反垄断法和个人信息保护制度在关注相同的问题,因此需要整体实施”[43]。
为达到这一目标,反垄断法也需要随着社会经济的发展不断更新与进步,如在互联网经济时代,就不能将反垄断价值目标仅局限于价格维度。因为“在数字时代,个人信息已具有重要的反垄断法属性。个人信息不仅是价格的影响因素,很多时候就是在线服务的对价;在很多领域,个人信息不再附属于价格,而是与价格同等重要”。[44]退一步讲,即使单从价格角度看,认为反垄断法禁止的垄断都是围绕价格展开的,垄断本质上即波斯纳所称的“价格支配力”[45],算法歧视的普遍存在也反映出平台数据垄断最终走向差别定价的趋势基本是确定的。
从本质上说,不管商业模式如何千变万化,不管交易机制如何曲折多元,互联网平台企业作为以营利为根本目标的商主体的基本属性是不变的。所谓“免费”服务的外壳下,不过是更为复杂化的商业营利模式而已,而只要存在营利行为,消费者的权益保护就是必须考量的因素,而个人信息保护本身就是重要的消费者权益之一,如美国《加州消费者隐私法》第1798条100(d)项就明确规定了数据主体的可携带权。基于互联网商业模式是建立在数据基础上的多元主体交易这一事实,个人信息可携带权的意义就更为重大。
(二)个人信息流动对双边商业模式信息锁定效应的破解
数据可携带权本身的设计目标就带有破除垄断的考量,个人主动行使该权利将与自身相关的数据从一个平台转移到另一个平台,将数据的控制与决定权从平台垄断转移到了消费者个人主体手中,具有打破数据锁定的重要效果。[46]学界就此基本达成一致的观点是:数据可携带权有利于改善竞争环境、消除排他性行为,从而有利于增进消费者福利[47]。
已有的实践经验也证明了将选择与控制权回归消费者与市场是有效的破解垄断手段,我国“携号转网”的实践就是通过数据资源流动打破行业垄断的一个生动案例。由于历史原因,我国移动通讯运营领域一直呈现出典型的垄断市场特征,消费者选择权被限制、维权困难等问题长期得不到解决。尤其是随着互联网经济的发展,很多场合需要用手机注册帐号、接收验证码等情形让准备更换运营商的消费者更加顾虑重重。在消费者“携号转网”的多年呼声中,2010年11月22日,工信部第一批携号转网试点在天津、海南启动,2014年第二批携号转网试点又在江西、湖北、云南落地。2019年11月11日,工信部正式印发《携号转网服务管理规定》,同年11月27日,工信部召开携号转网启动仪式,中国移动、中国联通和中国电信三大基础运营商随之发布携号转网服务细则。
这一举动对于打破移动通讯市场长期以来难以突破的垄断格局意义无疑是重大的,政策的正式落地也经历了重重的困难与考验,但最终的实施效果证明了这一釜底抽薪的举措对于打破垄断至关重要。2022年4月19日,国务院新闻办公室举行新闻发布会介绍2022年一季度工业和信息化发展情况,其中提到我国携号转网服务有序推进,全国携号转网用户数已超过 5700万户[48]。从“携号转网”推进更早的美国和日本来看,赋予用户号码携带权利后对电信市场结构的改进效果也是非常突出的。
从前文所分析的互联网平台双边商业模式来看,曲折的信息传递途径减弱了消费者通过市场手段进行信息反馈的能力,已经被平台处理分析过的信息数据在缺乏明确法律授权的情形下也成为了用户的沉淀成本,进一步阻碍了消费者的自主选择与更换平台的行为。个人信息可携带权的设计与实施可以突破双边商业模式中平台设置的障碍,直接带来数据资源的流动,不仅可以有效地保护用户的个人信息权利,也能直接带来反垄断的积极效应。
(三)个体赋权解放市场内部力量弥补行政监管的不足
越来越多的学者开始认同反垄断法与个人信息保护法协同配合的观点,主张个人信息可携带权在反垄断法上积极作用的发挥,并非混淆法律的边界与分工,而是推进法律部门协同、社会力量与行政监管力量协同的必然要求。诚然,反垄断法与个人信息保护法是各自独立的法律部门,如同刑法与民法是不同的法律部门一样,但任何国家的法律体系也是一个内在有机协调与相互配合,从而共同达到立法者所追求的社会治理目标的整体,“当前法的发展日益细化,已迈入高度整合的阶段”[49]。通过个人信息可携带权的有效行使与保障,是可以达到促进民法与反垄断法有效互动,实现市场力量与行政监管协同共治目标的。
“反垄断法通过保护不受扭曲的市场竞争来增进消费者福利,而一个运转良好的市场的存在前提是,人们作出选择必须是在个人信息得到充分保护的前提之下,基于此,为了充分保护消费者福利,反垄断法和个人信息保护制度必须齐头并进(go hand in hand)”[50]以往学界关注较多的是通过数据领域的反垄断执法可以更好地保护个人信息,实际上个人信息保护也可以起到类似的正向反馈作用,即通过个人信息可携带权的行使与有力救济,可以达到减缓甚至瓦解数据垄断的作用。
2021年2月7日,《国务院反垄断委员会关于平台经济领域的反垄断指南》(国反垄发〔2021〕1号)正式发布,这是一份充分重视和回应平台经济新形式的反垄断工作指南,其中对平台经济反垄断监管的原则、相关市场的界定、市场支配地位的认定、算法共谋以及数据垄断等核心问题都进行了明确规定。其第11条“市场支配地位的认定”中就明确了“其他经营者转向其他平台的可能性及转换成本”是衡量市场支配地位的重要指标,换个角度来看,具有市场支配地位的企业未能履行个人信息可携带权的义务也可以成为引起反垄断监管部门注意的风向标。
不止于此,个人信息可携带权由于其积极性、突破性的特点,还可以成为预防垄断的事前手段与执法监控点,直接起到促进市场竞争与数据流动、打破平台数据垄断的作用,而又由于个人信息主体行为的分散性,不会带来行政机关直接处罚措施那样激烈且一刀切的产业政策后果。正是在这个意义上,个人信息可携带权作为零散的、自发的市场力量,可以滴水穿石,也可以在达到相应的数量和规模时成为明显的市场警示,正好可以补足行政监管手段刚性有余、弹性不足的缺陷,两者的配合可谓天衣无缝。
四、促进个人信息可携带权实现反垄断价值的一些建议
本文主要从反垄断法的角度探讨了个人信息可携带权作为一项新型个人信息保护类权利对于突破互联网平台双边商业模式下市场机制失灵困局的积极意义,提出从价值目标、信息流动和协同共治三个角度看待个人信息可携带权所蕴含的丰富可能与发展前景。但要使这些积极作用真正发挥出来,还需明确一些关键问题,进一步完善相关法律规则。
(一)对个人信息可携带权的适用范围作适当拓展
关于个人信息可携带权的一个核心争议是该权利只及于用户自己提交或产生的数据还是也可以适用于平台主动收集与形成的源自用户的数据。这一分歧直接决定了个人信息主体能够要求从平台带走多少价值的数据资源,也决定了平台在新的权利挑战下还能守住自身垄断资源的程度。从目前欧盟的发展趋势来看,有逐渐走向广义的个人信息可携带权范畴的倾向。如2022年7月18日正式获批准通过的《数字市场法案》(DMA)就将广义的可携带权规定为“守门人”大型平台的义务,其第6条第9款明确要求“守门人”应当响应用户请求,以免费方式确保有效的数据携带,包括提供免费工具以及确保连续、实时的数据访问。其间进一步明确数据携带的范围既包括“用户提供的数据”,又包括“用户活动所生成的数据”。2023年的《数据法案》则针对特定类型的主体规定了较GDPR(欧盟《通用数据保护条例》)而言水平更高的、可谓“可携带权+”的权利[51]。
关于这一适用范围的争议其实根源于GDPR第20条对“可携带权”的定义:“就其曾提供给数据控制者的个人数据,数据主体有权以结构化、通用且机器可读的方式从相应控制者处接收相应数据,或将相应数据传输至另一控制者”。这里关于何为“提供”就是争议的起源,是仅限于用户在填写表格时主动、知情地提供的信息,如姓名、电话、地址等,还是也包括平台通过观测和记录用户活动所产生的数据,如交易记录、浏览历史、行程轨迹等。如果仅从文义解释角度出发,很容易将“提供”理解为仅限于主动的行为,那么可携带权的范围就狭窄了许多,但如果采取目的解释方法,为了更好地实现防止平台数据垄断的目的,就应当适当扩张“提供”的内涵,用户通过“行为”产生、平台只是“记录”而非创造性产生的数据,都应当属于用户可携带数据的范畴。
从反垄断的法律目标来看,为了达成贯穿互联网双边商业模式、实现从信息到数据资源联动的目的,个人信息可携带权也不应仅限于用户自己提供的原始信息,而应当包括在平台中积累形成的数据资源,包括经过平台收集和处理后形成的数据。因为单独零散的原始个人信息并不具备相应的商业价值,从根本上说原始信息也不需要平台的配合用户个人就可以向新的平台提供,如果将个人信息可携带权仅限于“主动提供”的信息,无疑是人为地限缩甚至否定了这一权利的意义。在“携号转网”的实践中,曾经也有运营商提出电话号码是运营商分配给用户使用的,并非用户的财产,但这一主张无疑是不成立的。单纯的一串号码数字并没有实际价值,用户号码是通过自己的人际交往等自身行为才累积起其不可替换的价值,因此权益归属的根本标准仍然应当是数据价值的来源与贡献程度。因此,要达到有效促进数据资源流动、破除平台数据垄断的目的,应当采取反向定义的方法,即除非平台能证明数据是经过平台的创造性劳动赋予了独特价值的部分、或者满足了商业秘密构成要件的客体,否则都应当纳入个人信息可携带权的范畴。
(二)是否应只规定单向个人信息可携带权
有观点认为个人信息可携带权可能会损害竞争,理由是合规成本的增加对中小企业来说可能更难以承受,尤其是若要求新公司在成立之初就满足数据可携权的合规义务,可能会造成市场准入障碍,并在一定程度上阻碍创新和自由竞争。[52]由此建议“可以对数据可携权的适用范围进行严格限定,防止负面效果的产生,即规定仅在大型互联网平台用户向小型数字经济平台转移用户数据时,才能适用数据可携权,”[53]即在提供数据可携带权的义务主体中对中小平台进行豁免[54]。
但这一推断可能太过武断了,实际上大型平台企业因为更多的用户数量和数据存储,其合规成本是会几何级增加的。以被遗忘权为例,自2014年5月欧盟正式执行“被遗忘权”相关规定,仅到2015年11月谷歌就收到了34.8085万次链接删除请求,涉及123.4092万个网址,其中约42%最终被删除[55]。任何一项单个主体即可提出的权利请求,对于拥有海量个人用户的平台企业来讲都是巨大的负担,在这一点上反而是用户数量更少的中小企业更有优势。尤其是个人信息可携带权带来的往往是用户的流失,这一点对于已经拥有市场上绝大多数用户的平台来说显然是更直接的挑战。从市场竞争的角度来讲,中小平台、新进入市场的企业更倾向于通过具有比较优势的个人信息保护政策等手段来从既有大平台中吸引客户转移,大型平台则只要做到不明显低于新平台的服务标准就能留住现有用户,立法者没有必要过多担心客户的反向流动。
如果要规定单向个人信息可携带权,除了考虑实际上带来的不公平效果外,还要配套出台一套有效的判断大型平台与小型平台的标准,这不仅会带来立法与执法成本的增加,也很难给出让所有市场参与者都信服的判断。届时个人行使信息可携带权时还需要先证明是从大平台向小平台转移,再证明符合该项权利的其他要求,其实反而增加了行权成本。实际上,这一问题由行政监管部门根据不同行业与平台的特点来灵活把控更为合适,即在现有《个人信息保护法》第45条规定的“符合国家网信部门规定条件”这一预留窗口中进行解决更为妥当。如可以根据实际情况将平台划分为交易型平台和非交易型平台,对于平台两边用户直接交易的所谓交易型平台,仅需界定一个相关市场,对于平台两边用户不直接进行交易的非交易型平台,则区分用户不同需求,界定多个相关市场[56],根据不同的市场划分来进行分类监管会更有针对性,即“在数据治理的不同领域和场景中,基于不同产业的数据内容及运行机制上的差异,根据不同领域和场景中可携权实践的特点制定相应的适用条件和规制方案”。[57]
总体上看,多元跨界经营的大型平台的发展给反垄断法带来了新的课题,在尊重《反垄断法》“经济宪法”地位,以反垄断监管为中心的同时,也需要相关监管部门紧密合作和多管齐下[58],个人信息可携带权的出现可以成为一个新的契机,联结起个人信息保护法与反垄断法的协同共治,为未来互联网与大数据新经济领域的反垄断监管尝试一条新的道路。