個人信息保護納入反壟斷考察的邏輯理路與規范實現

林 秋,張鐵薇

(1.黑龍江大學 法學院,哈爾濱 150086;2.哈爾濱師范大學 法學院,哈爾濱 150025)

一、問題的提出:當個人信息遭遇壟斷

在數字經濟領域,一種普遍的商業模式是消費者看似在接受網絡平臺的“免費服務”,但事實上在雙邊網絡市場中,網絡平臺既服務于消費者,亦服務于廣告商,消費者表面上未付出金錢代價,但并不代表消費者對于網絡平臺不存在貨幣價值。消費者通過提供個人信息來換取平臺服務,平臺則會通過算法追蹤消費者的“足跡”,基于大數據的持續反饋,算法得以不斷優化,用戶被精準畫像,個性化推薦越發普遍,并不斷拓展用戶新的需求,體驗更多新產品。消費推薦越有針對性,廣告商越愿意付費,消費者的個人信息轉化為平臺的收入,這是阿里巴巴、亞馬遜等超級網絡零售巨頭成功的關鍵。同時,互聯網平臺企業的運營模式具有高度的用戶黏性及網絡效應,當某一平臺的用戶數量聚增到一定臨界點,將在該領域占據主導地位,而主導企業反過來會憑借強大的技術及競爭優勢收集更多用戶個人信息,進一步鞏固其市場力量。在零價格市場中,市場過于集中所要關注的問題是占主導地位的平臺企業是否會通過侵害消費者的信息權益來濫用其市場力量。德國“Facebook濫用市場支配地位案”,即是Facebook在收集、合并和使用用戶數據方面侵害用戶數據權益而遭到德國聯邦卡特爾局的制裁。而數據巨頭企業企圖通過數據驅動型經營者集中以排除競爭對手在個人信息保護方面的競爭,則是可能侵害個人信息權益的另一主要競爭模式。例如,美國在《數字市場競爭調查報告》中說明:Facebook自稱并購WhatsApp的目的就是為“爭奪領地”(land grab),排除競爭威脅,從而使自己的市場地位更穩固。實踐中,基于平臺企業的市場力量或數據驅動型經營者集中而給用戶信息權益保護帶來的威脅或直接損害主要表現在如下幾個方面,這也是反壟斷法領域應該對個人信息加以關注并適當保護的主要內容和著力點:

第一,違法收集。占有市場力量的網絡平臺企業,違法收集個人信息的情形包括:未經同意的收集或不同意無法正常使用平臺的被迫同意收集(私法上的知情同意規則在市場力量面前失去作用基礎);未明確信息收集規則;未明示信息收集的目的、方法與范圍;超出信息收集的必要范圍而收集。 第二,不當使用。占有市場力量的網絡平臺企業,常以不當使用或濫用的方式侵害用戶個人信息權益。如:將收集的信息與算法結合對用戶進行精準分析,實施“價格歧視”;將個人信息視作商品,未取得個人信息權益人同意而有償或無償披露給他人。 第三,限制攜帶。互聯網巨頭憑借市場優勢或通過整合兼并在競爭中遙遙領先,限制競爭對手獲取個人信息或限制用戶向其他平臺轉移信息,侵害用戶對網絡平臺的選擇,客觀上形成市場進入壁壘。 第四,降低保護。若市場存在有效競爭,企業為用戶提供更加有力的信息保護應是重要的競爭要素,若沒有競爭壓力,數字企業作為理性“經濟人”為追求利益最大化將失去加強信息保護及投資隱私友好型商品或服務的動力。例如,Facebook并購WhatsApp的結果,直接降低了WhatsApp對用戶信息保護的標準。

由此可見,數字企業的數據驅動型經營者集中及濫用市場支配地位常伴隨著對消費者個人信息權益的侵害,對個人信息的違法收集、濫用,限制和排除競爭對手的行為,既違背反壟斷法維護自由競爭的價值目標,又侵害消費者個人信息權益,調整市場結構的反壟斷與個人信息保護出現交叉,世界范圍也掀起了一場將反壟斷法適用于個人信息保護的執法熱潮。然而在執法實踐中紛爭不斷,理論上亦未形成統一認識,而我國相關的執法活動尚未開啟。反壟斷法可否直接規制基于壟斷行為而導致的個人信息侵害,以及個人信息保護因素在壟斷行為認定中應發揮什么作用?在數字市場領域通過反壟斷法,特別是在《個人信息保護法》實施之后,旨在實現什么目標?上述疑問,仍需實踐的探索及理論的進一步思考。需要說明的是,個人信息(personal data)與隱私(privacy)屬于不同的概念,某些個人信息并不構成隱私,隱私也未全部信息化。［1］基于國外稱“個人信息”為“個人數據”,如《一般數據保護條例》(GDPR),使用 “數據”概念而不是“信息”。我國學者在探討反壟斷法上的個人信息保護問題時,也常交替使用“個人信息”“個人數據”或“隱私”的提法。故本文表述及所引文獻,對以上概念亦未區分使用。

二、個人信息保護納入反壟斷考察的理論分歧與實踐趨向

(一)理論之爭:肯定說與否定說

保護個人信息與規制競爭行為看似是獨立的法律問題,純粹的個人信息保護問題與反壟斷法無涉,但隨著數據價值在競爭中的凸顯,數據寡頭利用其市場力量過度收集信息、降低信息保護,數據驅動型經營者集中同樣可能伴隨用戶信息侵害及集中后降低保護問題,這無疑引發人們對個人信息保護的擔憂。在適用反壟斷法對壟斷行為進行審查時是否應對個人信息保護予以關切,換言之,就個人信息保護是否應建立競爭法分析框架在理論上頗有爭議。

肯定說認為應將個人信息保護問題納入競爭分析框架,主要有兩點理由: 第一,兩個領域存在著共同目標,因此應以整體方式適用。這些共同目標被確定為尋求消費者福利和解決權力不對稱問題。就消費者福利,競爭法的基本假設是消費者福利只有在經營者間存在競爭時才能得以增強。而消費者是個人信息的主體,是個人信息保護的直接受益者。可見,增進消費者福利是二者都致力的目標。就權力不對稱而言,競爭法旨在保護消費者免受市場競爭的侵害,而個人信息保護的目的是防止個人信息在企業的信息收集、處理、使用中受到侵害。強調這些共同目標是為了表明個人信息保護和競爭法有著共同的基本關切,因此有理由進行綜合考量。［2］第二,信息保護可視作質量競爭的維度納入反壟斷監管。此觀點的分析邏輯是數據驅動型經營者集中可能導致信息保護水平被弱化,與造成質量損害的結果相同,質量又影響價格,因此應屬于反壟斷法調整范圍。［3］具有市場力量的平臺如若降低個人信息保護水平,就等于降低商品或服務質量,可視為對競爭的損害,評估這類損害并尋求將其最小化應該成為反壟斷分析的一個正常部分。

否定說反對將個人信息保護問題納入競爭分析框架亦有兩個理由: 第一,兩個領域存在著不同的目標。競爭法側重于對經濟效率的追求,作用是維護市場競爭的環境,如果用于補救對個人信息的規范性關切、處理非效率性目標,其專門性將與之矛盾,并有被歪曲的風險。反壟斷法傾向于防止宏觀損害,目的是維持有效率的價格發現機制,相較而言,消費者保護法是為保障具體的合同談判公平合理,兩個法律部門的目標互補且有差異。［4］同時反對者提出,將個人信息保護問題納入競爭分析將為其他基本權利或公共政策目標打開競爭法閘門,這將導致競爭法變成“法律”,而失去競爭法的邊界。 第二,個人信息保護納入反壟斷審查將導致執法困難。因為對信息保護的審查與對經濟效率的審查不同,無法確定審查標準,以競爭法解決信息保護會導致競爭法執法過度依賴個案判斷而帶來不良的主觀性,不當增加法律實施的不確定性。［5］同時,不同消費者對信息保護水平的要求不同,甚至存在隱私悖論,故而難以實現信息保護的量化,亦難以構建相應的信息損害理論。在反壟斷分析時納入隱私問題將帶來一系列分析難題。

(二)實踐態度:拒絕到有條件認可

早在2007年Google收購Double Click案中就已提出與個人數據敏感性有關的問題是否屬于競爭法調整范疇,在該案中,雖多方呼吁應關照數據聚集對隱私保護的影響,但最終聯邦貿易委員會未在該并購交易中給予考慮,并指出:“對損害競爭的并購加以識別和補救是經營者集中反壟斷審查的唯一目的,與個人數據敏感性有關的問題不屬于競爭法的范疇,委員會未有法律授權,不應該審查與反托拉斯無關的因素。”［6］2014年,Facebook收購WhatsApp案中,美國電子隱私信息中心(EPIC)提出,合并后若Facebook使用WhatsApp的用戶數據,違反WhatsApp的隱私保護政策,進而違反消費者權益保護法。最終,聯邦貿易委員會并未阻止該并購交易,不過在給消費者保護局的回復中聯邦貿易委員回應了隱私保護關切,表示已明確提醒各方在并購后仍應遵守之前的隱私保護政策。(1)Case M.7217-Facebook/WhatsApp(2014),para.164.

與美國相比,歐盟委員會對該問題的態度則從初始的嚴格區分發展到之后的部分歸入。在Google收購Double Click案中,歐盟委員會明確表明,委員會僅對并購行為是否與歐盟競爭規則相符進行評估,對交易方施加個人信息或隱私方面的保護義務與此目標不兼容,因此評估時不會考慮,但并不影響歐盟有關數據保護法規對Google和Double Click科以信息、隱私保護義務。(2)Case M.4731-Google/Double Click(2008),para.368.歐盟委員會在另外一起并購案——Facebook收購WhatsApp案中同樣表示,“并購會進一步增強Facebook 對數據市場的控制力,數據聚合對隱私保護不利,但該問題不屬于歐盟競爭法的適用范圍,合并控制僅就競爭問題進行分析,隱私保護則應由歐盟數據保護規則進行調整”［5］。

但在后來發生的Microsoft收購LinkedIn案中,歐盟委員會的態度明顯有了轉變,承認隱私保護與市場競爭之間有重要關聯,消費者可能認為隱私是影響商品質量的一個重要因素,隱私保護可能是一個重要的競爭參數,這使得企業在提供隱私友好型產品和服務方面展開競爭。在Microsoft提出并購Linked In前,包括XING(德國知名商務社交軟件)在內的常用職業社交網絡服務APP在隱私保護方面被認為優于LinkedIn,而并購可以導致Microsoft在職業社交網絡服務領域的競爭對手被邊緣化(3)Case M.8124-Microsoft/Linkedln(2016),para.350.,進而限制了消費者在隱私保護上的選擇權。由此觀之,歐盟委員會在該案中正式對隱私保護問題加以考量,并將隱私保護的弱化直接視作市場競爭引致的實質性損害,并對此損害加以評估以判斷并購的合法性。 德國“Facebook濫用市場支配地位案”則是世界范圍內第一起,也是目前唯一一起直接依損害個人信息而認定為壟斷的案件。2019年2月,德國聯邦卡特爾局(FCO)裁定Facebook在多個方面侵害用戶數據權益,不僅違反歐洲數據保護原則,同時構成反壟斷法所規定的濫用市場支配地位行為。認定Facebook數據獲取行為違法的國家除德國外,還有意大利、法國,但他們普遍認為WhatsApp強迫用戶與Facebook共享個人數據的行為違反消費者保護法,并責令WhatsApp應停止與Facebook共享用戶數據,其中僅德國不僅認定此行為違法且將其行為認定為壟斷。

綜上而言,就個人信息保護能否納入競爭法分析框架,用以分析壟斷行為的認定仍在探討中,世界主要法域競爭主管機構在實踐中的態度經歷了從拒絕考慮到有條件的認可的轉變。那么,數據聚集是否會引致個人信息保護水平的降低,反壟斷法介入的邏輯及切入點在哪,以及反壟斷法如何扛起這面大旗則有待展開討論。

三、個人信息保護納入反壟斷考察的邏輯理路

就反壟斷法是否應對個人信息保護予以考量,理論爭議及實踐的不同做法的深層原因是對反壟斷法目標定位、內在機理的認識存在分歧。下文將結合反壟斷法的目標及理論基礎,討論個人信息保護能否納入反壟斷法分析視域及納入的切入點,換言之,損害個人信息能否成為判斷壟斷行為違法性的標準。

(一)納入的可能性:反壟斷法保護目標從一元到多元的演變

現代反壟斷法起源于美國,美國不同時期關于反壟斷法保護目標的認識是因時而變的。19世界末美國經濟繁榮發展,涌現出一些壟斷寡頭,壓榨了小生產者生存的空間,《謝爾曼法》即為應對這種排斥競爭的壟斷行為應運而生。無論學界抑或法院都認為保障企業的自由競爭是《謝爾曼法》的唯一目標,其追求的是公平正義,旨在設計一套自由經濟的大憲章。20世紀30年代美國經濟進入大蕭條,經濟現狀決定了純粹追求公平正義的觀點不再被接受,哈佛學派將追求“效率”與“公平正義”的目標結合起來的觀點被廣泛認可。到了20世紀70年代,美國經濟遭到世界經濟帶來的猛烈沖擊,生產率降低,伴隨芝加哥學派興起,反托拉斯法的目標定位發生重大轉變,將自由競爭作為反壟斷法保護目標的觀點遭受挑戰,轉而確定以追求單純經濟效率的“狹義消費者福利”為目標。芝加哥學派的代表人物Robert Bork在其1978年出版的《反壟斷的悖論》中明確表示反壟斷法的目標不是為了實現自由競爭,法官運用競爭一詞來描述多種多樣的情況,會導致說法各異,難以得出統一的結論。Robert Bork總結出反壟斷法院常使用的有關競爭的五種闡述,并表示他較為接受的是其中的第五種(4)據Robert Bork的總結,反壟斷法院經常使用的關于競爭的五個含義:第一,對抗的過程;第二,企業可不受他人限制地從事經濟行為;第三,經濟學中確定的完全競爭狀態;第四,產業和市場的集中度低;第五,消費者福利無法再增加的狀態(或稱為消費者福利最大化)。,即消費者福利最大化(或消費者福利不能再增加)的狀態。［7］此種闡述認為競爭僅僅是對消費者福利表達的理論認識,表明Robert Bork對于競爭作為反壟斷法目標的徹底否定。后芝加哥學派的代表人物 Robert Lande 教授擴容了消費者福利的內涵,主張應突破價格局限,借助價格和產出來評估競爭時應將非價格因素考慮其中,包括產品質量得到提高、產品的種類得以豐富等因素。［8］

芝加哥學派所主張的消費者福利標準在美國盛行30余年,但在數字經濟時代,零價格服務的特殊性使消費者福利標準(即借助價格和產出來評估競爭的分析模式)遭到新布蘭代斯學派的有力挑戰。數字巨頭在破壞“相關市場”的經濟效率的同時還會造成對公眾隱私及信息權利的危害,芝加哥學派將反壟斷法對競爭的保護僅確定為對消費者支付價格的關注顯然過窄。新布蘭代斯學派批判芝加哥學派以競爭結果為導向,而美國很多產業部門的經濟過于集中,以“消費者福利”(經濟效率)為評價標準導致集中的市場造成的損害未能被執法者發現。［9］因此,新布蘭代斯學派認為芝加哥學派導致美國反壟斷執法極為消極,是引發隱私侵害問題的罪魁禍首。新布蘭代斯學派的代表人物Lina多次說明,如果單純依據消費者享受更低的價格,就得出競爭狀況良好的結論,則會導致與亞馬遜類似的科技壟斷企業對競爭的負面影響被忽視。她認為如果僅是將競爭與幾個結果變量關聯,則理解過于狹窄,不如審視競爭過程本身。［10］美國反壟斷法保護目標的發展進程向我們清晰地展示了其從保護競爭到保護消費者福利(經濟效率)的轉變,芝加哥學派闡明將保護競爭作為目標會使反壟斷法的適用表現出極大的不確定性,若確立以消費者福利為目標,則可實現對效率的經濟分析,化解不確定性問題。新布蘭代斯學派則認為反壟斷法的保護目標應該是多元的,僅確定“消費者福利”一元目標則過于狹窄。受芝加哥學派的影響,美國法院標榜反壟斷法唯一的保護目標是消費者福利,但事實仍恪守對競爭的保護以增進消費者福利。同時,我們還應看到,若將消費者福利視為反壟斷法唯一的保護目標,則同屬于消費者福利內容的諸如產品質量、消費欺詐等問題都可能適用反壟斷法,這將使反壟斷法過分擴張并與消費者權益保護法、產品質量法等相關法律交織不清,難以協調各部門法間的關系。而事實上,這樣的擔憂在美國并沒有發生,因此,美國反壟斷法是以保護競爭和消費者福利作為目標的一種多元保護,這種多元保護使得消費者個人信息納入壟斷分析框架成為可能。

我國《反壟斷法》第1條明確規定保護市場公平競爭、消費者利益和社會公共利益。顯然我國采取多元保護目標的立法模式,這與美國反壟斷法經過百余年論辯至今得出的經驗一致,反壟斷法旨在保護競爭中的消費者福利,換言之,通過保護競爭而實現消費者福利,同時消費者福利受損程度亦是測度競爭損害、判斷壟斷的標尺。由此,判斷個人信息保護能否納入反壟斷分析框架,基于反壟斷法的目標理論,則應證明網絡平臺間應圍繞個人信息保護展開競爭,且對該競爭的規制在維護市場競爭秩序的同時能夠增加消費者福利。接下來本文將沿著以上分析路徑展開。

(二)納入的必要性:個人信息保護的競爭屬性

第一,個人信息保護構成價格競爭因素。傳統反壟斷法建立在價格理論之上,芝加哥學派的價格理論雖在發展中受到新布蘭代斯學派的挑戰,但其在反壟斷法中的基礎地位并未發生改變。之所以要反壟斷,是因為壟斷者可在不受約束的情況下提價,導致社會總福利降低的“無謂損失”。波斯納在其著作中所稱的“價格支配力”［11］即是指壟斷者的提價能力,壟斷行為即是可導致價格提高的行為。網絡平臺常采“雙邊市場”經營模式,一端向消費者“免費”提供服務,根據消費者在平臺上的數據反饋優化個性化服務,增強用戶黏性,吸引并擴大消費者數量,另一端則通過跨邊網絡效應的作用將流量變現。“免費”服務是以消費者“支付”個人信息作為代價換取的,傳統以價格為中心的消費者利益被打破。工業時代消費者福利主要表現為價格福利,價格福利是衡量消費者福利的重要標準,數量、質量、選擇機會則均與價格密切相連,屬于價格的具體內容。而數字時代消費者福利內容亦應與時俱進,消費者接受“免費”服務是以提供個人信息作為對價換取的,個人信息具有貨幣的交換、支付屬性,是數字時代的新型貨幣。于消費者而言,要看信息收集和使用的范圍來計算換取服務是否劃算。歐盟競爭事務專員Vestager指出:“搜索軟件或網絡社交平臺等令人難以置信的超級工具看似免費,實際上消費者在以數據作為新通貨完成支付。”［12］以“新通貨”定義個人信息是既形象又客觀的比擬。為適應平臺經營模式的發展,反壟斷法也應適時調試,在對競爭損害進行分析時不應僅關注價格差異,還應關注個人信息方面的損害,評估數字平臺市場力量的最佳依據不是商品或服務的價格,而是平臺雖侵犯消費者信息卻不會引起市場反應的程度。

第二,個人信息保護構成非價格競爭因素。商品或服務的價格不是孤立的市場條件,往往與非價格因素密切相關,如商品的質量、數量、選擇可能性等。反壟斷法興起于工業時代,當時消費者利益僅表現為以價格為中心,尋求基本物質需求的滿足。而當經濟發展到人們的物質需求已得到滿足時,商品的質量、創新等非價格因素越來越受消費者重視。數字平臺企業所提供的免費服務因無從比較價格,所以非價格因素才是消費者的關注重點,消費者個人信息保護強弱可視為衡量服務質量高低的標尺。如果數據驅動型經營者集中完成后或具有壟斷地位的數字企業濫用壟斷地位不合理地收集使用個人信息,這種肆意則可被認定為降低商品或服務質量的行為。例如,在Google并購DoubleClick中有學者指出,并購會導致隱私保護降低,消費者隱私受損與價格受損無差別,同樣應納入競爭法框架。［13］當然,亦有論者認為將個人信息作為質量仍是對價格理論的堅持與運用,個人信息保護程度的高低決定質量好壞,而質量好壞又決定價格高低,按照該邏輯鏈條傳遞,個人信息保護仍然可以依價格理論納入反壟斷法考察范圍。

還有論者提出個人信息保護屬于消費者選擇權的一個維度。游走在網絡空間的消費者普遍遭受個人信息受侵害的困擾,然而當消費者在個人信息保護、價格或創新等中進行取舍時,個人信息保護會被部分消費者放棄。大多數互聯網用戶非常關注他們在互聯網上的個人數據,但對許多用戶的互聯網行為分析表明,他們往往對披露個人信息并不謹慎,也沒有使用足夠的隱私增強技術,甚至存在隱私悖論。［14］消費者對信息保護程度的要求不盡相同,充分競爭的市場有利于經營者在個人信息保護方面展開角逐,形成不同個人信息保護水平的商品或服務,保障消費者在期間行使自由選擇權。在實踐中,網絡平臺為了捍衛數字驅動型盈利模式,抑制信息友好型產品的發展,會以并購的方式排除來自信息保護水平更高產品的競爭,并購導致信息保護水平更高的產品消失,結果限制了消費者在信息保護水平不同的產品間的選擇。綜上所述,無論將個人信息作為價格、質量或消費者的選擇,毫無疑問個人信息保護是經營者間的競爭因素,這使得個人信息保護納入反壟斷分析成為必要。以上觀點中“質量說”基于隱私悖論,質量認定的主觀性難以克服,包括歐盟在內以質量因素考量個人信息保護仍停留在理論階段。“選擇說”雖側重于定性分析,避免了主觀判斷,但其適用場景有限,僅在提供不同信息保護水平的數字企業間并購侵害消費者選擇時才能登上舞臺。而質量、選擇機會都會影響價格,是價格的必要內容,因此,價格論仍是最具有包容性和解釋力的,但以價格論作為切入點將個人信息保護納入反壟斷考察,是將個人信息保護作為價格的從屬內容,價格論在反壟斷法上的適用性在數字經濟時代“零價格服務”下應當進行重新考量。

(三)納入的正當性:個人信息保護可構成獨立的消費者福利內容

在數字平臺經濟領域,消費者已不單純處于生產消費最終環節,不再是被動接受商品或者服務者,基于大數據及人工智能等數字技術的應用,消費者已經成為商品或服務生產提供過程的深度參與者,傳統以價格為中心的消費者利益保護已無法實現充分保護消費者的目的。數字經濟時代,在“零價格”服務模式下,個人信息是消費者獲取“免費”服務的對價,消費者的關注點已突破傳統價格福利的局限向個人信息保護轉變,個人信息不再附屬于價格,而是與價格同樣重要,成為消費者福利的獨立內容。芝加哥學派的主要認識包括將消費者福利確定為反壟斷法的效率目標,到新布蘭代斯學派確定的多元保護目標中,消費者福利亦包含其中,直至今日消費者福利已成為我國反壟斷法的多元保護目標之一。那么何為消費者福利?經濟發展由工業時代步入數字經濟時代,企業間的競爭不再局限于價格競爭,消費者接受“免費”服務,無須比較價格轉而比較信息保護水平。雖然消費者對個人信息保護水平的要求不同,但伴隨數字平臺的發展及個人信息保護法律規范的完善,消費者個人信息保護意識增強,企業間展開了個人信息保護方面的競爭。例如,在網絡瀏覽器的角逐中,企業競相推出“無痕瀏覽器”或保證對各種信息隱私保護插件兼容。2008年推出的Duck Duck Go就宣稱是“不會跟蹤你的搜索引擎”。而美國《數字市場競爭調查報告》中證實Facebook自稱并購WhatsApp的目的就是為“爭奪領地”,排除競爭威脅,從而使自己的市場地位更穩固。［15］這種以排除、限制競爭為目的的并購將給用戶信息權益保護帶來巨大威脅或直接損害,同時表明個人信息保護已然成為數字企業間的競爭維度,成為獨立的消費者福利內容。

綜上,數字經濟時代反壟斷法所保護的消費者福利應當具有新內容,個人信息保護與價格具有同等重要的地位,當市場競爭扭曲,無法有效保護消費者個人信息時, 消費者受到的信息保護損失就同致使價格提高的壟斷沒有本質區別,此時反壟斷法的介入具有必要性和正當性。誠如尼古拉斯(Nicholas Eonomidesc )所言,個人信息的侵害如果與企業市場力量的形成和市場支配地位的濫用關聯,特別是當企業的市場力量強大到即便侵犯用戶的隱私亦無須擔心來自市場的壓力時,就理應啟動反壟斷法的介入。［16］

四、個人信息保護納入反壟斷考察的規范實現

既然數字時代個人信息保護已然成為獨立的消費者福利內容,那么競爭中對個人信息的損害就等于工業時代對消費者價格福利的損害,反壟斷法介入個人信息侵害問題即為保護競爭中的消費者福利,因此具有正當性。在此邏輯下,反壟斷法應就個人信息侵害而形成相應的競爭損害理論。

(一)適用原則:恪守反壟斷法的謙抑性

反壟斷法對個人信息保護應該秉持審慎、謙抑原則。反壟斷法建立在對競爭機制修復的基礎上,與市場競爭無涉的純粹個人信息侵害問題應該由個人信息保護法等來處理。有論者提出,在競爭分析中考慮隱私保護會導致反壟斷法向其他基本權利或公共政策打開大門,過度入侵其他法律領域使其邊界不清,削弱反壟斷法的專業性與確定性。這是不必要的擔憂。［17］因為反壟斷法多元保護價值的實現都是建立在對競爭的保護基礎上,存在競爭損害是適用反壟斷法的必要前提。壟斷行為定性的基本標準是存在競爭損害,圍繞具體行為是否存在反競爭效果展開。企業數據壟斷而導致的個人信息受侵害的情形主要包括:一是通過數據驅動的經營者集中幫助企業獲得或進一步鞏固壟斷地位,但集中后可能導致個人信息保護降低。二是基于市場支配地位而對個人信息進行排他性濫用或剝削性濫用。排他性濫用是指企業限制競爭對手訪問、獲取其收集的個人信息,或者限制信息的攜取,提高市場進入壁壘,阻止競爭對手參與競爭。剝削性濫用則與侵害個人信息的慣常方法無異,如不必要的收集、未經同意的泄露與轉讓等,判斷是否構成剝削性濫用的關鍵是企業是否構成市場支配地位。無害于競爭時,反壟斷法并不存在適用場景,在競爭法視域下,脫離競爭保護而空談消費者利益、促進社會主義市場經濟健康發展,則顯然超越競爭法的適用范圍。

(二)適用路徑:依據個人信息保護狀況考察壟斷行為

1.橫向結構修正:提高個人信息保護與經營者集中限制。 聚合更多個人信息是企業并購營業額雖不高卻擁有豐富數據資源的初創企業的重要動因,此類并購被稱為數據驅動型經營者集中。Google并購Double Click,Facebook并購WhatsApp在數據驅動型經營者集中類案件中頗為典型,案件中涉及的個人信息累積對市場競爭引起的影響是否應納入反壟斷審查是反壟斷法適用面臨的新挑戰。按企業營業額來判斷,數據驅動型經營者集中往往達不到申報標準,而事實上的交易額卻極為龐大,同時集中亦是為避免未來可能的競爭威脅,如此審查集中對市場競爭帶來的影響就極為必要。依據我國2022年修訂的《反壟斷法》第26條,數據驅動型經營者集中將突破以營業額確定的申報標準而被納入審查范圍。這是為應對數字經濟時代,數據聚合的特殊性而在反壟斷法上做出的立法回應。

數據聚合的結果將對個人信息保護產生重要的市場影響,因此審查數據驅動型經營者集中時應對個人信息保護水平在集中前后發生的變化進行對比評估,這就需要革新在反壟斷法的適用中居于核心位置的損害理論。據傳統損害理論,只有存在“競爭損害”的集中行為才可能被反壟斷法禁止,而競爭損害是以消費者為主體的價格受損。如前所述,數字時代消費者權益應包含更豐富的內容,個人信息保護應在數字時代的損害理論中得以考量,對數據驅動型經營者集中進行審查時應從下列幾個方面對個人信息保護問題給予關切。

第一,集中是否會導致個人信息保護水平降低。數據驅動型經營者集中,一方面消弭了平臺間在個人信息保護方面存在的競爭;另一方面,因聚合而得到更多數據的平臺企業會加大對個人信息利用的挖掘。毫無疑問,這兩個方面都會導致個人信息保護水平的降低。例如Facebook并購WhatsApp案,WhatsApp雖是一個員工不過50人的小規模企業,但在個人信息保護上做得較好,因一直承諾“沒有廣告!沒有游戲!沒有噱頭!”而廣受歡迎。Facebook則在個人信息的商業化運作方面經驗豐富,Facebook明確宣稱二者并購后不會自動匹配雙方掌握的用戶賬號,以安慰并購時Whats App用戶在個人信息保護方面的擔憂。然而令人瞋目的是,2016年8月,兩個平臺間的賬號還是發生了自動匹配。雖然該匹配發生在集中后,事前難以判斷與預料,但事后全球僅德國依據反壟斷法對Facebook進行了處罰,這說明依據反壟斷法保護個人信息問題在立法上較為滯后,執法實踐亦持保守態度。

在我國,反壟斷執法機構雖未就壟斷案件中涉及的個人信息保護問題進行實質性審查,但《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》(以下簡稱《指南》)第 20條第6款明確規定在審查經營者集中的考量因素中應包含經營者集中對消費者的影響。《指南》中將“不恰當使用消費者數據”與“抬高價格、降低質量、減少品種、損害選擇及區別對待消費者”等損害消費者利益的情形相并列,為將消費者數據利益納入經營者集中反壟斷審查框架提供了法律依據,亦是傳統反壟斷法損害理論(theory of harm)在立法上的更新。但對《指南》中“不恰當使用消費者數據”的內涵在適用時仍需進一步明確。一是“不恰當使用”是否包含不當的收集數據。二是集中可能增加用戶數據轉移成本或限制用戶數據轉移,導致市場封鎖,競爭對手被邊緣化;同時影響用戶選擇其他信息保護友好型企業,侵害用戶選擇權。而“不恰當使用”亦難以包含以上兩種情況。為了實現立法語義的周延,對“不恰當使用消費者數據”仍需進一步解釋,以全面妥當分析集中個人信息保護水平的影響。對此,日本公平交易委員會以列舉的方式對“不正當獲取信息”“不正當使用信息”進行的細化的規定可資借鑒。［18］

第二,集中是否會導致個人信息保護水平更高的經營者被排斥。數據聚合的結果是令本身在數據算法、數據收集等方面具有優勢的企業取得更多用戶數據,造成對同樣依賴用戶數據的其他企業的競爭威脅。集中后平臺可能會設置限制用戶轉移的條款,增加用戶轉移成本,用戶無法輕易實現平臺使用間的轉移,市場競爭不夠充分。當用戶無法將信息轉移到其他對個人信息保護水平更高的平臺,則不僅損害平臺間競爭,導致市場封鎖,同時會損害用戶的個人信息權益。在Facebook收購WhatsApp案件中,在競爭執法機構批準合并的2年后,數百萬計的Whats App用戶被要求與Facebook共享個人數據。倘若競爭機構在批準合并時預見正確,消費者在通信應用里應該會繼續擁有多個可替代性選擇,并可以在不同通信應用間很容易地實現轉換,則對個人信息保護較為重視的WhatsApp用戶必然會轉到其他通信應用。然而,實際結果是Facebook在短信領域的支配地位非但未被削弱反而有所增強。［19］之后在2016年的Microsoft并購LinkedIn案中,競爭機構開始注意并購中涉及的個人信息保護問題,歐盟委員會認識到集中可能會限制消費者在隱私保護方面的選擇,使隱私保護水平高于LinkedIn的平臺被排斥。集中后若進行個人數據的匹配則可能會導致市場封鎖,排擠競爭對手或潛在市場進入者。

第三,集中是否符合個人信息收集的目的限制原則。歐盟《一般數據保護條例(GDPR)》第5(1)(b)條規定,“個人數據必須為特定、明確和合法的目的收集,不得以與這些目的不相容的方式進一步處理”。目的限制對競爭法的影響表現為,如果基于不同目的收集數據的企業之間在不征求用戶意見情況下進行數據聚合,則必然違背目的限制原則。如果集中導致用戶個人信息的使用目的發生改變,或使個人信息落入保護程度較低等用戶不愿與之交易的主體手中,此種情況應屬于對個人信息的損害,審查機構應當進行市場調查,評估損害的大小,作為判斷是否準予集中的因素之一。

2.縱向結構修正:禁止個人信息剝削與濫用市場支配地位控制。 具有壟斷地位的數字平臺傾向以用戶難以理解、不得不同意的方式收集、處理用戶信息,并利用數據算法對用戶進行精確畫像、定位和鎖定用戶,用戶數量增多,數據隨著激增,再次運用算法運算對用戶畫像,形成不斷自我強化的反饋循環,鞏固市場地位。為提高和加強其壟斷地位,通過限制用戶轉移,提高市場壁壘,排除、限制競爭。由于消費者已經被鎖定,具有壟斷地位的數字平臺則會向消費者施加剝削性條款,降低個人信息保護的水平,且不必擔心競爭對手提供更好的保護。在2019年的Facebook壟斷案中,德國聯邦卡特爾局就認為Facebook利用其市場優勢地位迫使其他接入Facebook API的用戶同意其無限制地收集數據,憑借不公平交易條款非法收集用戶數據構成剝削性濫用。［20］此案是德國聯邦卡特爾局首次以歐盟《一般數據保護條例》(GDPR)為競爭執法依據,將侵犯數據隱私的行為定性為濫用市場支配地位。

適用反壟斷法認定侵害個人信息權益為濫用市場支配地位,應注意與一般個人信息侵害相區分,以避免適用法律錯誤。存在競爭損害是適用反壟斷法的前提,侵犯用戶個人信息權益屬于剝削性濫用行為,是經營者具有市場支配地位所致的結果,在特定條件下亦會構成一定程度的排他性濫用(如限制用戶轉移)。只有監管的目標著眼于保護有競爭力的產出水平才能適用反壟斷法,否則應尋求其他法律手段。當相關市場已經形成長期固化的壟斷結構,存在嚴重的市場進入壁壘,市場的自我矯正機能無法發揮作用,經營者利用其市場支配地位侵害眾多消費者權益,獲取過度的壟斷利潤,以進一步鞏固其市場支配地位,此時反壟斷法的介入則尤為必要。區別于保護個體權益的《個人信息保護法》《消費者權益保護法》,若市場開放度較高,僅為個別或小范圍的個人信息侵害,則不應引入反壟斷執法;反之,若市場集中度偏高,具有市場支配地位的企業大規模地違法收集、利用用戶數據,侵害眾多用戶信息權益,擴大市場勢力,此時反壟斷執法則當仁不讓。

隨著數字企業利用數據優勢限制競爭愈演愈烈,歐盟率先引入的數字守門人制度成為歐盟各主要國家制度競爭的最前沿。該制度對于我國規制數字平臺濫用市場支配地位同樣具有借鑒意義。“守門人制度”即是將作為核心數字服務提供者的守門人作為監管重點,加強對“守門人”的規制。其符合控制者義務理論及對效率的追求,可以防止科技巨頭差異化對待企業和消費者,造成不公平的競爭環境。對“守門人”的界定是守門人制度核心而棘手的問題,法案第3條從對市場的重大影響、經營者鏈接終端用戶的路徑、在其業務中具有或預期具有穩固而持久的地位三個維度對守門人進行了界定。同時對三個維度標準創新性地進行了具象化:以營業額量化“重大市場影響”;以終端用戶月均活躍量量化“經營者鏈接終端用戶的路徑”;以過去三年均符合經營者鏈接終端用戶路徑的要求量化“具有或預期具有穩固而持久的地位”。［21］由此,“守門人”的標準變得清晰、確定,避免由內涵不清導致的執法標準不一的問題。而被認定為“守門人”的數字平臺企業則承擔特定義務,例如:不得禁止用戶鏈接到守門人以外的其他企業、不得禁止用戶卸載任何預裝軟件或應用程序、不得擅自進行個人數據的合并使用。“守門人”如果違反特殊義務規定則將面臨高達全球年度營業額10%的罰款;如果系統性地違反了特殊義務,則可采取相稱且必須的行為上或結構上的補救措施,例如剝離(部分)業務。［21］以上規范內容為我國反壟斷法中守門人制度的設置提供了參考。

守門人制度是數字經濟時代反壟斷理論由包容審慎向結構主義的回歸。數字企業若符合守門人認定的量化標準,又不能自證其白則將背負高于一般數字企業所應普遍遵守的義務,即接受更強監管的義務。這里需著重關注的是,我國《個人信息保護法》第58條的內容,被稱為“守門人條款”。該條款對“重要互聯網平臺服務”概念的使用與《數字市場法》“核心平臺服務”的表述可謂異曲同工,《個人信息保護法》第58條內容雖較為簡單,卻也體現立法者已經意識到對互聯網巨頭的個人信息保護義務予以特別約束的重要,并付諸立法實踐。那么,反壟斷法上的守門人制度與《個人信息保護法》的第58條應該如何區別適用呢?在Facebook濫用市場支配案件中,法院指出:“并不是占主導地位的企業違反消費者法所實施的侵害消費者權益行為都自動構成濫用,企業的主導地位和濫用行為之間必須有聯系。”即占主導地位企業的市場力量與濫用行為之間必須存在因果關系,濫用行為必須是源于用戶無法轉向其他網絡平臺的市場力量而實施。倘若將獨立于市場力量的行為等同于濫用支配地位則會不當擴大競爭執法機關在數字市場執法的可能。當僅是由于“信息不對稱”,如:用戶不了解企業冗長的個人信息保護政策,不了解其他平臺保護條款更加友好或基于使用習慣不愿意使用新平臺,此時與市場力量無關,企業即便具有主導地位仍不應被認定為濫用行為,換言之,如果信息不對稱是消費者信息權益受侵害的根源,那么市場上更多的競爭亦無法解決問題,當市場力量與濫用行為之間無因果關系時則個人信息保護法應該登上舞臺。

(三)制度銜接:《反壟斷法》與《個人信息保護法》的雙向互動

消費者個人信息保護問題是一個系統工程,涉及反壟斷法與個人信息保護法等多部門法之間的相互協調與配合。

從反壟斷法的視角講,我國《反壟斷法》雖確定了多元保護目標,明確將消費者利益納入保護范圍,但需要注意的是,《反壟斷法》意義上的司法訴訟僅能為利益受損的其他經營者提供救濟,并未給競爭中受到損害的消費者提供直接的救濟途徑。“無救濟則無權利”,就反壟斷法上的個人信息保護而言,賦予消費者以公益訴訟的形式提起集體訴訟的權利既具有必要性,又具有正當性。首先,反壟斷法是通過對競爭機制的保護來保障消費者的個人信息權益,本質上來說,反壟斷法是從整體意義上展開對消費者的保護,而非個體意義上的,因此,賦予消費者公益訴訟形式的集體訴權恰好與反壟斷法在個人信息保護問題上的功能定位相符。［22］其次,壟斷領域對個人信息的侵害通常是大規模且不特定的消費者個人信息權益,損害的是集體性利益,而我國《個人信息保護法》以個體權益的保護為立腳點,反壟斷法上設置集體訴訟,實現“規模救濟”恰好與個人信息保護法的個體救濟從制度上實現互補。最后,集體公益訴訟的提起無須相應個體的請求,亦無須特定損害的實際發生即可激活,行政機關結合壟斷行為存在的侵害風險進行評估,適時啟動相應程序從而實現“事前救濟”,避免侵害行為進一步發生和擴大,體現出集體公益訴訟的效率優勢。《反壟斷法》確定的多元保護目標,使消費者具有依據《反壟斷法》規范主張權利成為可能,是賦予消費者集體訴權的前提基礎,其具有超脫《個人信息保護法》及《消費者權益保護法》進行權利保護的實際意義,客觀上彌補了后兩者以個體利益為保護出發點存在保護不足的缺憾。

從個人信息保護法的視角講,《個人信息保護法》對個人信息的保護重在“知情同意”,消費者在使用具有壟斷優勢的互聯網平臺時,平臺設置的收集和使用個人信息的“告知—同意”協議書,消費者面臨要么同意,要么拒絕同意的同時也無法獲得平臺服務的兩難選擇,最后不得已而“同意”,與《反壟斷法》相呼應,在認定平臺獲得的“同意”是否為用戶真正真實意思時,應同時對平臺所具有的壟斷地位加以考慮,即對平臺是否存在濫用市場支配地位的壟斷行為進行審查。對此有學者建議可在未來《個人信息保護法》修訂時增加一個條款,即“濫用壟斷地位強制收集非必要個人信息的行為可能違反《反壟斷法》”［23］。筆者認為,此種觀點恰是加強《個人信息保護法》與《反壟斷法》協調互動的制度創新。當下《個人信息保護法》出臺不久,《反壟斷法》亦剛剛進行了大修,在這樣的背景下,更重要的是加強反壟斷的執法部門、個人信息保護機構、消費者權益保護機構間的合作配合,制定具體的協調機制,由國家網信部門牽頭統籌協調壟斷中涉及的個人信息侵害的執法難題,加強多部門之間的協作,實現多元共治。

結語

數字經濟的馬太效應使“贏者通吃”愈演愈烈,網絡平臺對消費者的損害已不局限于價格的提高與產出的降低,芝加哥學派將經濟效率作為反壟斷法的價值目標已無法回應現實問題。在質疑與反思聲中興起的新布蘭代斯學派指出,反壟斷不應是純粹的經濟或法律問題,而應是一個系統工程,擁有多元的價值目標,而消費者福利即是反壟斷法的多元價值目標之一。傳統反壟斷法建立在價格理論上,數字經濟下,仍然固守傳統以價格和產出為中心的損益分析,無法實現對消費者利益的有效保障與充分救濟。個人信息保護可納入壟斷分析框架的核心邏輯在于,當下互聯網深入嵌刻到人們生活,個人信息的重要性等同于工業時代的價格,個人信息不再附屬于價格,而相當于價格本身并應作為獨立的消費者福利內容。

數字時代,市場競爭的損害由價格損害轉化為個人信息保護的損害。數字驅動型經營集中降低個人信息保護,排除個人信息保護上的競爭;大規模數字平臺企業憑借市場勢力,進行個人信息濫用。此時,反壟斷法應超越經濟效率之囿限,膺負更為多元的使命與追求,將個人信息損害作為評價壟斷行為的考量因素,打破反壟斷法固守的傳統思維、邏輯、范式,以數字化轉型模式完成反壟斷法的制度革新。