数字经济时代数据隐私的反垄断保护:理论证成、适用困境及破解之道
2023-11-08任超李雅瑜
任超 李雅瑜
摘 要:数字经济时代,反垄断与数据隐私保护交叉重叠,二者并非简单的互补性关系。然而,是否要将数据隐私保护纳入反垄断规制框架之中,是否将其作为竞争考虑因素,目前在学理和反垄断执法实践中尚存争议。同时,对数据隐私保护相关的竞争问题,各国立法也并无明确的法律规范。数据隐私属于消费者福利,是反垄断法的价值追求。同时,数据隐私保护作为衡量数字产品质量的重要标准,是大数据时代市场质量竞争的重要方面。此外,数据隐私保护法的“知情同意”原则及事后救济模式存在一定的局限性,对于垄断行为中的用户数据隐私侵害难以全面保护。而在监管及立法上,反垄断法可以在一定程度上克服数据隐私保护法对用户隐私保护的局限。因此,数据隐私保护纳入反垄断规制实属必要,且具有一定的可行性。但其在适用上也面临一系列挑战:反垄断法过度干预可能遏制互联网企业的创新,甚至降低用户体验;数据隐私因其主观性和隐蔽性而难以具体量化;传统的价格中心主义及假定的垄断者测试法在平台经济中无法适用;反垄断执法机构在隐私保护上专业性不足。对此,应保持反垄断法的谦抑性,避免过度干预;建立数据隐私损害分析工具,引入数据隐私保护“价格”分析机制;更新传统的理论工具,建立多边市场界定机制;创新监管模式,采用协作监管、激励监管和事前监管相结合的方式。
关键词:数字经济;数据隐私保护;反垄断法;质量说;消费者福利
中图分类号:D912.294 文献标识码:A
文章编号:1673-8268(2023)04-0065-11
在世界范围内,数据隐私【数据和隐私并不相同。根据《通用数据保护条例》(GDPR)第4条和我国《民法典》第1032条,二者构成交叉关系,个人数据包含隐私中的私密信息。本文中的“数据隐私”仅指涉及公民隐私保护的数据。】保护与反垄断的交叉愈发普遍。然而,学界对于二者关系存在不同观点。少數学者认为二者为互补关系,主要代表观点为“分离主义”和“整合主义”。“分离主义”主张在数据隐私和反垄断法之间划定严格界限[1];“整合主义”则认为,一旦数据隐私成为质量竞争的要素,反垄断分析就应该考虑数据隐私[2]。无论是“分离主义”还是“整合主义”,均倾向于强调数据隐私和反垄断之间的互补性关系。
事实上,数据隐私和竞争之间的关系是非常复杂的,并不是一种简单的互补关系。尽管从理论上来说,由于数字经济中的“反馈循环”【2016年11月,经济合作与发展组织(OECD)竞争委员会召开关于大数据与竞争政策有关的讨论,提出数字经济存在“反馈循环”。反馈循环是指数据与用户数量和产品质量之间可能形成螺旋上升式的反馈关系。】,平台提高隐私保护水平能让用户和企业互利共赢,而强制收集数据隐私却能使平台拥有强大的数据竞争力。据此,为用户提供优质的隐私保护服务,对于大型平台而言仅为次优的商业选择。此外,数据收集本身也是一把双刃剑。一方面,数据的收集与合并将会提升数字化产品的质量;另一方面,过度的数据收集导致数据隐私的“裸奔”和数据隐私控制权的丧失。另外,数据隐私保护有时会与反垄断及促进竞争的目标相悖。当前,数据驱动型集中、超级平台的排他性滥用和剥削性滥用及数据隐私保护合谋等新型垄断行为将数据隐私和竞争之间的复杂关系体现得淋漓尽致。
数据驱动型集中垄断行为表现为大型平台兼并收购拥有庞大数据资产但负盈利的中小型、初创型企业[3]。该行为强化了平台在数字市场的优势地位,平台将缺少动力去维持原来的隐私保护水平[4]。此外,其他个人信息保护水平更高的企业将受到排斥[5]。同时,用户的数据隐私将会在收购方与被收购方之间共享,进而可能被侵蚀。新型剥削性滥用主要表现为互联网平台违反比例原则而过度收集用户数据。数字生态系统的“守门人”(gatekeeper)[6]拥有无可比拟的数据规模优势,用户黏性、锁定效应日渐形成。超级平台可能会通过附加不公平的协议条款来实施数据榨取[6],令用户陷入“拒绝即无服务”(take it or leave it)的困境之中。同时,由于用户的有限理性,庞大复杂的隐私条款也加重了用户的认知负担。超级平台在实施排他性滥用过程中可能会通过捆绑销售等方式对用户附加不合理交易条件,获取其他竞争对手难以获得的数据,提高竞争对手的成本或抬高市场进入壁垒[7],有些平台甚至还会采取封锁、拒绝兼容等限制手段避免竞争对手搭便车。数字经济下的“算法合谋”(algorithmic collusion)更多体现为数据隐私保护上的合谋:平台企业之间明示或默示达成降低用户数据隐私保护水平的协议,避免在此方面相互竞争。
一、用户数据隐私保护是否纳入反垄断规制
用户数据隐私保护与竞争密切联系,且相较于传统垄断行为,新型垄断行为与用户数据隐私损害之间存在着因果关系。是否需要将数据隐私保护纳入反垄断规制框架之中或作为竞争考虑因素,目前在学理、执法过程和立法中均存在一定的争议。
(一)学理上的不同认识
持反对观点的学者认为,在法律实现目标方面,数据隐私保护法与竞争法具有不同的目标[8]。在反垄断法执法方面,由于隐私本身没有很确定的标准,将隐私保护纳入反垄断法中会导致法官对同类垄断行为不同对待[2]。在创新方面,将侵犯隐私的行为认定为垄断行为,将会抑制竞争与创新[9]。在消费者偏好方面,不同消费者对于隐私有不同的主观偏好,对此不应该统一进行管理[10]。持支持观点的学者认为,在消费者福利方面,数据隐私保护和价格均为消费者福利的核心内容[6],而数据隐私保护法、消费者保护法和反垄断法在不同领域通过不同的方式都保护了消费者福利[11]。反垄断法具有多重价值目标,用户数据隐私保护为反垄断法的多元立法价值所涵盖[12]。此外,数字隐私保护是质量竞争中的重要因素[13]。
(二)反垄断执法机构的不同态度
在全球范围内,对于涉及用户数据隐私保护的新型垄断行为,不同国家的反垄断执法机构在执法上存在差异。2007年“Google并购DoubleClick案”中,欧盟委员会和美国联邦贸易委员会(Federal Trade Committee,FTC)将数据隐私保护排除在竞争审查目的之外。2014年“Facebook并购WhatsApp案”中,欧盟委员仅仅将数据保护视为衡量竞争质量的一个参数。2017年“HiQ诉Linkedin案”中,美国第九巡回法院认为用户的数据隐私利益不足以超过HiQ维持商业活动的利益,要求Linkedin继续允许HiQ的数据抓取行为。目前仅有德国联邦卡特尔局(Federal Cartel Office,FCO)将平台对个人数据的不当收集与使用的行为认定为剥削性滥用。FCO首次以欧盟GDPR作为竞争执法标准,将用户数据隐私保护视为一种非价格竞争因素,将Facebook对用户数据不正当收集与使用的行为认定为剥削性滥用行为。
(三)全球立法现状
1.欧盟
欧盟的GDPR将个人数据保护权上升到人权高度进行保护,明确将用户同意作为数据处理的合法性基础,是全球范围内最为严格的信息保护条例。此外,欧盟也开始关注用户隐私保护和反垄断两个法律领域的相互作用,承认二者存在一定联系,并出台了一系列新法规。2020年,欧盟委员会提出的《数据市场法》(Digital Market Act,DMA)通过事前监管加强对“守门人”的规制,禁止其在数字市场中对其他企业和消费者施加不公平交易条件;其《数据服务法》(Digital Service Act,DSA)为“超级大型在线平台”设定了部分实质性义务。
2.德国
德国2021年通过的《反对限制竞争法》数字化法案,为解决数字经济和相关竞争问题建立了一个新的框架。该修正案还赋予FCO以新权力,一旦某些公司被确定为“对跨市场竞争具有重大意义的公司”,FCO将禁止其实施某些类型的行为,包括禁止自我偏好行为、拒绝或阻碍互操作性和可移植性要求等。此外,该修正案还规定,如果获取数据与竞争息息相关,则引入获取数据的权利。如果拒绝查阅这些数据,则可能构成滥用相对优势地位。
3.美国
美国加利福尼亚州于2018年通过的《消费者隐私法案》赋予了消费者对公司收集和管理其个人信息更多的控制权,规范了企业收集处理数据的方式。美国众议院司法委员会(House Committee on the Judiciary)于2016年报告了一系列针对大型科技公司的反垄断法案,如《美国创新与在线选择法案》(the American Innovation and Choice Online Act)禁止大型科技公司從事特定形式的“歧视性行为”;《终止平台垄断法案》(the Ending Platform Monopolies Act)要求大型科技公司进行结构性分离;《平台竞争和机会法案》(the Platform Competition and Opportunity Act)禁止大型公司收购竞争对手或潜在竞争对手;《借由服务交换来提高兼容性及竞争力法案》(the Augmenting Compatibility and Competition by Enabling Service Switching Act)通过互操作性和数据可移植性规定来解决大型科技公司产生的强大“网络效应”和“转换成本”问题。
4.中国
我国于2021年实施《数据安全法》和《个人信息保护法》,在保障数据和信息的安全基础之上鼓励数据的流通和个人信息的合理利用。2020年,我国市场监督管理总局发布《关于平台经济领域的反垄断指南(征求意见稿)》(以下简称《指南》)。该《指南》立足于我国平台经济领域发展现状和特点,对涉及平台经济领域的反垄断法适用问题作出了较为细化的规定。其中部分规定体现了我国在反垄断中考虑用户数据隐私的肯定态度。《指南》第4条第1款【《指南》第4条第1款规定:“可以根据平台一边的商品界定相关商品市场;也可以根据平台所涉及的多边商品,分别界定多个相关商品市场,并考虑各相关商品市场之间的相互关系和影响。当该平台存在的跨平台网络效应能够给平台经营者施加足够的竞争约束时,可以根据该平台整体界定相关商品市场。”】规定了界定平台相关市场的方式,为“零价市场”中用户数据隐私保护纳入反垄断规制提供适用依据;第16条第5款【《指南》第16条第5款规定:“分析是否构成搭售或者附加不合理交易条件,可以考虑以下因素:……(五)强制收集非必要用户信息或者附加与交易标的无关的交易条件、交易流程、服务项目。”】将“强制收集非必要用户信息”视为“构成搭售或者附加不合理的交易”行为类型,体现了我国反垄断执法机构对具有市场支配地位经营者强制收集非必要用户信息、侵犯用户隐私行为的否定性评价和规制态度;第20条第6款【《指南》第20条第6款规定:“经营者集中对消费者的影响。可以考虑集中后经营者是否有能力和动机以提高商品价格、降低商品质量、减少商品多样性、损害消费者选择能力和范围、区别对待不同消费者群体、不恰当使用消费者数据等方式损害消费者利益。”】将“不恰当使用消费者数据”作为判断经营者集中考量因素之一,在经营者集中制度下将用户数据隐私保护纳入反垄断分析框架之中;第21条【《指南》第21条规定:“……对于不予禁止的经营者集中,国务院反垄断执法机构可以决定附加以下类型的限制:(一)剥离有形资产、剥离知识产权、技术、数据等无形资产或者剥离相关权益等结构性条件;(二)开放网络、数据或者平台等基础设施、许可关键技术、终止排他性协议、修改平台规则或者算法、承诺兼容或者不降低互操作性水平等行为性条件。”】“对于不予禁止的经营者集中采取数据剥离、修改平台规则、承诺兼容、不降低互操作性水平等措施”进行救济,为经营者集中用户数据隐私保护提供了技术路径。
在比较法视野下,各国立法对处理数据隐私保护相关竞争问题并未有明确或相对完善的法律规范,数据隐私保护和反垄断二者在立法上处于割裂状态。相较于美国,欧盟竞争法对于“守门人”企业强制附加了特殊义务,且其GDPR更加重视数据隐私保护,美国在竞争领域对平台企业侵蚀用户数据隐私的行为可能不会予以重视[14],二者在处理与数据相关的竞争行为时可能存在一些分歧。随着《个人信息保护法》的出台,我国开始对数字经济领域中的竞争问题和隐私保护问题予以重视,承认反垄断与用户隐私保护二者存在联系,对在反垄断框架下考虑用户数据隐私持肯定态度。
综上所述,无论在学理、执法亦或立法上,各国对數据隐私的反垄断保护立场不一。当下,用户对个人隐私保护愈加重视,且新型垄断行为层出不穷,单纯依靠国内信息保护立法无法全面保护用户数据隐私。因此,有必要将数据隐私纳入反垄断规制框架之中,解决平台经济时代下用户隐私保护缺失问题。笔者聚焦于数据隐私反垄断保护的必要性,思考其在适用过程中可能面临的挑战与困境,并有针对性地提出可行的解决方案。
二、数据隐私反垄断保护的理论证成
(一)数据隐私与竞争:共同的价值追求
首先,反垄断法的立法目标是多元而非单一的。我国《反垄断法》第1条【《反垄断法》第1条规定:“预防和制止垄断行为,保护市场公平竞争,提高经济运行效率,维护消费者利益和社会公共利益,促进社会主义市场经济健康发展。”】反映了反垄断法多元价值追求,包含公正的竞争秩序、消费者利益及社会公共利益。《欧盟运行条约》(Treaty on the Functioning of the European Union,TFEU)第102条规定,具有市场支配地位的企业剥削消费者的行为属于滥用行为。保护公平的竞争是竞争法的直接目标,维护消费者利益是其间接目标,前一目标的实现有助于后一目标的达成,后一目标的内容包含前一目标。保护公平的竞争秩序是维护消费者利益的重要手段。因此,在竞争法中不能忽视对消费者利益的保护,追求用户数据隐私的保护是反垄断法的题中应有之义。
其次,在数字经济时代,消费者福利的概念应发生转变,传统的消费者福利界定并不合理。最早提出消费者福利概念的是芝加哥学派代表人物博克[15]。消费者福利和生产者福利共同构成社会总福利,芝加哥学派将消费者福利等同于经济效率,坚信良好的竞争将在很大程度上带来消费者福利最大化的生产效率和资源配置效率。芝加哥学派提出价格理论,并借用经济学中的量化分析方法对消费者福利的概念进行阐述。然而依照价格中心主义解释的消费者福利是有失偏颇的,消费者福利不仅包含价格因素,还包含产品质量、数量等非价格因素,而价格理论分析框架是无法捕捉和感应非价格因素的变化和影响程度的[16]。一方面,企业压缩生产成本,降低产品质量为消费者带来价格上的福利,但另一方面,低价代表了劣质的产品,将损害消费者福利。此外,数字经济时代的到来也将进一步改写价格中心主义。大数据经济下商业模式发生了转变,互联网市场中免费定价策略得到普遍运用,价格理论遭遇了适用困境。数字市场中消费者福利还应包括数据隐私保护这个非价格因素。在传统市场中,消费者对价格极为敏感,价格成为重要的消费者福利。然而在数字经济时代,频繁的数据收集和分析引发消费者对个人信息保护的担忧和关注。在“Facebook并购WhatsApp案”中,欧盟委员会将数据保护作为非价格因素进行考量,认为一旦进行了数据共享,用户就失去了一款能有效保护数据隐私的社交产品,同时Facebook将拥有更多的数据和更强的大数据分析能力,可能会损害消费者数据隐私利益。
但是,不能盲目扩大消费者福利的外延和忽视竞争法的最终目标,以避免反垄断法对数据隐私保护的过度干预。反垄断法之所以对反竞争行为进行规制,是因为垄断会损害经济效率,进而降低消费者福利。各国反垄断法理论和实践都表明,反垄断法致力于更有效率的经济发展状态,并在此过程中实现消费者福利最大化,而消费者福利中的数据隐私利益仅被限缩解释为与竞争有关的数据隐私利益。
(二)数据隐私:非价格竞争因素——质量
企业竞争涵盖价格竞争和非价格竞争两个维度。数量、质量、用户选择等均为典型的非价格竞争因素,其中产品质量是企业非价格竞争中的核心领域。传统实体经济中,消费者更加关注的是产品和服务的价格高低及其质量优劣;但在虚拟经济中,用户以数据隐私的交换为对价,足不出户便可享受“免费”的产品和服务,用户的目光从货币价格开始转向了数据隐私的保护。对用户而言,由于“免费”的服务并无价格可言,无需在价格维度上进行横向比较,其更青睐于数据隐私保护水平更高的产品和服务,并认为数据隐私保护水平高意味着产品和服务质量更好。用户将通过数据被收集的多少、平台处理数据的方式、数据保护的措施等来对产品质量的优劣程度进行判断。基于此,在数字市场中,企业之间不再囿于耐用程度、质地、性能等方面的质量竞争,数据隐私保护开始左右用户的选择,成为衡量数字产品质量的重要标准。提升数据隐私保护质量成为数字经济下加强市场竞争力的重要措施,激励互联网企业加强数据隐私保护,如控制用户数据被收集的数量、明确数据处理方式及第三方访问权限等。有人提出“隐私悖论”,即用户在关注数据隐私保护的同时又心甘情愿牺牲数据以换取“免费”服务,而且不同的用户对隐私保护的偏好不同。即便如此,“隐私悖论”并没有否定数据隐私在大数据时代下作为质量维度的非价格竞争因素这个观点[5]。
数据隐私保护是衡量市场质量竞争的重要方面,但不能绝对化地适用数据隐私保护“质量说”。通常来说,企业为了攫取更多利润而尽可能压低成本,这会直接带来产品质量的下降。然而,降低隐私保护水平并不一定带来相同的结果[12]。首先,降低数据隐私保护水平并不必然缩减平台企业的成本。平台损害用户数据隐私的行为方式繁多,如通过不平等隐私条款过度收集用户数据、擅自与其他第三方平台共享数据、对数据进行不适当处理等,在实施这些行为的时候,企业往往还需投入资金与技术,负担一定的成本。但数据的价值是远超背后所承受的成本的,企业并不关切额外增加的成本。其次,降低数据隐私保护水平并不会增加企业从用户处获得的利润。互联网企业损害用户数据隐私的目的是获得并存储大量数据,以此来提高自身的市场势力。平台企业仅增加了服务器的数据存储数量,并没有直接利润的增加[17]。但是,在数字市场中占据数据优势的企业将拥有更多忠实用户,从而吸引更多广告投放商,平台企业也将基于此获得大量间接利润。最后,企业降低数据隐私保护的水平并不必然导致产品质量的下降,相反,用户可能体验到更为精准的服务。互联网企业收集到的用户数据隐私越多样、越丰富,数据分析将越精准,进而带来消费者福利。
此外,数据隐私服务作为质量竞争的重要因素,并不代表其与价格毫无关联。用户数据隐私保护的水平代表了服务质量的高低,而质量是与价格紧密相关的。平台企业提供的并非都是免费的服务,也存在有价服务的场合[5]。在有价服务的交易中,用户对价格更加关切。此时,数据隐私保护水平就成为了价格中的一个附属分析因素。
(三)数据隐私保护法局限性:保护不足
1.“知情同意”原则适用失灵
世界各国对数据隐私保护出台了一系列规定,包括欧盟的GDPR、美国的CCPA以及我国的《个人信息保护法》《数据安全法》等,将隐私保护置于“知情同意”的框架之中。首先,處于弱势地位的用户往往难以真正“知情”[18]。平台企业掌握着复杂的技术,用户和平台之间技术水平不对等,用户难以获知数字平台收集和处理自己数据隐私的方式。此外,当前各大互联网平台出台的隐私政策均有冗长、晦涩的倾向,用户通常不愿花费大量的时间成本来阅读,且鉴于用户的有限理性,对于部分条款也难以理解。因此,对于隐私政策是否附加了不平等条件,是否采取不恰当的收集方式,是否收集了与提供服务之间无关的信息等,用户均难以获知。其次,由于数字经济中的锁定效应,面对超级平台,用户也难以真正“同意”。超级平台利用强大的数据势力,在为用户提供更具个性化服务的同时,进一步锁定用户并提高了用户的转移成本。一旦成为了忠实用户,面对超级平台的不公平隐私政策,即使用户用了充分理性去加以理解和获知,他们的选择权也因受到限制而被迫同意。因此,大型互联网平台的隐私政策成为了一纸空文,“知情同意”原则并不能真正保护用户的数据隐私权。
2.救济模式治标不治本
数据隐私法的救济是以行为救济为主的事后救济,通过罚款或损害赔偿来进行隐私侵权的救济。此种救济模式并不能从根本上预防和解决新型垄断行为中出现的数据隐私损害。数据隐私损害的根源是垄断的市场结构,若没有追根溯源发现问题并解决问题,科技巨头将会继续实施其他更为隐蔽的手段来规避数据隐私法的规定,进而损害数据隐私,如匿名化处理措施。从立法上看,数据隐私法只保护“可识别”的个人数据。欧盟GDPR将个人数据界定为“任何指向一个已识别或可识别的自然人(数据主体)的信息”,美国CCPA保护“能够识别、关联、描述以及能够与特定消费者或家庭关联或合理关联的信息”,我国《个人信息保护法》采取“数据最小化与比例原则”,并不保护“匿名化处理后的信息”。互联网平台为了规避数据隐私法的规制,在超出合理必要的收集限度下可能会采取技术措施将所收集的信息进行匿名化处理,以规避数据隐私保护法的适用。此外,数据隐私法采用事后救济的手段无法提前预防损害的发生,也难以提前防范滥用数据、降低数据隐私保护水平等损害数据隐私权的行为。
(四)反垄断法是对数据隐私保护法局限性的弥补
首先,反垄断法中对垄断协议和滥用市场支配地位实行事后审查,对经营者集中进行事前审查[17]。其事前审查制度弥补了隐私保护法事后救济的不足,能提前对平台企业并购行为进行审查,防止数据驱动型并购行为对数据隐私的损害,起到防微杜渐的作用。数据隐私法的事后救济与反垄断法的事前防范相互结合,有利于实现对数据隐私更为全面的保护[12]。其次,相较于隐私保护法采取的罚款和损害赔偿的金钱救济模式,反垄断法要求实施经营者集中的企业采取必要措施以求恢复到集中之前的状态,这是对症下药,从根源处解决问题。最后,我国尚未有专门的个人信息保护监管机构,目前主要由人民检察院、法律规定的消费者组织和国家网信部门确定的组织对个人信息保护进行监管,这容易造成各部门相互推诿,监管效率低下。在反垄断监管方面,我国有专门的反垄断执法机构,执法效率更高,有利于更好地打击竞争领域范围内数据隐私损害的行为,进一步强化对隐私的保护。
三、数据隐私反垄断保护的适用困境
(一)多元利益的平衡与冲突:数据隐私保护、创新与消费者福利
在数字市场的竞争中,非价格竞争因素除了质量,还包含创新。在数据隐私的反垄断规制中可能会造成数据隐私保护与创新相互抵牾。为了保护数据隐私而遏制部分竞争行为可能会阻止互联网企业进一步收集、分析和处理数据。而数据是互联网企业生存延续和发展壮大的根本要素,也是其改善服务质量、更新产品技术、提高创新能力的核心素材。因此,对竞争行为的打击将成为企业创新路上的绊脚石。对此,如何确定各个非价格因素的权重并进行综合权衡,成为一大困境。此外,还可能存在数据隐私保护与消费者福利(广义上)之间的冲突。大量的数据将有助于企业提升数据分析的能力,为用户带来更好的服务体验,而反垄断的打压在一定程度上降低了消费者福利。
(二)数据隐私的损害难以明确
确定一个行为属于垄断行为,需要满足三个构成要件:实施了反竞争行为,产生了竞争损害后果,行为与损害后果之间具有因果关系。数据隐私具有很强的主观性,难以清晰确定垄断行为造成的数据隐私的损害程度。同时,由于数据处理的隐蔽性,数据隐私的损害具有非即时性,用户往往难以当即感受到数据隐私受到的损害。这也给数据隐私损害的确定带来了严峻的挑战。但是,难以量化不等于可以忽略,数据隐私损害的客观存在,这是不可否认的。
(三)传统的反垄断理论和工具滞后
波斯纳指出,价格中心理论是芝加哥学派用来量化分析竞争秩序的工具[19]。传统的反垄断分析框架适用价格理论进行分析,企业的市场支配地位实际上是一种能长期维持高于竞争性水平价格的能力,企业实施的一系列垄断行为实质上是直接或间接提高价格的行为。在反垄断法中,假定的垄断者测试法【《国务院反垄断委员会关于相关市场界定的指南》第10条对假定垄断者测试的主要内容进行了介绍。】SSNIP(the hypothetical monopolist test)是确定相关市场的分析工具。SSNIP将价格作为分析市场竞争情况的依据来对相关市场进行界定:目标商品价格的上涨会导致消费者购买其他具有紧密替代关系的产品,从而引起垄断者销售量的下降,若此时垄断者仍然有利可图,则目标商品市场就构成相关商品市场,从而对相关市场进行界定。在大数据时代,企业的支配地位已不仅是提价能力,还包含着数据控制分析能力,数据才是互联网企业真正的生命力,价格中心主义早已滞后。在数字市场中,互联网平台更多提供的是免费服务,价格中心主义理论和SSNIP测试法实际上难以对“零价市场”中垄断行为进行分析。此外,由于网络效应带来的强大的客户黏性和过高的转移成本,用户很难或者不愿意使用替代产品。因此,运用SSNIP分析得出的结论可能并不准确。
(四)反垄断执法机构并非专业的数据隐私保护机构
我国由独立的反垄断执法机构负责竞争领域的监管,由国家市场监管总局及其授权的省级市场监管部门统一进行反垄断执法工作。尽管独立的反垄断执法机构能够大力提升监管效率,但其却是数据隐私保护的门外汉。正所谓隔行如隔山,反垄断执法机构更善于竞争领域的执法监管,对于数据隐私保护可能一知半解甚至一窍不通。同时,我国的反垄断执法是十分严厉的,而过于严苛的监管与惩罚也可能影响数字经济的繁荣发展。
四、数据隐私反垄断保护的破解之道
数字经济时代,纯粹依赖数据隐私保护法不足以防范和化解竞争领域范围内出现的数据隐私损害问题。数据隐私反垄断保护面临的挑战与机遇并行,当务之急是寻求适当的破解之道。
(一)保持反垄断法的谦抑性,避免过度干预
首先,应明确数据隐私反垄断保护的适用范围,避免过度干预和打击平台企业的创新和投资的积极性,抑制数字经济的活力。一旦在竞争领域无理由援引数据隐私法的基本原则,就会阻碍竞争的价值驱动作用,损害消费者福利;但若竞争行为不受数据隐私保护法的限制,也会减少消费者福利。故二者是相互制约的关系,切不可极端性适用,应对这两个法律领域进行同等重视,在考虑反垄断和数据隐私中各自利益的重要性后相互权衡。
对经营者集中行为进行认定时,一些平台通过兼并收购拥有大量数据资产的小型企业,在股份或资产上尚未达到国务院规定的申报标准,但其获得的庞大数据将会强化平台在数字市场中的优势地位。因此,有必要将用户数据隐私收集方式、数量、保护程度等作为具有或者可能具有排除、限制竞争效果的考量因素。在认定滥用市场支配地位行为时,应首先明确行为实施主体具有市场支配地位,可以将获取用户数据隐私的方式、保护程度等作为具有市场支配地位的认定因素。在认定壟断协议行为时,对平台之间达成的维持低程度隐私保护等协议,也应纳入横向垄断协议范畴中予以考量。
法院和竞争执法机构在个案中要对数据隐私收集处理行为与增强企业市场支配力之间的相关性进行充分分析,深入研究所涉及的具体数据隐私和竞争利益的强度,若二者存在紧密相关性并且导致了竞争损害后果的发生,则将数据隐私保护纳入反垄断中进行规制。反之,若该数据收集处理行为并不因此强化企业的市场支配地位,或者并未服务于企业实施的竞争行为,那么在反垄断中考量的数据隐私保护的权重应大大降低,甚至只需要适用数据隐私保护法即可。如在对实施过度收集用户数据行为的审查中,有些企业可能会对用户进行补贴或者提供其他优惠待遇,或者以优化服务为由进行抗辩,此时需要对滥用行为所造成的竞争损害与其提供的直接或间接福利回馈进行利益权衡。
其次,反垄断法是对数据隐私法的补强而非替代,笔者虽然对数据隐私的反垄断保护持肯定态度,但并非全然否定数据隐私保护法作为专门法的地位和作用。数据隐私保护法通过赋予数据主体多重权利来实现数据隐私的保护,而反垄断法则通过对垄断行为的规制来防范反竞争行为对数据隐私的侵蚀。数据隐私保护法为数据隐私规定底线,反垄断法则提高个人数据隐私保护的上线,二者分别从积极赋权和消极限制两个方面实现数据隐私的维护。反垄断法只是在竞争领域内保护数据隐私的一个重要工具,并非要替代数据隐私保护法,而是对其难以顾及的领域进行补充,以实现更为全面的保护。数据隐私保护具有三种模式:一是对数据的权属进行界定和确认,二是对各类主体在信息处理与收集的过程中所享有的权利进行分配,三是对各类主体的信息相关行为进行规制。反垄断法与数据隐私法在这三种不同模式中发挥各自作用。数据隐私保护法作为专门法,负责对数据的权属进行界定,在利益分配和行为规制方面则由反垄断法介入以保护[5]。
(二)创建数据隐私损害分析工具
在传统反垄断法中,可以通过价格对竞争损害的程度进行衡量。由于数据隐私的主观性,其并不像价格通过货币数字便能简单量化。但是难以量化并不等于无法量化,可以创建数据隐私损害分析工具进行动态分析。有人提出可以先行适用数据隐私保护法来评估数据隐私损害的程度,之后再适用反垄断法。如FCO在“德国Facebook案”中认定Facebook的行为违反了GDPR中的数据保护规定,进而认定Facebook违反了德国《反限制竞争法》第19条第1款“禁止一个或多个经营者滥用支配地位”之规定而构成滥用市场支配地位。但是,此种分析方法需要建立在完善的数据隐私保护规定之上。欧盟2016年通过的GDPR被称为“史上最严格”的数据保护法案,对个人数据保护及监管达到了前所未有的高度。相比之下,我国2021年首次发布的《个人信息保护法》还存在着一定的完善空间。要采取此种分析方法,还需要进一步完善我国的数据隐私保护相关法律规定,为量化数据损害提供制度支持。此外,该分析方法并没有区分数据隐私和服务的种类。企业对于不同的数据隐私以及应用于不同服务的数据隐私保护程度是不一样的,这就好比传统市场中不同品牌的同类商品价格也有所区别。与传统市场相比,数字市场是极其复杂多变的,互联网企业所提供的商品与服务种类与形式繁多,且有些兼具多重功能。因此,难以简单地界定其本身的性质,应对数据隐私损害以动态视角进行分析,而不是简单地套用数据保护法的基本原则和规定来确定竞争损害的程度。
鉴于此,可以类比传统的反垄断框架中的价格分析,引入数据隐私保护“价格”分析机制[11]。首先,确定某种主体对某种类型的数据隐私在特定服务中所应达到的市场保护度,这个保护度可类比为传统价格分析中的“市场价格”。应合理确定该标准,标准过高可能会抑制互联网行业的发展,甚至会危及企业的生存;标准过低将无法实现数据隐私保护的目标。同时,科技的进步将衍生出各种新兴产品与服务,故该标准不应单一或固定,而应随着市场的发展而处于动态变化中。此外,由于不同的产品和服务有着不同的隐私保护标准,要避免企业为规避隐私保护义务、降低企业成本而对特定产品和服务进行“变装”。其次,分析平台企业在收集、处理和分析用户数据隐私过程中对数据隐私的保护程度,这个保护程度可类比传统价格分析中的“自身价格”。比如,综合考虑企业所出台的用户条款、用户知情权范围与内容、与第三方共享的方式及内容、数据保护软件的开发应用等。最后,对市场保护度和企业保护度进行比较分析,即可判断该行为是否属于垄断行为,以及造成了何种程度的损害。但是,数据隐私保护的“价格”分析机制并非否认数据隐私保护法的适用。数据隐私保护法是隐私保护的专门法,明确规定了数据主体所享有的权利,因此市场保护度与企业保护度的确定需要以数据隐私保护法作为工具,以分析相关权利的保护程度,并以此作为分析垄断损害程度的依据。反垄断法保护用户数据隐私的本质是维护市场竞争秩序,用户信息领域中出现的新型垄断行为一旦被纳入反垄断领域进行规制,用户个人信息就能获得一定的保护,在维护竞争秩序的同时也保护了用户信息,因此个人信息保护与反垄断二者无法截然分开。
(三)更新理论工具:建立多边市场界定机制
传统的反垄断分析框架以价格为中心,利用SSNIP测试法来界定相关市场地位,从而确定企业的市场支配地位。价格中心主义理论仅对有价市场进行反垄断分析和评估,对于互联网时代下普遍存在的“零价服务”市场难以适用。互联网企业的垄断行为不仅会对有价市场造成竞争损害,也有可能在“零价服务”市场中造成非价格利益损害,如数据隐私的损害等。因此,应更新传统的SSNIP测试法,建立多边市场界定机制,如我国《指南》第4条第1款就为界定互联网平台的多边市场提供了可选择的方式,有利于今后对“零价市场”中的垄断行为进行规制。在界定相关商品市场时,由于互联网企业所提供的商品多为复合功能的产品,其商品属性往往难被具体界分。因此,应该先确定用户使用该产品的主要用途,且该用途的发挥是否需要其他附加功能的配合,若可以独立发挥作用的话,那么可以就该功能确定一个相关商品市场;反之,则需要根据商品的多个功能界定多个相关的商品市场,并分析这几个相关商品市场之间的关系。我国《指南》第4条就规定:“可以根据平台所涉及的多边商品,分别界定多个相关商品市场。”在界定相关地域市场时,虽然用户的活动已经遍布全球,但不能因此而简单将其界定为全球市场,还应该考虑用户的实际住所、用户使用的语言、产品使用的地域范围等因素。在界定相关时间市场时,需要考量用户对该产品使用的频次、用户黏性程度等指标;同时,也要注意一些因素对某个时间区间内用户需求的影响,比如:用户出于对新产品的好奇可能会导致该产品在短期内被高度使用,但经过一段时间后,用户可能会根据其功能选择继续或放弃使用该产品。
(四)创新监管方式:协作监管、激励监管与事前监管
首先,反垄断执法部门应与其他部门协作监管。反垄断执法部门只擅长处理竞争领域内的问题,对数据隐私的保护犹如盲人摸象。鉴于此,部门之间只有相互协作才能取长补短,实现监管全面化。各部门在处理竞争与数据隐私竞合问题时,应协调互补。比如,当平台实施严重的用户数据隐私损害行为时,数据隐私保护部门应当与反垄断执法机构在各自职责范围内共同介入调查。前者率先适用数据隐私保护法等规则来判定行为的一般违法性,后者则在此基础之上评估平台行为产生的竞争损害并进一步判定是否适用反垄断法进行规制。我国目前尚无独立的数据隐私保护监管部门,主要由国家网信部门负责统筹协调数据隐私保护的监管。因此,在数据隐私反垄断保护的监管中,可以由国家网信部门负责牵头统筹协调,反垄断执法机构则在竞争领域内依法执行调查。此外,若能在反垄断执法机构内部单独设立一个专门的数字市场监管机构来审查竞争领域范围内的数据隐私问题,将会进一步提升执法行政效率[20]。
其次,反垄断执法机构在监管中不能一味以命令进行控制,还应采用激励监管路径。严苛的执法容易打压市场的积极性和企业创新动力,可以通过建立平台数据合规评估报告制度[7],借此激励平台企业强化数据隐私保护,提高企业保护动力。
最后,可以借鉴欧盟的做法,对超级平台实行事前监管。欧盟DMA对“守门人”企业采取了事前监管的思路,为其设立了一定的义务,有效减少了大型平台给数据隐私带来的隐患。同时,大数据时代下的新型垄断行为层出不穷,平台对用户数据隐私的侵权方式也更加多样化和隐蔽化。如何在各种具体的反垄断行为之中实现数据隐私的保护,有待进一步探讨和研究。
参考文献:
[1]OHLHAUSEN M K, OKULIAR A P. Competition, consumer protection, and the right (approach) to privacy[J]. Social Science Electronic Publishing,2015(1):121-156.
[2]HARBOUR P J, KOSLOVE T I. Section 2 in a web 2.0 world: An expanded vision of relevant product markets[J]. Antitrust Law Journal,2010(3):769-797.
[3]赵杰伟.数据驱动型经营者集中的审查困境及对策建议[J].西南金融,2021(9):86-96.
[4]曾雄.在数字时代以反垄断制度保护个人信息的路径与模式选择[J].国际经济评论,2022(3):156-176.
[5]焦海涛.个人信息的反垄断法保护:从附属保护到独立保护[J].法学,2021(4):108-124.
[6]承上.数字平台剥削性滥用的反垄断规制[J].电子政务,2022(4):41-50.
[7]于颖超,孙晋.消费者数据隐私保护的反垄断监管理据与路径[J].电子知识产权,2021(7):4-20.
[8]SOKOL D D, COMERFORD R. Antitrust and regulating big data[J]. George Mason Law Review,2016(5):1129-1161.
[9]GRUNES A P. Another look at privacy[J]. George Mason Law Review,2013(4):1107-1128.
[10]GRAEF I. Blurringboundaries of consumer welfare[M]//Personal data in competition, consumer protection and intellectual property law. Springer, Berlin, Heidelberg,2018:121-151.
[11]劉武朝,温春辉.过度收集用户隐私数据行为的竞争损害及反垄断法规制[J].价格理论与实践,2021(7):65-70.
[12]杨东,高清纯.数据隐私保护反垄断规制必要性研究[J].北京航空航天大学学报(社会科学版),2021(6):30-37.
[13]莫里斯·斯图克,艾伦·格鲁内斯.大数据与竞争政策[M].兰磊,译.北京:法律出版社,2019:24-32.
[14]MEHRA S K. Dataprivacy and antitrust in comparative perspective[J]. Cornell International Law Journal,2020, 53:133.
[15]BORK R H, The antitrust paradox[J]. The International Lawyer,1978(1):198-201.
[16]方翔.论数字经济时代反垄断法的创新价值目标[J].法学,2021(12):162-176.
[17]李剑.互联网反垄断能促进数据隐私保护吗?[J].商业经济与管理,2021(5):85-97.
[18]张力,黄鑫.大数据背景下个人信息保护的公私法衔接[J].重庆邮电大学学报(社会科学版),2021(1):47-55.
[19]理查德·A·波斯纳.反托拉斯法[M].孙秋宁,译.2版.北京:中国政法大学出版社,2003:212.
[20]刘迪.论数字平台反垄断与个人数据保护之重叠——以双重程序为视角[J].德国研究,2021(3):117-136.
Antitrust protection of data privacy in the digital economy:
Theoretical evidence, application dilemmas and solutions
REN Chao, LI Yayu
(School of Economics and Law, East China University of Political Science and Law, Shanghai 200042, China)
Abstract:In the digital economy, antitrust and data privacy protection overlap and both are not simply complementary. However, whether data privacy protection should be included in the antitrust regulatory framework as a competition consideration is still controversial in academic and antitrust enforcement practices. At the same time, there is no clear legal regulation in national legislation to deal with competition issues related to data privacy protection. Data privacy belongs to consumer welfare, which is the value pursuit of antitrust law. At the same time, data privacy protection, as an important standard for measuring the quality of digital products, is an important aspect of market quality competition in the era of big data. In addition, the “informed-consent” principle and the ex post facto remedy model of data privacy protection law have certain limitations, which make it difficult to protect users data privacy infringement in monopolistic acts. In terms of regulation and legislation, the antitrust law can compensate to a certain extent for the limitations of the data privacy protection law in protecting users privacy. Therefore, it is necessary and feasible to incorporate data privacy protection into antitrust regulation. However, it also faces a series of challenges in its application: excessive intervention of the antitrust law may curb the innovation of Internet enterprises and even reduce the user experience; it is difficult to specifically quantify data privacy due to its subjective and hidden nature; the traditional price-centrism and the hypothetical monopolist test cannot be applied in the platform economy; and the antitrust enforcement agencies are not professional enough in privacy protection. In this regard, we should maintain the modesty of antitrust law and avoid excessive intervention; establish tools for analyzing data privacy damage and introduce a “price” analysis mechanism for data privacy protection; update traditional theoretical tools and establish a multilateral market definition mechanism; and innovate the regulatory model and adopt a combination of collaborative regulation, incentive regulation and pre-regulation regulation.
Keywords:digital economy; data privacy protection; antitrust law; quality theory; consumer welfare
(編辑:刁胜先)