个人信息保护纳入反垄断考察的逻辑理路与规范实现

林 秋,张铁薇

(1.黑龙江大学 法学院,哈尔滨 150086;2.哈尔滨师范大学 法学院,哈尔滨 150025)

一、问题的提出:当个人信息遭遇垄断

在数字经济领域,一种普遍的商业模式是消费者看似在接受网络平台的“免费服务”,但事实上在双边网络市场中,网络平台既服务于消费者,亦服务于广告商,消费者表面上未付出金钱代价,但并不代表消费者对于网络平台不存在货币价值。消费者通过提供个人信息来换取平台服务,平台则会通过算法追踪消费者的“足迹”,基于大数据的持续反馈,算法得以不断优化,用户被精准画像,个性化推荐越发普遍,并不断拓展用户新的需求,体验更多新产品。消费推荐越有针对性,广告商越愿意付费,消费者的个人信息转化为平台的收入,这是阿里巴巴、亚马逊等超级网络零售巨头成功的关键。同时,互联网平台企业的运营模式具有高度的用户黏性及网络效应,当某一平台的用户数量聚增到一定临界点,将在该领域占据主导地位,而主导企业反过来会凭借强大的技术及竞争优势收集更多用户个人信息,进一步巩固其市场力量。在零价格市场中,市场过于集中所要关注的问题是占主导地位的平台企业是否会通过侵害消费者的信息权益来滥用其市场力量。德国“Facebook滥用市场支配地位案”,即是Facebook在收集、合并和使用用户数据方面侵害用户数据权益而遭到德国联邦卡特尔局的制裁。而数据巨头企业企图通过数据驱动型经营者集中以排除竞争对手在个人信息保护方面的竞争,则是可能侵害个人信息权益的另一主要竞争模式。例如,美国在《数字市场竞争调查报告》中说明:Facebook自称并购WhatsApp的目的就是为“争夺领地”(land grab),排除竞争威胁,从而使自己的市场地位更稳固。实践中,基于平台企业的市场力量或数据驱动型经营者集中而给用户信息权益保护带来的威胁或直接损害主要表现在如下几个方面,这也是反垄断法领域应该对个人信息加以关注并适当保护的主要内容和着力点:

第一,违法收集。占有市场力量的网络平台企业,违法收集个人信息的情形包括:未经同意的收集或不同意无法正常使用平台的被迫同意收集(私法上的知情同意规则在市场力量面前失去作用基础);未明确信息收集规则;未明示信息收集的目的、方法与范围;超出信息收集的必要范围而收集。 第二,不当使用。占有市场力量的网络平台企业,常以不当使用或滥用的方式侵害用户个人信息权益。如:将收集的信息与算法结合对用户进行精准分析,实施“价格歧视”;将个人信息视作商品,未取得个人信息权益人同意而有偿或无偿披露给他人。 第三,限制携带。互联网巨头凭借市场优势或通过整合兼并在竞争中遥遥领先,限制竞争对手获取个人信息或限制用户向其他平台转移信息,侵害用户对网络平台的选择,客观上形成市场进入壁垒。 第四,降低保护。若市场存在有效竞争,企业为用户提供更加有力的信息保护应是重要的竞争要素,若没有竞争压力,数字企业作为理性“经济人”为追求利益最大化将失去加强信息保护及投资隐私友好型商品或服务的动力。例如,Facebook并购WhatsApp的结果,直接降低了WhatsApp对用户信息保护的标准。

由此可见,数字企业的数据驱动型经营者集中及滥用市场支配地位常伴随着对消费者个人信息权益的侵害,对个人信息的违法收集、滥用,限制和排除竞争对手的行为,既违背反垄断法维护自由竞争的价值目标,又侵害消费者个人信息权益,调整市场结构的反垄断与个人信息保护出现交叉,世界范围也掀起了一场将反垄断法适用于个人信息保护的执法热潮。然而在执法实践中纷争不断,理论上亦未形成统一认识,而我国相关的执法活动尚未开启。反垄断法可否直接规制基于垄断行为而导致的个人信息侵害,以及个人信息保护因素在垄断行为认定中应发挥什么作用?在数字市场领域通过反垄断法,特别是在《个人信息保护法》实施之后,旨在实现什么目标?上述疑问,仍需实践的探索及理论的进一步思考。需要说明的是,个人信息(personal data)与隐私(privacy)属于不同的概念,某些个人信息并不构成隐私,隐私也未全部信息化。［1］基于国外称“个人信息”为“个人数据”,如《一般数据保护条例》(GDPR),使用 “数据”概念而不是“信息”。我国学者在探讨反垄断法上的个人信息保护问题时,也常交替使用“个人信息”“个人数据”或“隐私”的提法。故本文表述及所引文献,对以上概念亦未区分使用。

二、个人信息保护纳入反垄断考察的理论分歧与实践趋向

(一)理论之争:肯定说与否定说

保护个人信息与规制竞争行为看似是独立的法律问题,纯粹的个人信息保护问题与反垄断法无涉,但随着数据价值在竞争中的凸显,数据寡头利用其市场力量过度收集信息、降低信息保护,数据驱动型经营者集中同样可能伴随用户信息侵害及集中后降低保护问题,这无疑引发人们对个人信息保护的担忧。在适用反垄断法对垄断行为进行审查时是否应对个人信息保护予以关切,换言之,就个人信息保护是否应建立竞争法分析框架在理论上颇有争议。

肯定说认为应将个人信息保护问题纳入竞争分析框架,主要有两点理由: 第一,两个领域存在着共同目标,因此应以整体方式适用。这些共同目标被确定为寻求消费者福利和解决权力不对称问题。就消费者福利,竞争法的基本假设是消费者福利只有在经营者间存在竞争时才能得以增强。而消费者是个人信息的主体,是个人信息保护的直接受益者。可见,增进消费者福利是二者都致力的目标。就权力不对称而言,竞争法旨在保护消费者免受市场竞争的侵害,而个人信息保护的目的是防止个人信息在企业的信息收集、处理、使用中受到侵害。强调这些共同目标是为了表明个人信息保护和竞争法有着共同的基本关切,因此有理由进行综合考量。［2］第二,信息保护可视作质量竞争的维度纳入反垄断监管。此观点的分析逻辑是数据驱动型经营者集中可能导致信息保护水平被弱化,与造成质量损害的结果相同,质量又影响价格,因此应属于反垄断法调整范围。［3］具有市场力量的平台如若降低个人信息保护水平,就等于降低商品或服务质量,可视为对竞争的损害,评估这类损害并寻求将其最小化应该成为反垄断分析的一个正常部分。

否定说反对将个人信息保护问题纳入竞争分析框架亦有两个理由: 第一,两个领域存在着不同的目标。竞争法侧重于对经济效率的追求,作用是维护市场竞争的环境,如果用于补救对个人信息的规范性关切、处理非效率性目标,其专门性将与之矛盾,并有被歪曲的风险。反垄断法倾向于防止宏观损害,目的是维持有效率的价格发现机制,相较而言,消费者保护法是为保障具体的合同谈判公平合理,两个法律部门的目标互补且有差异。［4］同时反对者提出,将个人信息保护问题纳入竞争分析将为其他基本权利或公共政策目标打开竞争法闸门,这将导致竞争法变成“法律”,而失去竞争法的边界。 第二,个人信息保护纳入反垄断审查将导致执法困难。因为对信息保护的审查与对经济效率的审查不同,无法确定审查标准,以竞争法解决信息保护会导致竞争法执法过度依赖个案判断而带来不良的主观性,不当增加法律实施的不确定性。［5］同时,不同消费者对信息保护水平的要求不同,甚至存在隐私悖论,故而难以实现信息保护的量化,亦难以构建相应的信息损害理论。在反垄断分析时纳入隐私问题将带来一系列分析难题。

(二)实践态度:拒绝到有条件认可

早在2007年Google收购Double Click案中就已提出与个人数据敏感性有关的问题是否属于竞争法调整范畴,在该案中,虽多方呼吁应关照数据聚集对隐私保护的影响,但最终联邦贸易委员会未在该并购交易中给予考虑,并指出:“对损害竞争的并购加以识别和补救是经营者集中反垄断审查的唯一目的,与个人数据敏感性有关的问题不属于竞争法的范畴,委员会未有法律授权,不应该审查与反托拉斯无关的因素。”［6］2014年,Facebook收购WhatsApp案中,美国电子隐私信息中心(EPIC)提出,合并后若Facebook使用WhatsApp的用户数据,违反WhatsApp的隐私保护政策,进而违反消费者权益保护法。最终,联邦贸易委员会并未阻止该并购交易,不过在给消费者保护局的回复中联邦贸易委员回应了隐私保护关切,表示已明确提醒各方在并购后仍应遵守之前的隐私保护政策。(1)Case M.7217-Facebook/WhatsApp(2014),para.164.

与美国相比,欧盟委员会对该问题的态度则从初始的严格区分发展到之后的部分归入。在Google收购Double Click案中,欧盟委员会明确表明,委员会仅对并购行为是否与欧盟竞争规则相符进行评估,对交易方施加个人信息或隐私方面的保护义务与此目标不兼容,因此评估时不会考虑,但并不影响欧盟有关数据保护法规对Google和Double Click科以信息、隐私保护义务。(2)Case M.4731-Google/Double Click(2008),para.368.欧盟委员会在另外一起并购案——Facebook收购WhatsApp案中同样表示,“并购会进一步增强Facebook 对数据市场的控制力,数据聚合对隐私保护不利,但该问题不属于欧盟竞争法的适用范围,合并控制仅就竞争问题进行分析,隐私保护则应由欧盟数据保护规则进行调整”［5］。

但在后来发生的Microsoft收购LinkedIn案中,欧盟委员会的态度明显有了转变,承认隐私保护与市场竞争之间有重要关联,消费者可能认为隐私是影响商品质量的一个重要因素,隐私保护可能是一个重要的竞争参数,这使得企业在提供隐私友好型产品和服务方面展开竞争。在Microsoft提出并购Linked In前,包括XING(德国知名商务社交软件)在内的常用职业社交网络服务APP在隐私保护方面被认为优于LinkedIn,而并购可以导致Microsoft在职业社交网络服务领域的竞争对手被边缘化(3)Case M.8124-Microsoft/Linkedln(2016),para.350.,进而限制了消费者在隐私保护上的选择权。由此观之,欧盟委员会在该案中正式对隐私保护问题加以考量,并将隐私保护的弱化直接视作市场竞争引致的实质性损害,并对此损害加以评估以判断并购的合法性。 德国“Facebook滥用市场支配地位案”则是世界范围内第一起,也是目前唯一一起直接依损害个人信息而认定为垄断的案件。2019年2月,德国联邦卡特尔局(FCO)裁定Facebook在多个方面侵害用户数据权益,不仅违反欧洲数据保护原则,同时构成反垄断法所规定的滥用市场支配地位行为。认定Facebook数据获取行为违法的国家除德国外,还有意大利、法国,但他们普遍认为WhatsApp强迫用户与Facebook共享个人数据的行为违反消费者保护法,并责令WhatsApp应停止与Facebook共享用户数据,其中仅德国不仅认定此行为违法且将其行为认定为垄断。

综上而言,就个人信息保护能否纳入竞争法分析框架,用以分析垄断行为的认定仍在探讨中,世界主要法域竞争主管机构在实践中的态度经历了从拒绝考虑到有条件的认可的转变。那么,数据聚集是否会引致个人信息保护水平的降低,反垄断法介入的逻辑及切入点在哪,以及反垄断法如何扛起这面大旗则有待展开讨论。

三、个人信息保护纳入反垄断考察的逻辑理路

就反垄断法是否应对个人信息保护予以考量,理论争议及实践的不同做法的深层原因是对反垄断法目标定位、内在机理的认识存在分歧。下文将结合反垄断法的目标及理论基础,讨论个人信息保护能否纳入反垄断法分析视域及纳入的切入点,换言之,损害个人信息能否成为判断垄断行为违法性的标准。

(一)纳入的可能性:反垄断法保护目标从一元到多元的演变

现代反垄断法起源于美国,美国不同时期关于反垄断法保护目标的认识是因时而变的。19世界末美国经济繁荣发展,涌现出一些垄断寡头,压榨了小生产者生存的空间,《谢尔曼法》即为应对这种排斥竞争的垄断行为应运而生。无论学界抑或法院都认为保障企业的自由竞争是《谢尔曼法》的唯一目标,其追求的是公平正义,旨在设计一套自由经济的大宪章。20世纪30年代美国经济进入大萧条,经济现状决定了纯粹追求公平正义的观点不再被接受,哈佛学派将追求“效率”与“公平正义”的目标结合起来的观点被广泛认可。到了20世纪70年代,美国经济遭到世界经济带来的猛烈冲击,生产率降低,伴随芝加哥学派兴起,反托拉斯法的目标定位发生重大转变,将自由竞争作为反垄断法保护目标的观点遭受挑战,转而确定以追求单纯经济效率的“狭义消费者福利”为目标。芝加哥学派的代表人物Robert Bork在其1978年出版的《反垄断的悖论》中明确表示反垄断法的目标不是为了实现自由竞争,法官运用竞争一词来描述多种多样的情况,会导致说法各异,难以得出统一的结论。Robert Bork总结出反垄断法院常使用的有关竞争的五种阐述,并表示他较为接受的是其中的第五种(4)据Robert Bork的总结,反垄断法院经常使用的关于竞争的五个含义:第一,对抗的过程;第二,企业可不受他人限制地从事经济行为;第三,经济学中确定的完全竞争状态;第四,产业和市场的集中度低;第五,消费者福利无法再增加的状态(或称为消费者福利最大化)。,即消费者福利最大化(或消费者福利不能再增加)的状态。［7］此种阐述认为竞争仅仅是对消费者福利表达的理论认识,表明Robert Bork对于竞争作为反垄断法目标的彻底否定。后芝加哥学派的代表人物 Robert Lande 教授扩容了消费者福利的内涵,主张应突破价格局限,借助价格和产出来评估竞争时应将非价格因素考虑其中,包括产品质量得到提高、产品的种类得以丰富等因素。［8］

芝加哥学派所主张的消费者福利标准在美国盛行30余年,但在数字经济时代,零价格服务的特殊性使消费者福利标准(即借助价格和产出来评估竞争的分析模式)遭到新布兰代斯学派的有力挑战。数字巨头在破坏“相关市场”的经济效率的同时还会造成对公众隐私及信息权利的危害,芝加哥学派将反垄断法对竞争的保护仅确定为对消费者支付价格的关注显然过窄。新布兰代斯学派批判芝加哥学派以竞争结果为导向,而美国很多产业部门的经济过于集中,以“消费者福利”(经济效率)为评价标准导致集中的市场造成的损害未能被执法者发现。［9］因此,新布兰代斯学派认为芝加哥学派导致美国反垄断执法极为消极,是引发隐私侵害问题的罪魁祸首。新布兰代斯学派的代表人物Lina多次说明,如果单纯依据消费者享受更低的价格,就得出竞争状况良好的结论,则会导致与亚马逊类似的科技垄断企业对竞争的负面影响被忽视。她认为如果仅是将竞争与几个结果变量关联,则理解过于狭窄,不如审视竞争过程本身。［10］美国反垄断法保护目标的发展进程向我们清晰地展示了其从保护竞争到保护消费者福利(经济效率)的转变,芝加哥学派阐明将保护竞争作为目标会使反垄断法的适用表现出极大的不确定性,若确立以消费者福利为目标,则可实现对效率的经济分析,化解不确定性问题。新布兰代斯学派则认为反垄断法的保护目标应该是多元的,仅确定“消费者福利”一元目标则过于狭窄。受芝加哥学派的影响,美国法院标榜反垄断法唯一的保护目标是消费者福利,但事实仍恪守对竞争的保护以增进消费者福利。同时,我们还应看到,若将消费者福利视为反垄断法唯一的保护目标,则同属于消费者福利内容的诸如产品质量、消费欺诈等问题都可能适用反垄断法,这将使反垄断法过分扩张并与消费者权益保护法、产品质量法等相关法律交织不清,难以协调各部门法间的关系。而事实上,这样的担忧在美国并没有发生,因此,美国反垄断法是以保护竞争和消费者福利作为目标的一种多元保护,这种多元保护使得消费者个人信息纳入垄断分析框架成为可能。

我国《反垄断法》第1条明确规定保护市场公平竞争、消费者利益和社会公共利益。显然我国采取多元保护目标的立法模式,这与美国反垄断法经过百余年论辩至今得出的经验一致,反垄断法旨在保护竞争中的消费者福利,换言之,通过保护竞争而实现消费者福利,同时消费者福利受损程度亦是测度竞争损害、判断垄断的标尺。由此,判断个人信息保护能否纳入反垄断分析框架,基于反垄断法的目标理论,则应证明网络平台间应围绕个人信息保护展开竞争,且对该竞争的规制在维护市场竞争秩序的同时能够增加消费者福利。接下来本文将沿着以上分析路径展开。

(二)纳入的必要性:个人信息保护的竞争属性

第一,个人信息保护构成价格竞争因素。传统反垄断法建立在价格理论之上,芝加哥学派的价格理论虽在发展中受到新布兰代斯学派的挑战,但其在反垄断法中的基础地位并未发生改变。之所以要反垄断,是因为垄断者可在不受约束的情况下提价,导致社会总福利降低的“无谓损失”。波斯纳在其著作中所称的“价格支配力”［11］即是指垄断者的提价能力,垄断行为即是可导致价格提高的行为。网络平台常采“双边市场”经营模式,一端向消费者“免费”提供服务,根据消费者在平台上的数据反馈优化个性化服务,增强用户黏性,吸引并扩大消费者数量,另一端则通过跨边网络效应的作用将流量变现。“免费”服务是以消费者“支付”个人信息作为代价换取的,传统以价格为中心的消费者利益被打破。工业时代消费者福利主要表现为价格福利,价格福利是衡量消费者福利的重要标准,数量、质量、选择机会则均与价格密切相连,属于价格的具体内容。而数字时代消费者福利内容亦应与时俱进,消费者接受“免费”服务是以提供个人信息作为对价换取的,个人信息具有货币的交换、支付属性,是数字时代的新型货币。于消费者而言,要看信息收集和使用的范围来计算换取服务是否划算。欧盟竞争事务专员Vestager指出:“搜索软件或网络社交平台等令人难以置信的超级工具看似免费,实际上消费者在以数据作为新通货完成支付。”［12］以“新通货”定义个人信息是既形象又客观的比拟。为适应平台经营模式的发展,反垄断法也应适时调试,在对竞争损害进行分析时不应仅关注价格差异,还应关注个人信息方面的损害,评估数字平台市场力量的最佳依据不是商品或服务的价格,而是平台虽侵犯消费者信息却不会引起市场反应的程度。

第二,个人信息保护构成非价格竞争因素。商品或服务的价格不是孤立的市场条件,往往与非价格因素密切相关,如商品的质量、数量、选择可能性等。反垄断法兴起于工业时代,当时消费者利益仅表现为以价格为中心,寻求基本物质需求的满足。而当经济发展到人们的物质需求已得到满足时,商品的质量、创新等非价格因素越来越受消费者重视。数字平台企业所提供的免费服务因无从比较价格,所以非价格因素才是消费者的关注重点,消费者个人信息保护强弱可视为衡量服务质量高低的标尺。如果数据驱动型经营者集中完成后或具有垄断地位的数字企业滥用垄断地位不合理地收集使用个人信息,这种肆意则可被认定为降低商品或服务质量的行为。例如,在Google并购DoubleClick中有学者指出,并购会导致隐私保护降低,消费者隐私受损与价格受损无差别,同样应纳入竞争法框架。［13］当然,亦有论者认为将个人信息作为质量仍是对价格理论的坚持与运用,个人信息保护程度的高低决定质量好坏,而质量好坏又决定价格高低,按照该逻辑链条传递,个人信息保护仍然可以依价格理论纳入反垄断法考察范围。

还有论者提出个人信息保护属于消费者选择权的一个维度。游走在网络空间的消费者普遍遭受个人信息受侵害的困扰,然而当消费者在个人信息保护、价格或创新等中进行取舍时,个人信息保护会被部分消费者放弃。大多数互联网用户非常关注他们在互联网上的个人数据,但对许多用户的互联网行为分析表明,他们往往对披露个人信息并不谨慎,也没有使用足够的隐私增强技术,甚至存在隐私悖论。［14］消费者对信息保护程度的要求不尽相同,充分竞争的市场有利于经营者在个人信息保护方面展开角逐,形成不同个人信息保护水平的商品或服务,保障消费者在期间行使自由选择权。在实践中,网络平台为了捍卫数字驱动型盈利模式,抑制信息友好型产品的发展,会以并购的方式排除来自信息保护水平更高产品的竞争,并购导致信息保护水平更高的产品消失,结果限制了消费者在信息保护水平不同的产品间的选择。综上所述,无论将个人信息作为价格、质量或消费者的选择,毫无疑问个人信息保护是经营者间的竞争因素,这使得个人信息保护纳入反垄断分析成为必要。以上观点中“质量说”基于隐私悖论,质量认定的主观性难以克服,包括欧盟在内以质量因素考量个人信息保护仍停留在理论阶段。“选择说”虽侧重于定性分析,避免了主观判断,但其适用场景有限,仅在提供不同信息保护水平的数字企业间并购侵害消费者选择时才能登上舞台。而质量、选择机会都会影响价格,是价格的必要内容,因此,价格论仍是最具有包容性和解释力的,但以价格论作为切入点将个人信息保护纳入反垄断考察,是将个人信息保护作为价格的从属内容,价格论在反垄断法上的适用性在数字经济时代“零价格服务”下应当进行重新考量。

(三)纳入的正当性:个人信息保护可构成独立的消费者福利内容

在数字平台经济领域,消费者已不单纯处于生产消费最终环节,不再是被动接受商品或者服务者,基于大数据及人工智能等数字技术的应用,消费者已经成为商品或服务生产提供过程的深度参与者,传统以价格为中心的消费者利益保护已无法实现充分保护消费者的目的。数字经济时代,在“零价格”服务模式下,个人信息是消费者获取“免费”服务的对价,消费者的关注点已突破传统价格福利的局限向个人信息保护转变,个人信息不再附属于价格,而是与价格同样重要,成为消费者福利的独立内容。芝加哥学派的主要认识包括将消费者福利确定为反垄断法的效率目标,到新布兰代斯学派确定的多元保护目标中,消费者福利亦包含其中,直至今日消费者福利已成为我国反垄断法的多元保护目标之一。那么何为消费者福利?经济发展由工业时代步入数字经济时代,企业间的竞争不再局限于价格竞争,消费者接受“免费”服务,无须比较价格转而比较信息保护水平。虽然消费者对个人信息保护水平的要求不同,但伴随数字平台的发展及个人信息保护法律规范的完善,消费者个人信息保护意识增强,企业间展开了个人信息保护方面的竞争。例如,在网络浏览器的角逐中,企业竞相推出“无痕浏览器”或保证对各种信息隐私保护插件兼容。2008年推出的Duck Duck Go就宣称是“不会跟踪你的搜索引擎”。而美国《数字市场竞争调查报告》中证实Facebook自称并购WhatsApp的目的就是为“争夺领地”,排除竞争威胁,从而使自己的市场地位更稳固。［15］这种以排除、限制竞争为目的的并购将给用户信息权益保护带来巨大威胁或直接损害,同时表明个人信息保护已然成为数字企业间的竞争维度,成为独立的消费者福利内容。

综上,数字经济时代反垄断法所保护的消费者福利应当具有新内容,个人信息保护与价格具有同等重要的地位,当市场竞争扭曲,无法有效保护消费者个人信息时, 消费者受到的信息保护损失就同致使价格提高的垄断没有本质区别,此时反垄断法的介入具有必要性和正当性。诚如尼古拉斯(Nicholas Eonomidesc )所言,个人信息的侵害如果与企业市场力量的形成和市场支配地位的滥用关联,特别是当企业的市场力量强大到即便侵犯用户的隐私亦无须担心来自市场的压力时,就理应启动反垄断法的介入。［16］

四、个人信息保护纳入反垄断考察的规范实现

既然数字时代个人信息保护已然成为独立的消费者福利内容,那么竞争中对个人信息的损害就等于工业时代对消费者价格福利的损害,反垄断法介入个人信息侵害问题即为保护竞争中的消费者福利,因此具有正当性。在此逻辑下,反垄断法应就个人信息侵害而形成相应的竞争损害理论。

(一)适用原则:恪守反垄断法的谦抑性

反垄断法对个人信息保护应该秉持审慎、谦抑原则。反垄断法建立在对竞争机制修复的基础上,与市场竞争无涉的纯粹个人信息侵害问题应该由个人信息保护法等来处理。有论者提出,在竞争分析中考虑隐私保护会导致反垄断法向其他基本权利或公共政策打开大门,过度入侵其他法律领域使其边界不清,削弱反垄断法的专业性与确定性。这是不必要的担忧。［17］因为反垄断法多元保护价值的实现都是建立在对竞争的保护基础上,存在竞争损害是适用反垄断法的必要前提。垄断行为定性的基本标准是存在竞争损害,围绕具体行为是否存在反竞争效果展开。企业数据垄断而导致的个人信息受侵害的情形主要包括:一是通过数据驱动的经营者集中帮助企业获得或进一步巩固垄断地位,但集中后可能导致个人信息保护降低。二是基于市场支配地位而对个人信息进行排他性滥用或剥削性滥用。排他性滥用是指企业限制竞争对手访问、获取其收集的个人信息,或者限制信息的携取,提高市场进入壁垒,阻止竞争对手参与竞争。剥削性滥用则与侵害个人信息的惯常方法无异,如不必要的收集、未经同意的泄露与转让等,判断是否构成剥削性滥用的关键是企业是否构成市场支配地位。无害于竞争时,反垄断法并不存在适用场景,在竞争法视域下,脱离竞争保护而空谈消费者利益、促进社会主义市场经济健康发展,则显然超越竞争法的适用范围。

(二)适用路径:依据个人信息保护状况考察垄断行为

1.横向结构修正:提高个人信息保护与经营者集中限制。 聚合更多个人信息是企业并购营业额虽不高却拥有丰富数据资源的初创企业的重要动因,此类并购被称为数据驱动型经营者集中。Google并购Double Click,Facebook并购WhatsApp在数据驱动型经营者集中类案件中颇为典型,案件中涉及的个人信息累积对市场竞争引起的影响是否应纳入反垄断审查是反垄断法适用面临的新挑战。按企业营业额来判断,数据驱动型经营者集中往往达不到申报标准,而事实上的交易额却极为庞大,同时集中亦是为避免未来可能的竞争威胁,如此审查集中对市场竞争带来的影响就极为必要。依据我国2022年修订的《反垄断法》第26条,数据驱动型经营者集中将突破以营业额确定的申报标准而被纳入审查范围。这是为应对数字经济时代,数据聚合的特殊性而在反垄断法上做出的立法回应。

数据聚合的结果将对个人信息保护产生重要的市场影响,因此审查数据驱动型经营者集中时应对个人信息保护水平在集中前后发生的变化进行对比评估,这就需要革新在反垄断法的适用中居于核心位置的损害理论。据传统损害理论,只有存在“竞争损害”的集中行为才可能被反垄断法禁止,而竞争损害是以消费者为主体的价格受损。如前所述,数字时代消费者权益应包含更丰富的内容,个人信息保护应在数字时代的损害理论中得以考量,对数据驱动型经营者集中进行审查时应从下列几个方面对个人信息保护问题给予关切。

第一,集中是否会导致个人信息保护水平降低。数据驱动型经营者集中,一方面消弭了平台间在个人信息保护方面存在的竞争;另一方面,因聚合而得到更多数据的平台企业会加大对个人信息利用的挖掘。毫无疑问,这两个方面都会导致个人信息保护水平的降低。例如Facebook并购WhatsApp案,WhatsApp虽是一个员工不过50人的小规模企业,但在个人信息保护上做得较好,因一直承诺“没有广告!没有游戏!没有噱头!”而广受欢迎。Facebook则在个人信息的商业化运作方面经验丰富,Facebook明确宣称二者并购后不会自动匹配双方掌握的用户账号,以安慰并购时Whats App用户在个人信息保护方面的担忧。然而令人瞋目的是,2016年8月,两个平台间的账号还是发生了自动匹配。虽然该匹配发生在集中后,事前难以判断与预料,但事后全球仅德国依据反垄断法对Facebook进行了处罚,这说明依据反垄断法保护个人信息问题在立法上较为滞后,执法实践亦持保守态度。

在我国,反垄断执法机构虽未就垄断案件中涉及的个人信息保护问题进行实质性审查,但《国务院反垄断委员会关于平台经济领域的反垄断指南》(以下简称《指南》)第 20条第6款明确规定在审查经营者集中的考量因素中应包含经营者集中对消费者的影响。《指南》中将“不恰当使用消费者数据”与“抬高价格、降低质量、减少品种、损害选择及区别对待消费者”等损害消费者利益的情形相并列,为将消费者数据利益纳入经营者集中反垄断审查框架提供了法律依据,亦是传统反垄断法损害理论(theory of harm)在立法上的更新。但对《指南》中“不恰当使用消费者数据”的内涵在适用时仍需进一步明确。一是“不恰当使用”是否包含不当的收集数据。二是集中可能增加用户数据转移成本或限制用户数据转移,导致市场封锁,竞争对手被边缘化;同时影响用户选择其他信息保护友好型企业,侵害用户选择权。而“不恰当使用”亦难以包含以上两种情况。为了实现立法语义的周延,对“不恰当使用消费者数据”仍需进一步解释,以全面妥当分析集中个人信息保护水平的影响。对此,日本公平交易委员会以列举的方式对“不正当获取信息”“不正当使用信息”进行的细化的规定可资借鉴。［18］

第二,集中是否会导致个人信息保护水平更高的经营者被排斥。数据聚合的结果是令本身在数据算法、数据收集等方面具有优势的企业取得更多用户数据,造成对同样依赖用户数据的其他企业的竞争威胁。集中后平台可能会设置限制用户转移的条款,增加用户转移成本,用户无法轻易实现平台使用间的转移,市场竞争不够充分。当用户无法将信息转移到其他对个人信息保护水平更高的平台,则不仅损害平台间竞争,导致市场封锁,同时会损害用户的个人信息权益。在Facebook收购WhatsApp案件中,在竞争执法机构批准合并的2年后,数百万计的Whats App用户被要求与Facebook共享个人数据。倘若竞争机构在批准合并时预见正确,消费者在通信应用里应该会继续拥有多个可替代性选择,并可以在不同通信应用间很容易地实现转换,则对个人信息保护较为重视的WhatsApp用户必然会转到其他通信应用。然而,实际结果是Facebook在短信领域的支配地位非但未被削弱反而有所增强。［19］之后在2016年的Microsoft并购LinkedIn案中,竞争机构开始注意并购中涉及的个人信息保护问题,欧盟委员会认识到集中可能会限制消费者在隐私保护方面的选择,使隐私保护水平高于LinkedIn的平台被排斥。集中后若进行个人数据的匹配则可能会导致市场封锁,排挤竞争对手或潜在市场进入者。

第三,集中是否符合个人信息收集的目的限制原则。欧盟《一般数据保护条例(GDPR)》第5(1)(b)条规定,“个人数据必须为特定、明确和合法的目的收集,不得以与这些目的不相容的方式进一步处理”。目的限制对竞争法的影响表现为,如果基于不同目的收集数据的企业之间在不征求用户意见情况下进行数据聚合,则必然违背目的限制原则。如果集中导致用户个人信息的使用目的发生改变,或使个人信息落入保护程度较低等用户不愿与之交易的主体手中,此种情况应属于对个人信息的损害,审查机构应当进行市场调查,评估损害的大小,作为判断是否准予集中的因素之一。

2.纵向结构修正:禁止个人信息剥削与滥用市场支配地位控制。 具有垄断地位的数字平台倾向以用户难以理解、不得不同意的方式收集、处理用户信息,并利用数据算法对用户进行精确画像、定位和锁定用户,用户数量增多,数据随着激增,再次运用算法运算对用户画像,形成不断自我强化的反馈循环,巩固市场地位。为提高和加强其垄断地位,通过限制用户转移,提高市场壁垒,排除、限制竞争。由于消费者已经被锁定,具有垄断地位的数字平台则会向消费者施加剥削性条款,降低个人信息保护的水平,且不必担心竞争对手提供更好的保护。在2019年的Facebook垄断案中,德国联邦卡特尔局就认为Facebook利用其市场优势地位迫使其他接入Facebook API的用户同意其无限制地收集数据,凭借不公平交易条款非法收集用户数据构成剥削性滥用。［20］此案是德国联邦卡特尔局首次以欧盟《一般数据保护条例》(GDPR)为竞争执法依据,将侵犯数据隐私的行为定性为滥用市场支配地位。

适用反垄断法认定侵害个人信息权益为滥用市场支配地位,应注意与一般个人信息侵害相区分,以避免适用法律错误。存在竞争损害是适用反垄断法的前提,侵犯用户个人信息权益属于剥削性滥用行为,是经营者具有市场支配地位所致的结果,在特定条件下亦会构成一定程度的排他性滥用(如限制用户转移)。只有监管的目标着眼于保护有竞争力的产出水平才能适用反垄断法,否则应寻求其他法律手段。当相关市场已经形成长期固化的垄断结构,存在严重的市场进入壁垒,市场的自我矫正机能无法发挥作用,经营者利用其市场支配地位侵害众多消费者权益,获取过度的垄断利润,以进一步巩固其市场支配地位,此时反垄断法的介入则尤为必要。区别于保护个体权益的《个人信息保护法》《消费者权益保护法》,若市场开放度较高,仅为个别或小范围的个人信息侵害,则不应引入反垄断执法;反之,若市场集中度偏高,具有市场支配地位的企业大规模地违法收集、利用用户数据,侵害众多用户信息权益,扩大市场势力,此时反垄断执法则当仁不让。

随着数字企业利用数据优势限制竞争愈演愈烈,欧盟率先引入的数字守门人制度成为欧盟各主要国家制度竞争的最前沿。该制度对于我国规制数字平台滥用市场支配地位同样具有借鉴意义。“守门人制度”即是将作为核心数字服务提供者的守门人作为监管重点,加强对“守门人”的规制。其符合控制者义务理论及对效率的追求,可以防止科技巨头差异化对待企业和消费者,造成不公平的竞争环境。对“守门人”的界定是守门人制度核心而棘手的问题,法案第3条从对市场的重大影响、经营者链接终端用户的路径、在其业务中具有或预期具有稳固而持久的地位三个维度对守门人进行了界定。同时对三个维度标准创新性地进行了具象化:以营业额量化“重大市场影响”;以终端用户月均活跃量量化“经营者链接终端用户的路径”;以过去三年均符合经营者链接终端用户路径的要求量化“具有或预期具有稳固而持久的地位”。［21］由此,“守门人”的标准变得清晰、确定,避免由内涵不清导致的执法标准不一的问题。而被认定为“守门人”的数字平台企业则承担特定义务,例如:不得禁止用户链接到守门人以外的其他企业、不得禁止用户卸载任何预装软件或应用程序、不得擅自进行个人数据的合并使用。“守门人”如果违反特殊义务规定则将面临高达全球年度营业额10%的罚款;如果系统性地违反了特殊义务,则可采取相称且必须的行为上或结构上的补救措施,例如剥离(部分)业务。［21］以上规范内容为我国反垄断法中守门人制度的设置提供了参考。

守门人制度是数字经济时代反垄断理论由包容审慎向结构主义的回归。数字企业若符合守门人认定的量化标准,又不能自证其白则将背负高于一般数字企业所应普遍遵守的义务,即接受更强监管的义务。这里需着重关注的是,我国《个人信息保护法》第58条的内容,被称为“守门人条款”。该条款对“重要互联网平台服务”概念的使用与《数字市场法》“核心平台服务”的表述可谓异曲同工,《个人信息保护法》第58条内容虽较为简单,却也体现立法者已经意识到对互联网巨头的个人信息保护义务予以特别约束的重要,并付诸立法实践。那么,反垄断法上的守门人制度与《个人信息保护法》的第58条应该如何区别适用呢?在Facebook滥用市场支配案件中,法院指出:“并不是占主导地位的企业违反消费者法所实施的侵害消费者权益行为都自动构成滥用,企业的主导地位和滥用行为之间必须有联系。”即占主导地位企业的市场力量与滥用行为之间必须存在因果关系,滥用行为必须是源于用户无法转向其他网络平台的市场力量而实施。倘若将独立于市场力量的行为等同于滥用支配地位则会不当扩大竞争执法机关在数字市场执法的可能。当仅是由于“信息不对称”,如:用户不了解企业冗长的个人信息保护政策,不了解其他平台保护条款更加友好或基于使用习惯不愿意使用新平台,此时与市场力量无关,企业即便具有主导地位仍不应被认定为滥用行为,换言之,如果信息不对称是消费者信息权益受侵害的根源,那么市场上更多的竞争亦无法解决问题,当市场力量与滥用行为之间无因果关系时则个人信息保护法应该登上舞台。

(三)制度衔接:《反垄断法》与《个人信息保护法》的双向互动

消费者个人信息保护问题是一个系统工程,涉及反垄断法与个人信息保护法等多部门法之间的相互协调与配合。

从反垄断法的视角讲,我国《反垄断法》虽确定了多元保护目标,明确将消费者利益纳入保护范围,但需要注意的是,《反垄断法》意义上的司法诉讼仅能为利益受损的其他经营者提供救济,并未给竞争中受到损害的消费者提供直接的救济途径。“无救济则无权利”,就反垄断法上的个人信息保护而言,赋予消费者以公益诉讼的形式提起集体诉讼的权利既具有必要性,又具有正当性。首先,反垄断法是通过对竞争机制的保护来保障消费者的个人信息权益,本质上来说,反垄断法是从整体意义上展开对消费者的保护,而非个体意义上的,因此,赋予消费者公益诉讼形式的集体诉权恰好与反垄断法在个人信息保护问题上的功能定位相符。［22］其次,垄断领域对个人信息的侵害通常是大规模且不特定的消费者个人信息权益,损害的是集体性利益,而我国《个人信息保护法》以个体权益的保护为立脚点,反垄断法上设置集体诉讼,实现“规模救济”恰好与个人信息保护法的个体救济从制度上实现互补。最后,集体公益诉讼的提起无须相应个体的请求,亦无须特定损害的实际发生即可激活,行政机关结合垄断行为存在的侵害风险进行评估,适时启动相应程序从而实现“事前救济”,避免侵害行为进一步发生和扩大,体现出集体公益诉讼的效率优势。《反垄断法》确定的多元保护目标,使消费者具有依据《反垄断法》规范主张权利成为可能,是赋予消费者集体诉权的前提基础,其具有超脱《个人信息保护法》及《消费者权益保护法》进行权利保护的实际意义,客观上弥补了后两者以个体利益为保护出发点存在保护不足的缺憾。

从个人信息保护法的视角讲,《个人信息保护法》对个人信息的保护重在“知情同意”,消费者在使用具有垄断优势的互联网平台时,平台设置的收集和使用个人信息的“告知—同意”协议书,消费者面临要么同意,要么拒绝同意的同时也无法获得平台服务的两难选择,最后不得已而“同意”,与《反垄断法》相呼应,在认定平台获得的“同意”是否为用户真正真实意思时,应同时对平台所具有的垄断地位加以考虑,即对平台是否存在滥用市场支配地位的垄断行为进行审查。对此有学者建议可在未来《个人信息保护法》修订时增加一个条款,即“滥用垄断地位强制收集非必要个人信息的行为可能违反《反垄断法》”［23］。笔者认为,此种观点恰是加强《个人信息保护法》与《反垄断法》协调互动的制度创新。当下《个人信息保护法》出台不久,《反垄断法》亦刚刚进行了大修,在这样的背景下,更重要的是加强反垄断的执法部门、个人信息保护机构、消费者权益保护机构间的合作配合,制定具体的协调机制,由国家网信部门牵头统筹协调垄断中涉及的个人信息侵害的执法难题,加强多部门之间的协作,实现多元共治。

结语

数字经济的马太效应使“赢者通吃”愈演愈烈,网络平台对消费者的损害已不局限于价格的提高与产出的降低,芝加哥学派将经济效率作为反垄断法的价值目标已无法回应现实问题。在质疑与反思声中兴起的新布兰代斯学派指出,反垄断不应是纯粹的经济或法律问题,而应是一个系统工程,拥有多元的价值目标,而消费者福利即是反垄断法的多元价值目标之一。传统反垄断法建立在价格理论上,数字经济下,仍然固守传统以价格和产出为中心的损益分析,无法实现对消费者利益的有效保障与充分救济。个人信息保护可纳入垄断分析框架的核心逻辑在于,当下互联网深入嵌刻到人们生活,个人信息的重要性等同于工业时代的价格,个人信息不再附属于价格,而相当于价格本身并应作为独立的消费者福利内容。

数字时代,市场竞争的损害由价格损害转化为个人信息保护的损害。数字驱动型经营集中降低个人信息保护,排除个人信息保护上的竞争;大规模数字平台企业凭借市场势力,进行个人信息滥用。此时,反垄断法应超越经济效率之囿限,膺负更为多元的使命与追求,将个人信息损害作为评价垄断行为的考量因素,打破反垄断法固守的传统思维、逻辑、范式,以数字化转型模式完成反垄断法的制度革新。