林 秋
(哈尔滨师范大学 法学院,黑龙江 哈尔滨 150025;黑龙江大学 法学院,黑龙江 哈尔滨 150080)
伴随互联网企业间竞争的日益加剧,依托个人信息而形成的大数据成为互联网企业竞相争夺的“石油”资源,竞争行为天然的“负外部性”决定了数据竞争背后必然伴随着对消费者个人信息的侵害。我国实践中爆发的系列数据之争案,皆是原始数据的获取加工者对第三方的数据爬取行为提起的不正当竞争之诉,而案件中所隐含的消费者个人信息被泄露,未经平台经营者及消费者同意的信息抓取、使用行为皆未论及,消费者个人信息成为数据竞争中的牺牲品,而消费者基于个人信息受侵案件取证难、维权成本高、耗时费力等原因,往往放弃追究经营者的责任。
“北京微梦公司”诉“北京淘友技术”、“北京淘友科技”不正当竞争纠纷案[1],在这系列案件中颇具代表性。脉脉非法抓取、使用新浪微博用户信息的行为不仅破坏互联网企业间公平的竞争秩序,同时侵害了微博用户的个人信息及隐私权益。但遗憾的是,在该起不正当竞争案件审理中并未能对个人信息保护给予充分关照及相应救济。在我国,自2008年的大众点评诉爱帮网案开始就已涉及到数据竞争问题,此后伴随互联网业的迅猛发展,数据竞争案件如雨后春笋般增长。笔者在北大法宝案例库中,以“数据”、“个人信息”、“不正当竞争”为关键词进行搜索,截至 2022年1月共有47个以不正当竞争为案由的案例。而以“个人信息”为关键词搜索,引发的人格权纠纷16件,侵权纠纷6件,共计22件。然而笔者对这22个案件一一探查后发现原被告双方皆不是涉数据不正当竞争中的不当经营者及个人信息受侵害的消费者,换言之,在经营者间数据竞争案件中被无辜牵连的消费者,面对个人信息受侵害的维权率是0。
在技术剧变和信息洪流的汹涌浪潮下,互联网企业掌握和控制着用户数据,互联网企业间的数据之争如果比喻为神仙打架,那么在战争中被无辜牵连的确是提供原始个人信息后便毫无自我防范与保护能力的互联网消费者,可谓“神仙打架,凡人遭殃”。
个人信息能否纳入竞争法的保护范畴,一方面取决于个人信息的属性:个人信息需具有竞争法属性,保护个人信息的同时亦应是维护市场竞争秩序,如若与竞争无关,个人信息保护应该是个人信息保护法、消费者权益保护法或民法上的问题;另一方面取决于反不正当竞争法的保护目标能否包含个人信息这一内容:竞争法除维护竞争秩序外还以提高消费者福利为目标,因此需要证明个人信息属于消费者福利的内容才可能纳入竞争法保护范畴。
是否应给予个人信息以竞争法保护应该始于对个人信息本身法律属性的探讨,换言之,个人信息是否具有竞争法品性决定能否依据竞争法规制路径展开探索。而为了厘清个人信息在竞争法上的意义,则需要从分析个人信息在市场竞争中的显现状态入手,剖析其在市场竞争中的行为逻辑,进而探讨个人信息的竞争法属性及竞争法对个人信息保护的可能作为。
1.个人信息在市场反馈中的预测价值
该价值在著名的微软(Microsoft)并购领英(Linkedln)案件中或许能洞见一般,Linkedln着力为全世界的职业人提供交流平台,会员约为4.3亿人,领英所拥有的基于个人信息生成的数据资源是其能引起微软并购的重要动因。Microsoft看中的就是Linkedln掌握的职业人信息,他们将是规模庞大的消费群体,Microsoft依托自身先进的云技术、大数据技术,使个人数据资源与大数据技术相结合,其结果是个人信息经过高效能的分析处理价值得以飙升。算法技术的应用将人类的现实需求在技术层面加以反映,基于大数据的持续反馈,促使算法得以不断优化,用户被画像,个性化推荐越发普遍并拓展用户新的需求,体验更多新产品。用户在不断探索使用各种软件中将自己的需求反映在计算机技术上,相关需求信息产生数据流,经营者依托大数据技术对这些数据加以收集、分析,通过数据反馈预测功能,优化产品服务内容,升级产品服务体验,开展对产品改进的互动。伴随企业占有数据的增加,企业提供个性化服务的能力增强,相应增强了对个人的支配能力。以此为基础,企业进而能收集更多的数据,则会使其自身的市场力量及对用户的支配能力进一步增强,相反,用户对于个人信息、个人隐私的控制能力却更弱。[2]769-782
Microsoft并购Linkedln案是一系列产品销售、制造者并购社交软件案件的代表案例,此系列并购案相比以往的经营者兼并案件凸显的特点是合并双方并不处于同一个相关市场。按照传统竞争法对竞争秩序的评价需在相关市场内进行。但是,伴随互联网经济的飞跃发展,对相关市场的界定已不再是竞争规则中的核心基础,个人信息汇聚形成的数据所具有的市场反馈与预测功能异常强劲,致使经营者迈进“不相关市场”抢夺份额。
2.个人信息在市场份额争夺中的吸附价值
网络平台企业的运营常存在一个特点,即某网络购物平台的消费者越多,越会吸引更多的经营者使用该平台,而越多的经营者使用则又会吸引更多的消费者加入该平台。一旦某平台企业的用户数量积聚到一定临界点,就会主导该领域市场,虽然仍可能出现新进互联网平台初创经营者,但这些初创者往往拼死以发放消费者福利(如红包福利)吸引用户,在短暂的绚烂之后终被互联网巨头整合兼并,用户资源决定着竞争的成败,在看似公平自由的网络市场上,人们常深信互联网企业创业门槛低,但“雪球效应”的累积加大了数据占有企业对用户的吸附力,并凭借强大的技术优势及用户资源在竞争中遥遥领先,使准备进入的新竞争者望而生畏,基于数据占有而形成了市场进入壁垒。
为贯彻落实财政部《行政事业单位内部控制规范(试行)》精神,高校对内部控制建设日益重视。大多数高校从整体上对内部控制制度及流程重新进行了梳理和规范,根据各自特点与发展方向,改进内控体系建设,提高精细化管理水平。
3.个人信息在竞争法上的价格品性
数字经济时代消费者看似在接受“免费服务”的普遍商业模式,实则以提供个人信息为对价,且这种对价甚至比真金白银的货币对价更具附增价值,能给经营者带来无限收益。消费者以注册登录个人信息换取网络平台的“免费服务”,对企业而言,这些信息形成企业的新型资产,在竞争法含义下,其“价值”表现为如上文所述的预测与吸附价值。企业不仅可以依据这些信息投放个性化广告,进行精准营销,并因雪球效应吸附更多消费者,同时又可以将信息作为交易“对价”直接用于交易,以有偿或无偿方式允许他人使用以换取合作或其他利益。
在工业时代,市场竞争主要表现为价格竞争,价格倍受消费者关注,价格福利一定程度就是消费者福利。而价格常受到质量、数量、可选择性等因素影响,并非孤立的市场条件。在各“非价格因素”中,“质量”因素居于核心地位。经营者提供“免费服务”在价格上无从比较,消费者则转而衡量各种非价格因素,伴随《个人信息保护法》的颁布实施,消费者个人信息保护意识逐渐加强,消费者判断“免费服务”是否划算则往往要看收集信息的范围及对信息的保护程度。个人信息保护水平即可作为衡量服务质量的重要标准。[3]经营者之间对个人信息保护的竞争成为日趋重要的竞争内容并竞相角逐,稳居互联网企业间竞争的核心,从而替代了价格竞争。例如,实践中面对各种浏览器的激烈角逐,数字企业无奈推出“安全”浏览器、“无痕”浏览器,并承诺对保护隐私及信息安全的插件给予兼容。在线搜索领域,Duck Duck Go 则宣传是一款“不会跟踪你的搜索引擎”,宣称不会留存用户的搜索痕迹,不会依据搜索信息捆绑跟踪用户。
个人信息保护水平关乎服务质量,而质量影响价格,个人信息保护与价格同是消费者福利的重要内容,个人信息保护的竞争就如经营者间价格竞争一样激烈。为实现争夺消费者注意力这一竞争目标反向激励经营者探求信息不正当的获取、使用或信息垄断,扭曲信息分配,进而导致市场失灵。可见,个人信息对市场竞争具有重大影响,个人信息所具有的竞争法属性,亟需竞争法给予制度关照及监管补救。
2017年,我国修订后的《反不正当竞争法》明确将消费者权益做为其保护目标之一,据此反不正当竞争与个人信息保护两个领域保护目标具有一致性,即都保护消费者权益。
首先,在个体权益保护方面,反不正当竞争法的基本假设是,公平的市场竞争秩序除维护公共利益、保护经营者合法的竞争利益外还会提高消费者福利,因此消费者权益亦是反不正当竞争法所应保护的重要法益。而个人信息保护领域中个人信息的拥有者既是消费者,是个人信息保护法的保护对象及直接受益者。反不正当竞争法与个人信息保护法的着力点虽不同,但却以实现和扩大消费者福利为目标。反不正当竞争法是以维护不受扭曲的市场竞争秩序来实现消费者福利的增进,而不受扭曲的市场的存在以消费者在个人信息得到充分保护的前提下做出选择为前提,反不正当竞争与个人信息保护二者相辅相成,必须齐头并进。
其次,在规制竞争秩序方面,反不正当竞争法旨在避免消费者权益在经营者间惨烈的市场争夺中被波及。德国竞争管理局自Facebook案件即以提出隐私保护是网络中真正的竞争问题,竞争中信息既是商品。不断革新的竞争法理论中布兰代斯运动极具代表性,击碎了芝加哥学派对经济效率的执着眷注,隐私保护踏上竞争法舞台,倡议应在竞争法上采取措施避免消费者受到不当信息操作的侵害。[4]131-132这与个人信息保护法的立法目标异曲同工。
再次,在价值目标定位方面,反不正当竞争法贯以公平为首要原则。欧盟《通用数据保护条例》(GDPR)第5条规定“处理个人数据应执守公平、合法、透明的原则”;我国《个人信息保护法》第58条第2款亦确定个人信息处理者应当遵循公平原则。可见,公平不仅是反不正当竞争法的首要原则,同样是个人信息保护法的重要原则。规制不正当竞争与进行个人信息保护均要求对个人信息进行合法的获取、控制及使用,二者的价值取向趋同。个人信息在争夺消费者注意力的市场竞争中影响重大并伴随对消费者个人信息权益的严重威胁,个人信息的竞争法属性使竞争法将其纳入视阈予以调整成为可能,但竞争法放任个人信息对市场竞争及消费者个人信息权益的影响,着实与竞争法确定的价值目标相悖。
2021年8月20日,我国通过《个人信息保护法》,其内容体现我国在个人信息保护上力求与国际接轨又符合中国路径的制度努力。因应固守竞争法和部门法的谦抑性,竞争法不宜对个人信息的保护进行具体规定,笔者在此针对《个人信息保护法》中各方主体权利、义务的规定不过多评价,而仅就《个人信息保护法》中个人信息权益司法救济制度加以分析,以得出竞争法是否仍需在其内容中对消费者个人信息保护问题给与制度关照。我国《个人信息保护法》汲取国外立法经验,虽并未明确规定“个人信息权”,但亦未使个人信息依附于人格权,根据《民法典·人格权编》的规定,确认个人信息是自然人的一项民事利益,与隐私权并列应受到法律保护。根据《民法典》的规范内容和日前理论的发展,个人信息是以一种法益存在于《民法典》中的。[8]15这似乎解决了个人信息权益依附于人格权的弊端,但是否会根本解决个人信息受侵害难以得到救济的问题呢?
依据《个人信息保护法》第69条第1款规定,对个人信息处理者按照过错推定原则来归责,在举证责任分配上采取的是举证责任倒置,加害人需证明自己无过错才能免责。适用过错推定原则的着眼点在于保护处于弱势的个人信息权益人,矫正个人信息处理者与个人信息权益人在诉讼中的不平等地位,助解司法实践中个人信息权益人的举证难题。但即使这样,个人信息权益人在举证责任负担上仍困难重重,因为他仍要先证明存在侵权责任构成的三要件,即违法行为、损害事实、因果关系。其中在违法行为、损害事实的举证上,基于个人信息侵权具有高隐蔽性与高技术性特征,侵权行为常以数字化形式表现,个人信息权益人不仅很难锁定侵权人是谁、侵权行为方式如何,甚至信息权益已被侵害却不得知。在损害事实上,除敏感信息的泄露可能直接引发不良社会评价外,通常个人信息受侵害可能衍生出的损害无法评判。或许被用于广告推销、名誉侵害、甚至极端的犯罪,导致受害人生命、财产、人格权益的重大损失,又或许并未显现出任何影响,显然依据传统侵权法关于损害事实的判断无法对损害进行计量。[9]83即便个人信息权益人发现了侵权行为并能够证明损害事实,面对因果关系的证明仍是举步维艰。随着数字经济扩容发展,信息主体使用的网络平台、APP程序种类繁多,个人信息在多平台、多领域使用并由多主体控制,这些信息控制主体对信息进行多环节处理,使受害人难以构建损害事实与某一主体的行为具有排他性的因果联系。在天津市民刘某起诉天津航空和淘宝公司因泄露其个人信息请求赔偿案件中,刘某认为自己购买、乘坐的航班信息只有两名被告知悉,信息必然是两被告泄露的,并险些造成自己被诈骗。但最终法院认为在公安机关侦破案件以前,不能依据以上推论确定是两名被告泄露了刘某的个人信息。[10]类似情况在如“王某诉汉庭上海酒店管理有限责任公司侵害隐私权案”[11]等多起案件中同样上演,透射出个人信息权益人在证明责任方面的困境。而在过错推定原则下,当个人信息权益人证明构成侵权的三要件成立时,此时信息处理者需证明其对损害的发生不存在过错,而信息处理者利用在信息占有及网络计算机等方面的技术优势证明自己不存在过错并不难,此时个人信息权益人囿于信息不对称及技术壁垒欲提出反证则极为困难。
针对个人信息受侵害的损害赔偿,美国的Daniel Solove教授总结了个人请求赔偿常受到的障碍:一是损害必须是客观上的身体损害或经济损失,个人常主张的情绪损害、精神损害需要明确证明;二是损害必须是客观发生的。个人信息被违法收集、滥用无疑会增加个人身份泄露、受欺诈等其它可能蒙受损害的未来风险,对此风险,法院在裁判中常依据损害不能是孵化中的损害,而应是实际损害而驳斥;三是个人为避免信息被违法收集、滥用可能带来的风险,而花去的时间及金钱成本属于本人自愿支出,法院认为该支出并不属于法律所规定的损害,故无法得到赔偿。[12]
我国《个人信息保护法》第69条规定,个人信息受侵害按照其遭受的损失或者个人信息处理者因此获得的利益来赔偿。而个人信息侵权较少表现出显著、直接的损失,基于对单个个人信息的违法收集及滥用,个人信息处理者获得的利益往往极为微小或难以计算,增加的是信息权益人的内部焦虑与外部风险。即便在某种情形下个人信息受侵害的风险已显现为客观的物质损害,却仍无法排除是多种合力因素导致,欲得到明晰和单一化的因果关系链条不切实际。[13]366按照第69条的进一步规定“以上数额难以确定则根据实际情况确定赔偿数额”,个人信息被违法收集、泄露、滥用导致的危害常在今后的很长时间后才能显露,在尚未发现损害时,法院根据实际情况确定的赔偿数额难以达到受害人的期待,赔偿金额偏低的原因是损害的表现并不显著,这样个人提起个人信息维权的动力显然不足。
综上,《个人信息保护法》为个人信息权益主体设计的救济途径尚无法做到臻至完美,但对于个人信息保护问题我们应认识到它是一个复杂的系统工程,需要以《民法典》为概括指引,以《个人信息保护法》为核心,以多个部门法的相互配合才能搭建出我国特色的法律体系。《民法典》《个人信息保护法》以及《消费者权益保护法》对个人信息的保护皆以个体化为保护视角,这与数据竞争所带来的消费者个人信息受侵害风险的公共性间形成矛盾,以个体化为视角的制度构造应对数据竞争案件中对个人信息产生的及其分散的损害无法有效救济。当然,这一矛盾不仅存在数据竞争案件中,如虚假广告案件中同样存在该问题,这也是导致多数分散的消费者权益难以有效保护的缘由。
基于我国已具有《个人信息保护法》《消费者权益保护法》《网络安全法》等部门法保护个人信息权益,《反不正当竞争法》要秉持谦抑性,以制度的补充与衔接为根本着力点,以最小的制度安排谋求最大的社会收益。
2017年反不正当竞争法修改时,明确将消费者权益保护作为保护目标之一,有学者主张此保护目标的确立,表明在对竞争行为正当性进行判断时,消费者权益因素不再仅具有宣示性的象征意义,而具有可操作性的实质意义。”[14]110(孔祥俊,2019)“互联网时代,消费者就是判断是否构成不正当竞争时的“参考法庭”,应以消费者的利益与选择作为判断行为人主观恶意的客观论据,通过论证消费者的整体、长期利益是否受损来认定行为的正当性。”[15]118(陈耿华,2018)而网络条款在适用中之所以遭遇到困境,也在于忽视了对消费者权益的独立判断。”[16]137(张铁薇,陈茂春2021)以上学者观点呈现的共同特征是皆肯定在判断不正当竞争行为时应引入消费者标准。而司法实践中,涉侵害个人信息的不正当竞争案中皆未对消费者个人信息受侵害的情形进行具体审查,只是判决中参考了消费者利益情形,出现这种状况的原因在于立法指示不明。
经营者对个人信息的侵害常表现为海量滥用,给社会造成的负效应巨大。对创新的追求应该有一定界限并让位于消费者权益。消费者与经营者身份的一体性,决定以消费者利益来独立评价竞争行为并不会损害市场的对抗性,相反会促进对竞争者生存的保护。[17]58在对竞争行为的不正当性进行分析时,经营者以消费者为直接侵害对象和以其他经营者为直接侵害对象的情形应有所区分。《反不正当竞争法》一般条款已将消费者合法权益纳入其保护目标,因此消费者权益也应平等列入不正当竞争行为的判断标准,仅在诋毁商业信誉中要求存在竞争关系,此外不再以是否存在竞争关系或者竞争要素做为不正当竞争的构成要件。分析直接侵害消费者合法权益的竞争行为应将重点放在行为方式、行为目的上,凸显消费者利益标准在衡量竞争行为正当性中作为标尺的重要性。对以侵害个人信息为手段实施的不正当竞争应在立法上明确为新型不正当竞争形式,以拓展与革新数字市场竞争行为不正当性认定的方法与维度,塑造数字市场竞争行为规范体系,实现对消费者利益和社会公共利益的维护,构筑良性数字生态竞争秩序。
侵害消费者个人信息的不正当竞争行为,源于数据产业的复杂性,被侵害的消费者往往并不知情,即便知情也常因为损失太小、损失尚未显现、损失难以证明等因素,导致侵权诉讼在个人信息收集、处理、披露、控制等全阶段无法有效应用,司法救济途径不畅,此时,行政机关发挥行政规制的优势,替代司法诉讼将是最好的选择。《反不正当竞争法》一般条款已引入消费者保护这一目标,按法律规范体系化解释,竞争规制机关就侵害消费者个人信息权益行为具有执法权,然而在实践中并未发挥出积极作用,源于反不正当竞争法赋权不明,囿于“法无规定不可为”的权力限制原则及滥觞于行政法领域的比例原则在竞争法上的扩展适用[18]54,行政机关实践中限缩自由裁量权范围,谨慎干预市场自由竞争。在竞争法上设置个人信息的保护,一方面应当妥善处理行政规制与私法诉讼的关系;另一方面应结合我国现行竞争法规范模式,在竞争法上设置及优化行政规制,提升个人信息保护制度的体系化发展。
1.明确竞争规制机关的个人信息保护职权
我国《个人信息保护法》第60条确定了国家网信部门在个人信息保护和相关监督管理工作中的“统筹协调”地位,同时规定“依据有关法律、行政法规的规定,也可由其他相关部门负责个人信息保护和监督管理工作”,第62条规定“国家网信部门统筹协调有关部门制定个人信息保护具体规则、标准”,可见,立法者在制定《个人信息保护法》的过程中已经预判个人信息保护应该是多部门共同配合完成的系统工程,明确了网信部门的“统筹协调”地位,并为确定其他监管部门的监管职责预留了立法空间。在信息化时代,各行业各领域中的个人信息保护问题均极为突出,市场监督管理部门是市场竞争的监督执法机关,在经营者参与市场经营过程中涉及的侵害个人信息权益问题应属市场监督管理部门的职责。具体而言,应在《反不正当竞争法》中确定市场监督管理部门的个人信息保护行政执法制度,当然,为秉持竞争法的谦抑性,市场监督管理部门的行政执法权应限定在经营者在市场竞争中的个人信息致害领域,同时结合《个人信息保护法》的规定,网信部门可为市场监督管理部门的行政执法给序指导、技术支持,对于可能出现的与其他执法部门的执法冲突,则应发挥网信部门的“统筹协调”这一总指挥地位,在执法实践中探讨联合执法、建立多部门联席执法机制。
2.明确竞争规制机关的行政处罚权限
我国《反不正当竞争法》对各类不正当竞争行为设置的行政处罚按照情节是否严重分作一般情节与严重情节,情节严重的最高罚款数额为500万元以下。我国《个人信息保护法》制定时参照域外立法经验,对于严重违法行为大幅度提高了罚款上限,设置区间数值式和区间倍率式并用的处罚方式。为足够威慑违法行为及事前预防,理论而言有必要采取较高处罚。但设置罚款数额时同样要考虑对自由裁量权的限制。[19]84结合市场竞争领域消费者个人信息受侵犯私法救济渠道不畅,消费者很难通过个体诉讼实现权益保障,而侵犯消费者信息权益的互联网企业往往体量大、营利能力强、侵害行为隐蔽且往往持续时间长,一旦产生不良影响可能造成无法补救的损失,因此《反不正当竞争法》对经营者侵害消费者个人信息的不正当竞争行为应当设置专门的罚则,并应区别其他不正当竞争行为,以体现危害行为与法律责任之间的妥适性,同时兼顾部门法之间的协调一致,采《个人信息保护法》的区间数值式与间倍率式并用的行政处罚方式较为适宜。汲取《个人信息保护法》在此规定的不足,对“情节严重”要件需综合考量违法经营者的主观方面、危害后果、行为性质、社会影响等因素进行细化解释。
综上所述,《个人信息保护法》以个体权益为视角,以侵权诉讼为核心的私法救济机制存在局限性,个人信息是构成数据的微粒,基于近年生发的大量数据竞争类案件,司法实践业已努力在个案裁判中不断形塑包括个人信息在内的数据处理行为边界,引入“消费者裁判官”作为竞争行为正当性的裁判依据,发挥竞争法公法属性的优势,有助于个人信息综合治理体系的逐步形成,能为个人信息权益提供更好地保护。