王 腾
□法学研究
反不正当竞争法视域下的个人信息保护路径探索
王 腾
(安徽大学 法学院,安徽 合肥, 236001)
竞争法必须随着市场环境的变化与时俱进,个人信息保护呼唤竞争法适时作出改变。反不正当竞争法不仅追求经济效率与公平竞争环境,而且完全有能力去寻求消费者福利和社会利益目标。在个人信息保护直接救济路径存在缺陷的情况下,反不正当竞争法可以发挥重要作用,在最大限度地利用信息驱动经济的同时,降低其风险。随着越来越多经营者收集和利用个人信息作商业用途,将持续引发法律问题,个人信息保护作为竞争法和数据相关立法的交叉点,能够发挥两部法律协同作用的潜力,并突出反不正当竞争法对个人信息虽间接但独特、有效的救济,包括发挥行政与司法双重作用,解决民事诉讼中的困难和在判例中总结竞争规则等。
个人信息;反不正当竞争法;法律救济;路径
个人信息是可识别特定个人的信息,各国定义略有差异但基本采纳“识别说”,对其范围的规定普遍存在拓展趋势(1)。欧盟视野下,个人信息(数据)权是一项基本人权,常与隐私权相混同。它的基本理念后续明确为个人信息对人格构建和发展具有决定性意义,是人与外界交往的前提,个人应有控制自己信息的权利,即“信息自决”(informational self-determination)。该概念由学者马尔曼提出[1],并由德国联邦宪法法院判例所承认[2]。个人信息是私人领域和公共领域之间的重要界线,以其有限性(2)、有用性、非公共性,在市场经济中能通过特定方式承载财富属性,为掌控特定个人信息的经营者带来比较竞争优势。经营者行为的外部性决定了竞争法需要对市场主体以外的消费者(用户)、社会整体的信息权益加以保护,这种保护虽间接但有效。
总的来说,竞争法保护个人信息的价值以及消费者对个人信息的自决。市场赋予个人信息的“使用价值”以“价值”。个人无法将自己的人格权进行商业化利用,个人信息本身也不具有成文法确定的财产权,在判例中[3]法院通常驳回原告个人信息价值受损的诉求,因其“无独立经济价值”。但在竞争法含义下,其“价值”表现在个人信息被经营者收集后,能够通过算法与大数据分析,形成揭示市场趋势与消费者个人偏好的商业数据,注入资本并引导获利。消费者提供的个人信息是为接受经营者服务所付出的对价,类似于无形财产;与知识产权不同的是,该无形财产不具有排他性,但却产生事实上的独占:消费者将个人信息供给一个经营者后,一般不会再将信息赋予提供相同服务的竞争者,即形成“竞争特权”。同时,“财产性”要求经营者在约定范围内使用信息并履行保护义务,相反则需承担责任:如Facebook为提高广告的针对性,隐瞒利用用户电话号码进行双重身份验证的行为,面临高达50亿美元的罚款。电子服务提供商Unrollme允诺消费者不会接触其个人电子邮件,以说服他们提供电子邮件账户,事实上却与其母公司共享消费者邮件中的个人信息,故受到美国联邦贸易委员会的处罚[4]。另外,经营者在持有相同信息时,为争夺客户而进行充分竞争,降低价格与利润,虽增加消费者福利但不利于经营者获得超额价值,因此反向激励经营者去扭曲信息分配,寻求对信息的垄断和不正当攫取。由此导致的市场弱竞争局面,这是造成市场失灵的一方面原因,亟需竞争法提供监管补救。
市场失灵的另一方面原因是个人信息自决权的瑕疵,个人信息收集和使用的不透明使消费者无法做出充分、知情的理性决策,造成信息不对称下的行为偏差。即使是提供免费服务的互联网经营者,虽不会给消费者带来直接经济损失,也同样造成消费者失去个人信息的控制权,该损害需要法律规制。研究表明,个人信息的披露与否对数据主体和控制、处理数据的经营者,均有好处和代价[5]。消费者既是竞争中所需数据的来源,又是竞争结果的最终承受者,与经营者构成权力不平衡[6]的博弈双方,根据自身需求与价值观对个人信息披露进行自决,方能做出最符合个人利益的决策。
当今学界对个人信息的民法地位讨论热烈,不少学者认为我国应确立个人信息权(3)。鉴于《民法典》相关规定并没有完全响应学界呼声,《个人信息法》又尚未制定,私法救济的具体模式仍存争议,更多根据分散的、专门化的法律法规寻求刑法与行政法上的救济,个人损失实难弥补。近年来,互联网的发展加剧了个人信息保护的困境,伴随着欧盟《一般数据保护条例》的制定,学界掀起了对包含个人信息在内的数据保护研究的新热潮,部分学者开始讨论数据保护法与竞争法的耦合,但多是以滥用市场支配地位为主视角,反不正当竞争角度相关研究极少且集中于数据、互联网问题(4)。诚然,具备垄断地位的经营者更容易实施不正当竞争行为,但不具备市场支配地位的经营者同样会滥用个人信息,因此应明确个人信息在竞争法中的位置,尤其需要在反不正当竞争法视域下对个人信息保护进行系统研究。本文结合国外相关立法与判例,认为反不正当竞争法内涵与个人信息保护逻辑自洽,一般条款的规定与相关判例相互补强,能够提供对个人信息的间接救济。另外需明确:在一般情形下,个人信息概念与个人数据含义相同,但在竞争法视域下,个人信息应狭义解释为个人数据的内容,本身不具有商业属性,与商业数据、大数据、公共数据(5)均有不同内涵。
个人信息的救济存在两种基本范式:以个人信息权为基础,公共与私人执行并重的欧盟救济模式;重公共执行而轻私人执行的其他救济模式。欧盟GDPR条例第1条第2款规定的个人数据权,源于《德国联邦数据保护法》(BDSG),继承了《欧盟基本权利宪章》第8条的相关规定,并直接吸纳《95/46/EC号指令》对个人信息范围的划分,最终形成包含隐私权在内[7]的个人信息权扩张化定义。为实现对数据主体的全方位保护,该条例另外赋予其7项民事权利(6)。在公共执行之外,个人可以通过GDPR条例第77条向监管机构投诉并依据第82条获得赔偿[8],也可以对违反数据保护义务的经营者提起个人或集体诉讼,民事损害赔偿类型涉及金钱或精神损害赔偿,或两者皆有。但实践中,私人执行方面效果有限:个人诉讼方面,个人信息侵权获赔金额普遍不高,在丹麦的判例中,赔偿范围在5000到25 000克朗;在西班牙,赔偿金额在3000欧元以内,普遍低于实际损失与诉讼成本。集体诉讼方面,除比利时消费者组织Test-Aankoop与西班牙、意大利和葡萄牙的姐妹组织一起对Facebook发起的集体诉讼之外,目前极少有成功案例[9]。
非欧盟模式下,各国对个人信息的救济以公法救济为主,基于或统一(7)或分散的个人信息保护法律法规,对侵犯个人信息的数据控制者和处理者课以刑法或行政处罚,私法救济则需要依附于其他民事权利。具体来说,私人(民事)救济途径存在如下困境:
第一,个人信息保护需依附于具体人格权,难以获得损害赔偿。侵权案件中,法院依据侵权事实的损害结果及影响,酌情确定责任承担方式,人格权的财产性不明,难以通过证据证明被侵权人实际受到了财产或精神损失。在我国“庞某诉趣拿公司案”中,法院将个人信息定义为隐私权,仅判决侵权人赔礼道歉,驳回了原告精神损失诉求。结合“赵雅芝姓名权肖像权纠纷案”等类似案件中所明确的被侵权人的影响力是判断经济损失的重要因素,可以认为普通人的个人信息被侵害难以获得经济赔偿,这与个人信息侵权的普遍性相违背。在美国,个人信息侵权属于隐私权,且不在公开权(8)保护范围之内,经济赔偿更难获得。另外,法院需要审查隐私权是否与宪法第一修正案规定的言论自由相冲突。言论自由在欧洲也是一项基本权利,权利之间的冲突一般通过比例分析,在平等基础上权衡优先级,但在美国言论自由权利不受比例分析的制约,法院若认定存在言论自由权利,则倾向于驳回隐私权诉求[10]。
第二,个人信息侵权因无法确定是否造成实际损害,原告诉讼资格难以满足。《中华人民共和国民法典·人格权编》将个人信息确定为民事利益,与隐私权并列获得保护,《民法典》生效后,原告得以个人信息侵权作为独立诉求。但在美国,原告(包括个人与集体)提起诉讼首先需满足《宪法》第三条对诉讼资格的要求:即(1)该损害必须是实际损害(injury-in- fact);(2)该损害结果与行为之间存在因果关系;(3)该损害需通过诉讼才能弥补[11]。既发生的个人信息侵权,难以证明损害行为构成了实际伤害;将要发生个人信息侵权如数据泄露,则难以证明该行为必然会造成损害。美国联邦最高法院在著名的数据泄露Clapper v. Amnesty International USA案中认为,原告不具有宪法规定的诉讼资格,因为其受到的伤害是“推测性伤害”,并不是实际伤害,仅对未来可能发生的伤害进行指控是不够的。在Spokeo, Inc V. Robins案中,最高院进一步指出,违反数据保护的《公平信用报告法》的指控,事实上并不授予原告诉讼资格,尽管违反联邦成文法规的侵害行为能够赋予原告诉讼资格,但也仅在行为“事实上”违反了该法,与具体损害无关的“程序上”的违反,不能满足资格认定。尽管部分巡回法院和州法院并未遵循上述先例,承认了受“无形损害”的原告的诉讼资格[12],但诉讼资格的确定不代表具体诉讼理由会被满足。在Claridge v. RockYou, Inc案中,原告就RockYou公司对个人敏感信息的侵害提出了包括“违反成文法”“违背合同规定”“违反默示契约”“过失”等九项诉讼请求,加州北区地方法院在有保留地承认其诉讼资格后,仅对违约一项诉求予以批准,其余诉求皆因无法证明实际损害而被驳回。
第三,消费者权益保护诉讼存在不足。消费者权益保护法虽赋予了消费者相应的诉权,但其所保护消费者的利益是具体的、直接的,而经营者的个人信息不正当竞争行为所侵害的往往是消费者抽象的、间接的利益,当消费者整体和长远利益受到损害时,消费者权益保护法往往不能给予正当有效的保护[13]。比如,消费者难以确定所损害的具体权益,无法找到途径进行自力救济。消费者协会在没有具体消费者有权提出诉求的情况下,同样无权提起诉讼。此外,消费者进行集体诉讼或代表人诉讼的可能性也比较低。美国个人信息侵权集体诉讼难以满足《联邦民事诉讼规则》第23(a)条对共性和代表性的要求,以及第23(b)(3)条对集体诉讼优于其他方法、集体利益优于个别成员利益的要求[14]。
由于公法救济忽视了对个人信息权益的特别关注,而私法救济又存在诸多难题与困境,具有公私融合性质的反不正当竞争法通过间接途径,补强个人信息利益保护的弱项,应属可行。
反不正当竞争法与个人信息保护的价值目标相一致,又具有独特优势。公平是反不正当竞争法的首要原则,同时也是信息(数据)保护法的重要原则。GDPR条例第5条(1)项规定个人数据应以合法、公平、透明的方式处理,公平原则促成一个健康的竞争市场,阻止经营者个人信息滥用行为。另外,在维护公平竞争环境、保护经营者权益之外,消费者权益与公共利益是反不正当竞争法所应保护的重要法益。在竞争法理论改革过程中,布兰代斯运动打破芝加哥学派对经济效率的狭隘关注,将竞争法视作解决隐私问题的方案之一,呼吁避免消费者受到有害信息操作的伤害[15]。德国竞争管理局认为Facebook案代表着网络领域的隐私问题是“真正的”竞争问题,因其涉及消费者的选择,以及把信息当作商品来对待。《中华人民共和国反不正当竞争法》一般条款将消费者合法权益平等列入不正当竞争行为的判决标准,除第11条规定商业诋毁中的“竞争对手”外,竞争关系或者竞争要素不再是认定不正当竞争行为的必要构成要件,可以在考虑消费者利益和社会公共利益的基础上,认定不正当竞争行为,从而通过反不正当竞争执法实现对消费者利益和社会公共利益的维护[16]。个人信息层面的不正当竞争行为可以定义为经营者通过非法或合法地获取和挖掘个人数据获取不正当竞争优势,或其他经营者未经授权、获取第三者合法途径获取的个人信息,构成搭便车行为,违背公平竞争和商业道德。据此,反不正当竞争法与个人信息保护在价值取向上具有一致性,均保护通过个人信息的非法获取、控制,以及合法渠道获取的个人信息不被挪作他用,或避免遭受二次侵害。比较而言,反不正当竞争法的优势,体现在能够动用行政、司法双向机制,依托专业行政执法机关和判例化的竞争规则,主动和先发制人地实现信息立法需要实现的目标,并且能够解决信息保护法无法解决的损害认定和追溯性赔偿问题。
另一方面,个人信息保护促进反不正当竞争法背后政治价值的实现。美国联邦贸易委员会前主席罗伯特•皮托夫斯基认为,在解释竞争法规则时排除某些政治价值的行为是“糟糕的”[17]。欧盟委员会也承认:“不能在不考虑法律、经济、政治和社会背景的情况下,孤立地奉行竞争政策。”[18]纯粹以价格为中心的竞争模式或造成对消费者福利的漠视,只要一国竞争政策的目标不限于追求经济效率,个人信息问题就应该成为竞争政策的一部分。竞争政策的核心是发挥和维护市场机制的作用,本质上是政府之手[19]。我国的竞争政策暨竞争法以市场为导向, 通过直接作用于市场机制——维护、修补、优化市场机制, 维持市场经济的秩序[20],保障消费者信息公平是解决市场失灵的重要手段,应予以重视。与此相一致,欧盟委员会内部呼吁在竞争分析中引入更多的“动态视角”,以超越传统上对价格的关注。这种方法将着眼于长期效果,特别是对新技术和数字经济方面的影响[21]。欧洲数据保护监管机构(EDPS)更是直言不讳的建议,竞争执法部门应该考虑数据保护和隐私,它呼吁对竞争法进行干预,以解决隐私、个人信息问题和应察觉到的监管漏洞[22]。
此外,反不正当竞争法能够消弭消费者与经营者之间权力的不对称。个人对信息控制的减少可能会导致经营者拥有更大的市场力量,而更大市场力量将允许经营者对个人施加不公平的数据处理条件。例如,消费者与服务提供商就个人信息使用条款和条件进行谈判的余地很小,往往只享有同意与否的权利,反对信息授权可能会导致经营者拒绝提供服务。经营者则能够将收集和处理个人信息的成本最终转嫁给消费者,根据个人信息精准投放广告带来的收益仍由消费者支付,甚至容易引起经营者对消费者实施差别待遇与价格歧视。这些市场经济带来的局限性,仅凭民事法律直接救济难以有效改变,必须发挥反不正当竞争法的作用。反不正当竞争执法与司法能够逐渐转变经营者的身份观念与价值取向,发挥消费者对整个市场竞争产生反作用的主导性地位。消费者的消费方向与趋势决定了企业生产经营的方向,经营者对消费者个人信息的保护,能够创造和谐的消费环境,为之提供更多的科技创新资本,实现双赢,从而达到社会整体资源配置的帕累托最优(9)。
反不正当竞争法既是竞争规制法,又是民事救济法[23]。在行政与司法并行体制下,对存在具体损害对象的不正当竞争行为给予司法救济,对没有具体损害对象的不正当竞争行为,交由行政机关(竞争执法机关)处理,是最成熟且最具效率的模式[24]。经营者在实施针对个人信息的不正当竞争行为时,作为损害对象的消费者往往并不知情,或因损失太小、损害举证困难无法获得司法救济,行政机关发挥替代作用是应有之义。反不正当竞争法一般条款实际赋予行政机关以消费者个人信息保护的执法范围,但现实中并未体现出积极作用,原因在于反不正当竞争法尚未明确个人信息方面的行政执法权限,权力行使严格依照“法无规定不可为”与比例原则,限缩自由裁量权范围,谨慎干预自由竞争环境。竞争执法采用“综合利益衡量”原则,作为竞争自由的法定例外的消费者与其他市场主体的利益在受到非轻微破坏时,或公共利益保护优先级更高时,行政机关方能对经营者行使事后禁止性或惩罚性执法权限。
随着各国侵权法的完善和科技的进步,竞争法视域下个人利益受损易被忽视,社会利益往往被定义为追求技术创新,个人信息保护要求反不正当竞争行政执法做出适时改变:一方面,个人信息与数据产业的复杂性远不止于经营者与消费者之间相关信息的披露和收集,侵权诉讼难以在个人信息披露、收集、控制、处理等全阶段发挥作用。经营者对个人信息的滥用通常是大规模的,对社会造成的损失、影响巨大,一定程度上对创新的追求应让位于消费者权益,将社会利益与消费者利益划等号。消费者与经营者具有身份一体性,授予消费者利益以独立评价地位不会因此损害市场的对抗性,反而有利于保护竞争者生存[25]。另一方面,个人信息权益与公平竞争利益并无法益冲突。政府干预基于市场失灵,是市场的补充性手段,行政机关必须应对由信息问题所导致的市场失灵,以维护促进市场经济健康发展。《中华人民共和国反不正当竞争法》一般条款在制定、修改后,市场监管部门正在逐步实现执法转型[26],在事后惩罚性执法外,投入更多精力在事前监管,包括解释竞争政策、为企业竞争行为提供咨询意见等。将来可以寻求制定企业个人信息保护规则,扩大执法权限,引入对受害者经济赔偿的行政制裁权等,实现在进入司法程序前,穷尽对个人信息的行政救济。
司法层面,反不正当竞争法是行为禁止法[27]而非确权法,法律性质决定了司法救济无法从正面直接对个人信息进行保护,只能从反面对不当行为加以禁止。在我国,个人信息不是一项绝对权利,必须考虑到它在社会上的功能以及与其他基本权利的平衡。反不正当竞争法需要保持谦抑性,以最小的支出获取最大的社会收益,着力点在预防与控制[28]。“非公益必要不干扰原则”为反不正当竞争法在利益衡量上提供了良好先例,个人信息利益与竞争利益之间如何权衡,仍迫切需要全国人大常委会与最高院作出与实践相统一、与立法精神相一致的释法说理,或由法院在大量判例中总结竞争规则。此外,欧洲国家在反不正当竞争法和程序法中赋予消费者团体提起集体诉讼的权利,如德国《反不正当竞争法》《不作为诉讼法》《反对限制竞争法》赋予消费者团体提起排除之诉和不作为之诉的权利及撤销请求权,符合条件的消费者团体以自身名义提起诉讼,并不要求其内部成员权益受到侵害作为起诉的前提[29]。比照其他国家立法现状,我国可以赋予消费者团体诉权,以疏通大规模个人信息泄露中消费者的自力救济途径。
为应对个人信息诉讼中实际损害不明、举证难的困境,在反不正当竞争法视域下依照各国制度差异,可有如下解决方案:(1)行政部门代为起诉;(2)举证责任倒置。本世纪初,美国联邦贸易委员会(FTC)确立了主要隐私执法机构的地位,依照《联邦贸易委员会法案》第5条,对经营者不公平且造成消费者实际损害的隐私处理行为,进行处罚或提起诉讼。FTC同时也是竞争法执法机构之一,能够将数十年执法过程中形成的“平衡(公平)测试标准”用于个人信息损害案件,即“是否实质性损害消费者利益、是否违反了既定公共政策、是否不道德”[30],通过该标准的某行为才能被认定为不公平。较之法院对实质性损害的严格要求,FTC的实质性损害标准相对宽松,这是基于FTC对不公平指控的态度:在辉瑞公司(Pfizer)案中,FTC明确表示相较欺诈指控,不公平指控是一种动态分析工具,应具备与时俱进的应用能力,所以将类似虚假宣传但未造成消费者经济损失的行为认定为不公平行为,该行为影响消费者对产品的理解和基于此的购买选择[31]。具体而言,对少数人造成严重伤害或对许多人造成较小伤害可以被认为是实质性损害,“推测性”伤害如果带来了实质性损害的重大风险,也可以是实质性的。此外,实质损害并不局限于经济损害。行政部门代为起诉,也容易满足宪法与程序法规定的诉讼资格要求。
鉴于个人信息诉讼中消费者难以确定是否受到经济损失,以及损失额难以认定,在判例中原告曾做出各种尝试,包括提出“个人信息价值受损”“减轻信息泄露风险需支付的额外费用”“个人信息披露给一家公司,无法从与另一家公司的交易中获得优势”“对个人信息的披露包含对经营者信息保护的合理预期”(10)等,都因证据不足未获得法院支持。FTC在面对相关问题时认为,几乎所有的不公平指控都有两个主要论据:首先,个人信息是有价值的,消费者只有在同意共享信息时才会放弃这种价值。消费者遭受的经济损失可以被认为与公司出售相同数据所赚的钱相当。其次,消费者只与他们希望与之保持保密关系的实体(如银行等)共享敏感信息,这种依赖性使得消费者对某些类型个人信息的保密有强烈的期望。实践中,FTC仅就经营者未经授权销售个人信息的行为,通过《联邦贸易委员会法》第13条(b)项在联邦法院提起诉讼并寻求民事处罚,且处罚限于弥补伤害而不能因此给消费者带来补贴[32]。尽管“经济损失”适用范围仍然狭窄,但FTC为个人信息价值的认定提供了思路,即比照不正当竞争违法所得或向其他经营者出售相同数据时的收益。
经营者获得消费者同意,在收集、处理个人信息时,必须采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失和被不正当获取。未履行义务导致个人信息被竞争者不当获取的,无论该义务是否在合同中明文规定,经营者均具有过错,需承担侵权责任。在大规模侵权案件中,一般依过错推定原则由侵权人负举证责任;在个人信息案件中,经营者与消费者权力不对称,由消费者承担举证责任是较为苛刻的,经营者对个人信息的保护是社会责任,通常也是法律义务,尤其在已知个人信息泄露后有责任采取措施告知消费者并弥补安全漏洞,故须承担自身已尽保护义务、及时采取有效措施弥补消费者损失的证明义务,否则需要承担侵权责任。个人信息案件通常也是大规模侵权案件,诉讼中采取全部或部分的举证责任倒置是合理的。
在反不正当竞争法一般条款的权威解释尚未制定之时,其不确定性有赖于法官在司法中对一般条款中的抽象概念具体化为判决规范[33]。应提倡各级法院在处理涉个人信息不正当竞争纠纷时,积极确认信息保护或数据处理、使用原则,总结符合时代发展与消费者权益的竞争规则,形成与“指导性案例”相类似的参考效力。经营者向第三者提供用户信息时须遵循“新浪微博诉脉脉案”中确立的“用户授权+新浪授权+用户授权”三重授权原则。而就经营者对消费者进行“数据画像”以精准投放广告的行为是否违法,法院在“朱某诉百度隐私权纠纷案”中指明了方向:网络运营者仅可将经过处理无法识别特定个人或经过被收集者同意的个人信息提供给他人,“数据画像”不得具有识别性,为达到“数据画像”目的所使用的个人信息应该进行去标识化处理,以绝对的匿名化而非假名化、模糊化、加密储存等手段使用信息[34]。同样,经营者使用个人信息进行大数据分析,也必须先匿名化处理,“淘宝诉美景案”中淘宝公司对用户数据进行匿名化处理后,利用算法对其进行深度分析,形成指数型、预测型、统计型的衍生数据,为其他商家提供分析与服务并获得收益,这一种收益颇丰的商业模式所形成的竞争优势为竞争法所承认和保护。今后仍需总结符合社会发展的判例经验,为经营者提供具体指导。
另外,外国竞争法与数据保护法普遍具有域外效力,我国应密切关注国外立法动态,在反不正当竞争司法实践中对相关概念予以释明。德国《反对限制竞争法》第十修正案强调数据对于数字商业模式的重要性,扩展“关键设施”原则:“如果一家占主导地位的公司拒绝允许另一家公司访问数据,根据新的第19(2)条第4款,这种行为在某些情况下可被归类为滥用。”[35]我国司法实务中需要对关键设施的概念是否扩张作出界定。此外,我国在判例中否认了欧盟GDPR条例中规定的数据“被遗忘权”,但是否承认数据“可携权”仍需作出解释,以便实现个人信息保护与数据正常流通的协调。
(1)欧盟《一般数据保护条例》(GDPR)将“识别性”区分为“已识别”和“可识别”两种类型;加州《消费者隐私法案》(CCPA)强调“识别性”和“关联性”,将“可合理地连结到特定主体”的信息纳入个人信息的范畴;我国司法解释将“反映特定个人活动情况的信息”纳入个人信息且互联网平台用户协议中普遍采用的《个人信息安全标准》(GB/T 35273-2020)对个人信息定义作了进一步拓展。《民法典》在总则第五章“民事权利”及“人格权编”对个人信息作出了清晰界定。
(2)每个数据主体可以保有相当数量的个人信息,但都只能识别其自身,因此是有限的。
(3)参见程啸《民法典编纂视野下的个人信息保护》、吕炳斌《个人信息权作为民事权利之证成: 以知识产权为参照》、杨立新《个人信息: 法益抑或民事权利——对〈民法总则〉第111 条规定的“个人信息”之解读》,王利明《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》、李延舜《个人信息权保护的法经济学分析及其限制》、杨尚东《应尽快立法保障个人数据权》、张里安、韩旭至《大数据时代下个人信息权的私法属性》等。
(4)参见牛喜堃《数据垄断的反垄断法规制》、田小静《大数据时代互联网信息使用行为的竞争法规制》、刁云芸《涉数据不正当竞争行为的法律规制》、张江莉《基于数据的不正当竞争判断》等。
(5)参见我国首例商业大数据不正当竞争“微博诉脉脉案”、首例大数据产品不正当竞争“淘宝诉美景公司案”、首例公共数据不正当竞争“蚂蚁金服诉朗动网络案”对相关定义的解释。
(6)分别是知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权。
(7)日本就个人信息保护制定了统一的《个人信息保护法》,但仅规定了刑事与行政责任。
(8)1953年Haelan Laboratories, Inc V.Topps Chewing Gum, Inc案中,Frank法官创设了公开权,人格权始以此方式获得赔偿,但个人信息不在此列。公开权相关论述参见王泽鉴《人格权法》,北京大学出版社2013年第1版,第256页。
(9)帕累托最优是指资源分配的一种理想状态。假定固有的一群人和可分配的资源,从一种分配状态到另一种状态的变化中,在没有使任何人境况变坏的前提下,使得至少一个人变得更好。
(10)参考Clapper v. Amnesty International,568 U.S. 398 (2013) ;Resnick v. AvMed Inc,693 F.3d 1317, 1327-1328 (11th Cir.2012) ;Welborn internal Revenue Serv, D.D.C. Nov. 2(2016) 等案件。
[1]谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015(3): 102.
[2]Federal Constitutional Court (Bundesverfassung- sgericht), Judgement of 15 December 1983[EB/OL].1 BvR 209/83 and others - Census, BVerfG 65,https: //freiheitsfoo.de/census-act/.
[3]Fero, 2017 WL 713660 at *12;Welborn, 2016 WL 6495399 *8;Whalen, 153 F. Supp.3d 577, 582 (E.D.N.Y. 2015);In re SAIC, 45 F. Supp.3d at 30[DB/OL]. https: //westlaw.com/.
[4]美国联邦贸易委员会(FTC)2019年度《隐私与数据安全报告》[EB/OL].https://www.ftc.gov/system/files /documents/reports/privacy-data-security-update-2019/2019-privacy-data-security-report-508.pdf.
[5]Acquisti, The Economics of Privacy, Journal of Economic Literature 2016 forthcoming[J/OL].http: //ssrn.com/abstract=2580411.
[6]Kerber,Wolfgang,Digital markets,data,and privacy: Competition law, consumer law,and data protection [J/OL].http://hdl.handle.net/10419/144679.
[7]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(7): 62.
[8]Kristin A. Shepard, A “TOP CONCERN” Strategies for Defending Against Data Breach Class Actions[J]. 60 No.10 DRI For Def.42,2020:12.
[9]Alan Charles Raul, Protection and Cybersecurity Law Review[M]. Law Business Research Ltd, 2019:95.
[10]Woodrow Hartzog,Privacy’s Constitutional Moment and The Limits of Data Protection[J]. 61 B.C. L. Rev. 1687,2020:1717.
[11]Joseph F. Yenouskas, Emerging Legal Issues In Data Breach Class Action[J]. 2018-JUL Bus. L. Today 1,2018:6.
[12]Marcello Antonucci, ArticleIII Standing In Cyber-Breach Litigation[J]. 48-SUM Brief 36,2019:6.
[13]杨华权,郑创新.论网络经济下反不正当竞争法对消费者利益的独立保护[J].知识产权,2016(3):53.
[14]Allison Holt, Standing In The Midst of A Data Breach Class Action[J].84 Def.Couns.J.1,2017:2.
[15]Lina Khan, The New Brandeis Movement: America’s Antimonopoly Debate[J].9 J. of European Competition L. & Prac,2018:131.
[16]陈平,赵青.《反不正当竞争法》下互联网平台“封禁”行为考辨——以消费者(用户)合法权益保护为中心[J].中国应用法学,2020(4): 22.
[17]Robert Pitofsky, The Political Content of Antitrust[M].127 U. Pa. L. Rev. 1051,1979:1052.
[18]European Commission, XXIInd Report on Competition Policy[EB/OL].1992:13. https://op.europa.eu/en/ publication-detail/-/publication/d406e5bd-53a6-4642-b7f9-00c2abb4d01b.
[19]万江.中国反垄断法——理论、实践与国际比较[M].北京:中国法制出版社,2017:21.
[20]史际春,赵忠龙.竞争政策: 经验与文本的交织进化[J].中国法学,2010(5): 109.
[21]Maria Wasastjerna, European Union Competition Policy For The Twenty-First Century Digital Economy[J].24 Colum. J. Eur. L. 527,2018:538. https://op.europa.eu/en/publication-detail/-/publication/d406e5bd-53a6-4642-b7f9-00c2abb4d01b.
[22]Preliminary Opinion of the European Data Protection Supervisor (EDPS), Privacy and Competitiveness in the Age of Big Data: The interplay between data protection, competition law and consumer protection in the Digital Economy[EB/OL].2014:33.
[23]王利明.关于完善我国反不正当竞争法的几点意见[J]. 工商行政管理, 2003(24):50.
[24]陈福初.论我国《反不正当竞争法》的缺陷及其完善[J]. 经济经纬, 2007(3):158.
[25]孔祥俊.论反不正当竞争的基本范式[J].法学家, 2018(01):58.
[26]李英敏.对网络不正当竞争行为的监管分析[J].工商行政管理,2006(04):27.
[27]张占江.不正当竞争行为认定范式的嬗变从“保护竞争者”到“保护竞争”[J].中外法学,2019(01):213.
[28]陈兴良.刑法哲学[M].北京:中国政法大学出版社,2004.6.
[29]范长军.德国反不正当竞争法研究[M].北京:法律出版社,2010.
[30]Cobun Keegan, Unpacking Unfairness:The FTC’s Evolving Measures of Privacy Harms[J].15 J.L. Econ. & Pol'y 19,2019: 7.
[31]Michael D. Scott, THE FTC, THE UNFAIRNESS DOCTRINE, AND DATA SECURITY BREACH LITIGATION: HAS THE COMMISSION GONE TOO FAR[J].60 Admin. L. Rev.127,2008: 152.
[32]Chris D. Linebaugh, UPDATE: Will the FTC Need to Rethink its Enforcement Playbook? Third Circuit Considers FTC’s Ability to SueBased on Past Conduct[J].Congressional Research Service,2019:4.
[33]郑友德,范长军.反不正当竞争法一般条款具体化研究——兼论《中华人民共和国反不正当竞争法》的完善[J].法商研究,2005(05):130.
[34]王磊.从数据属性视角看数据商业化中的使用规则[J].网络信息法学研究,2018(01):208.
[35]10th Amendment to the GWB: New Instruments for a Competition Policy in the Digital Age[EB/OL]. https://www.ip.mpg.de/en/nc/the-institute/institute-news/10th-amendment-to-the-gwb-new-instruments-for-a-competition-policy-in-the-digital-age.html.
The Ways of Personal Information Protection in the Law Against Unfair Competition
WANG Teng
(School of Law, Anhui University, Hefei 230601, Anhui)
must keep pace with the changes of market environment, the protection of personal information calls it to make timely reforms.not only pursues economic efficiency and fair competition environment, but also has the capability to seek consumer welfare and protect social interests.In the case of defects in the direct remedy path of personal information protection,is competent to play a significant role in maximizing the use of information to drive the economy while reducing its risks. As more and more market operators collect and use personal information for commercial purposes, legal issues will continue to arise. Personal information protection is the intersection of competition law and the data-related legislation, which can realize the potential of these two kinds of legal synergy, as well as highlights’s indirect but unique and effective remedies towards personal information. These remedies include playing the dual roles of administration and justice, solving the difficulties in civil litigation and summarizing competition rules, etc.
personal information;; legal Remedies; Ways
2020-06-20
王腾(1995- ),男,安徽阜阳人,安徽大学法学院研究生,研究方向:国际法。
10.14096/j.cnki.cn34-1333/c.2020.05.16
D922.294
A
1004-4310(2020)05-0100-07