过度收集用户隐私行为的反垄断法规制

李爵位

（华南理工大学 广东广州 510006）

一、问题的提出

（一）用户隐私保护问题的背景

伴随着区块链、人工智能、物联网、大数据和云计算的快速发展，催生了数字平台经济的变革，极大地促进了数据要素在平台企业之间的收集、存储、使用、处理与融合，数据价值很大程度上被开发出来。信息技术产业方兴未艾，数字平台也如雨后春笋般不断涌现，呈现出泛滥化趋势。越来越多的企业利用平台双边市场的特性提供商品或服务，旨在增强用户的忠诚度和信任度或者用户粘度，从而掌握海量的数据资源。现在的数字平台已经打破了传统以价格理论为主导的商业模式，采取非价格或零价格交易模式，以用户的个人信息为支付对价并提供免费的产品或服务，其中难免涉及到用户隐私保护问题。

德国联邦卡特尔局（FCO）在2019 年2 月15 日做出的Facebook 裁定是竞争管理机构做出的第一个在竞争法中明确考虑到隐私保护的决定。FCO 认为，通过服务条款强迫用户同意Facebook 在其社交媒体平台内外收集个人隐私数据，是不合法的行为。同时Facebook 声称，数据是提供服务和满足Facebook 自身利益所必须的。Facebook 上的以上行为构成了对用户隐私数据的过度收集，既有竞争因素的属性，又兼具隐私利益的属性，由此产生反垄断法是否可以和怎样保护用户隐私等问题。

（二）用户隐私概念的深入解读

根据目前已有的文献来看，不同学者运用了用户隐私、用户数据、个人数据、个人信息等概念，虽然这些概念之间有一定的重合性，但不能完全等同起来，本文笔者运用用户隐私这一概念，针对上述概念之间的关系下文将逐一进行分析。

2018 年5 月25 日，欧盟颁布了《通用数据保护条例》（简称GDPR），其中第四条之一规定，个人数据是指与已识别或可识别的自然人或相关数据主体有关的任何信息，包括地址数据和在线图标。此外，法国《个人数据保护法》（DPA）规定个人数据指与识别的或可识别的自然人有关并受数据保护法保护的任何信息。日本的《个人信息保护法》也规定了个人信息包括以电磁方式或者计算机记录的可识别的信息。就我国而言，目前也有相关法律以及其他文件或政策对个人数据有相关的规定。例如，《网络安全法》规定了个人信息是通过电子或其他手段记载的，可以独立或与其他信息相结合来鉴别自然人个人身份的各类信息。《个人信息保护法》规定了个人信息系通过电子或其他形式记载的涉及已经被辨认或可以辨认的自然人的各类讯息，其中既有敏感的信息，也有非敏感的信息，没有匿名化处理的数据不在其列。平台用户不仅提供自己的个人隐私，也有权要求自己的隐私得到合理、及时的保护。美国学者Alan Westin在《Alan Westin’s Privacy Homo Economicus》（2014 年）中提到信息性隐私权是指个人、群体或机构所享有的决定何时、用什么样的方式以及在何种程度上将其信息对别人公开的权利。Westin 对信息性隐私权的界定普遍被法学界接受。

在大数据市场环境中，用户隐私与信息、数据之间有着千丝万缕的关系，但是也不能完全等同。用户隐私体现出个人的信息属性，通过信息能够准确地识别出具体的自然人，在数字平台中更多地以数据形式表现出来。但不是所有的信息或者数据都属于用户隐私，因为有些信息或数据属于用户自愿公开的范畴，或者进行隐私脱敏处理。综上所述，笔者认为，在本文中应当将用户隐私定义如下：用户隐私是指在数字平台中用户个人在进行互联网活动中所形成的一切非公开敏感信息的数据集合体。

（三）用户隐私数据权属的探讨

数据权属，顾名思义，就是数据权利归属于何种主体并由何种主体享有，其实质是数据确权问题。根据数据输出方式的不同，将数据分为原生数据和衍生数据。另外，也有学者提出根据数据享有的主体不同，可以将数据分为个人数据、企业平台数据和国家数据。作者仅探讨后一种分类的数据权属问题。数据权属问题是一个复杂的问题，存在很多的争议和不同的观点，其产生的主要原因是数据权利主体与数据控制者之间的分离。

关于数据权属大致有四种观点。第一种观点认为个人拥有数据所有权，第二种观点认为平台企业拥有数据所有权，第三种观点认为个人与平台企业拥有数据共有权，第四种观点认为国家或公众拥有数据所有权。根据美国著名隐私专家Helen Nissenbaum 教授所提出的隐私场景理论来看，平台的数据权属无法明确合理界定的关键在于数据依赖于具体的场景，在技术平台或技术系统的整体场景下，有些平台数据属于个人所有，有些平台数据具有类似数据库的性质，而平台数据又具有公共性，需要法律保障数据的共享与流通。尊重场景，使用户有权期待平台收集、使用和披露个人数据的方式会与用户提供数据时的场景相一致。

（四）Accept or Not 隐私政策的重新审视

由于用户隐私数据具有一定的商业价值，用户与平台间的不公平条款，涉及过度性和剥削性地收集并处理用户个人隐私数据。现在越来越多平台的用户隐私政策采用Accept or Not 这种绝对的二选一方式，其性质主要有两种观点。第一种观点是行业规范说，该观点认为隐私政策是各种网络服务提供者自我约束形成的规则，而非他们和用户间的契约。第二种观点是合同说，该观点认为隐私政策即用户与网络服务提供者之间的契约，通过隐私政策的公布进行搜集、使用、处理对待个人信息的方式可视为要约，如果用户单击同意，则被认为是承诺，并能立即形成合同效果。因此，隐私政策不是一种单方声明，它是以用户和平台双方合意为前提的，属于网络服务合同范畴。

笔者认为，隐私政策具有合同的属性，可以用格式条款的规则进行约束，平台必须充分履行提示和说明的义务，对用户利益具有潜在损害的条款应当进行提醒和解释，用户需先仔细斟酌在作出理性的决定，当然在隐私条款下方可以附加反馈链接，用户认为隐私条款中不合理的部分可以提出自己的意见。隐私政策不仅是一种合意，更是一种行业规范的体现，平台应当遵守互联网商业道德，充分维护用户隐私数据的合法权益，形成一种自我约束的自律机制。因此，隐私政策不仅体现知情同意原则，还兼具合同属性和行业规范属性，应当使其合法化和规范化。

二、过度收集用户隐私行为的识别

（一）用户隐私保护由反垄断法规制的理由

为了判断是否可以将保护用户隐私的问题归属于反垄断法中，有必要厘清其反垄断法的目的。在互联网超级平台的治理过程中，美国的一些经济评论家进入美国国会，形成了新布兰代斯学派。在新布兰代斯学派看来，反垄断目标不能仅仅是单纯追求经济效率，认为一些大型垄断企业自身就存在着危害公平竞争的隐患。具体来说，就是让平台竞争者与最终消费者失去选择的权利。欧盟将新布兰代斯学派的守门人制度和自我优待理论应用于《数字市场法》中，并得出了平台会利用大量数据自身僭越公共利益的结论。弗莱堡学派对欧盟经济理论始终起着重要的作用，认为社会市场经济应把实现全民福利作为根本目标，反对任何社会市场经济中的垄断形式，提出了国家适度干预原则以及自由原则。

目前最关键的问题是基于数字平台的用户隐私数据能否纳入到反垄断法领域，理论界有不同的认识。持支持观点的学者认为，用户隐私是商品或者服务质量的一个维度，属于质量竞争的范畴，当数字平台的不正当行为导致了用户亦或者是消费者的隐私水平下降时，可以将用户隐私视为非价格因素加以考虑，反垄断法则应当保护用户隐私利益，因此隐私数据保护可被列入反垄断法的范围之内。持反对观点的学者很大程度受到传统价格理论的影响，认为反垄断法所保护的主要是市场的竞争秩序而隐私利益并不在其调整范围之内。就隐私数据保护而言，现有隐私保护与数据保护的规定调整无需反垄断法干预。而且，不像传统的价格那样，用户隐私难以量化、难以评估，不能明码标价，具有很大的不确定性，反垄断法无法有效地保护用户隐私。

结合上述反对和支持的观点，笔者认为，用户隐私应当纳入反垄断法保护范围之内，反垄断法不仅应当规制宏观的市场经济，更应当维护市场中参与者的合法权益，这样才能更好地保护用户隐私，促进数字平台的健康运行。

（二）过度收集用户隐私行为的定性分析

关于过度收集用户隐私的行为属于剥削性滥用还是排他性滥用，需要分情况进行讨论。数字平台凭借自身的优势地位，对用户数据进行不合理的收集和加工，减少消费者对数据隐私的保护程度，在反垄断法上可能会构成剥削性滥用。虞晋在《浅议隐私保护与反垄断法相关性》一文中谈到剥削性滥用是拥有市场支配地位的企业打破竞争制约，发挥自身的竞争优势，在交易中对相对人或者消费者实行高定价或者附加不合理的交易条件的行为。2019 年德国FCO 在Facebook 反垄断案中，认为平台迫使用户让他们不受限制地收集访问Facebook 的其它应用编程接口数据以及对其所属平台上的用户隐私数据进行集成等行为，是利用不公平交易条款进行的操作，构成剥削性滥用行为。

排他性滥用是滥用支配地位行为的另一种类型，根据《欧盟运行条约》（以下简称TFEU）第102 条规定，在评估行为是否具有滥用影响时，首先是排他性滥用，即一种拥有市场支配地位的企业以排斥市场竞争，或者为了市场优势不合理地扩大到相邻市场，能够或很可能对市场产生封锁效应的限制竞争行为。有学者对平台过度收集用户隐私行为是否属于排他性滥用存在较大争议。各大平台企业利用其在市场中的支配地位，采用算法和其它数据挖掘技术，利用和用户之间存在着交易力量和信息不对称的优势，提高获取用户数据的成本来削弱竞争对手的竞争能力等想法可能会激发一系列广泛的行为，包括拒绝向竞争对手出售数据或仅以旨在提高竞争对手成本的高价出售数据，与第三方数据提供商签订排他性合同，或为用户数据的可携带性设置障碍。作者认为，排他性滥用案件存在侵犯用户数据隐私并排除、限制竞争的行为，在这类案件的处理过程中需要反复权衡经济效率、有效竞争等多种利益。综上，过度收集用户隐私行为既可能涉及到剥削性滥用，也有可能涉及到排他性滥用。

（三）如何判定过度收集中的必要限度

平台用户有权决定自己的个人隐私是否被使用以及使用的范围。2021 年3 月22 日，工信部等四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》，其中第四条规定了应用程序不得因用户未同意提供非必要的个人信息而拒绝使用应用程序的基本功能服务。虽然每个人在透露非必要个人信息时所承担的成本很低，但通过收集掌握海量信息的企业却会赢得巨大的经济收益，构成利益不对等的局面。企业或者将数据用于自身经营谋利，或者将数据出售获利，还有可能将数据泄露给犯罪分子，这就引发了平台企业收集用户隐私必要限度的问题。

GDPR 第五条之一规定了数据最小化，亦即数据控制者所收集个人信息的范围，对于其数据处理目的，除其他外，应当是恰当的、相关且必需的，不允许收集其他个人信息。我国现行法对个人信息收集行为的合法性判断，也采用这种制度设计，集中表现为《全国人大常委会关于加强网络信息保护的决定》《网络安全法》和《消费者权益保护法》中规定的收集、利用个人信息应遵循合法，正当、必要原则，其中必要原则为立法者对个人信息收集范围设定的外部限制。

三、过度收集用户隐私行为的规制路径

（一）坚持以反垄断效果作为评估依据

新《反垄断法》第二十二条规定了以人为的不公平高价销售商品或低价购买商品构成滥用支配地位行为，这是法律所禁止的，与TFEU 第102 条规定的剥削性滥用行为类似。正如在谷歌欧盟反垄断案中，谷歌在其核心的搜索广告产品中捆绑了一系列的产品板块，这意味着用户从来没有真正单独使用一种产品，而是使用谷歌的所有产品中提供广告商使用的数据。在某种程度上，谷歌在搜索引擎结果中偏向于自己的产品，比如谷歌地图、YouTube 等，它受益于收集额外的用户数据，以及在这些服务中投放广告的能力。一般来说，捆绑会引起反垄断方面的担忧，部分原因是它助长了价格歧视，即对不同的消费者收取不同的价格，构成剥削性滥用。在分析了我国反垄断法律制度和实际运用后，笔者认为我国并没有明确规定像欧盟竞争法中的剥削性滥用这样的制度。若要通过《反垄断法》进行规制，第二十二条第五款的规定可能是最为直接的法律依据。如果有依据证明互联网用户关注个人隐私，并且在隐私维度上的确存在竞争，那么大数据对隐私保护水平和其他产品功能的潜在影响可能导致反垄断执法。

在Facebook 案中，用户隐私问题以违反数据保护法作为滥用的依据，与其违法行为的反垄断评价效果相关联，但是反垄断法能够应对的损害问题，也仅仅是不正当竞争所造成的。作者认为，尽管用户隐私保护可能构成重要的非价格竞争维度，但是目前我国反垄断执法仍应围绕具体行为的反垄断效果展开。德国FCO 根据TFEU 第102 条的规定认定Facebook 使用非法条款和不合理条件构成剥削性滥用的原因主要是Facebook 的过度使用收集个人隐私数据行为违反欧盟GDPR 的规定，也是对隐私损害理论的诠释。

（二）完善价格理论及消费者福利理论

受传统芝加哥学派价格理论影响较大，以可量化价格为主的分析范式，是我国反垄断法中的一种基本分析范式，以价格反垄断评价方式为依据对反垄断效果进行评估。反垄断法自诞生之时就兼具效率、公正等多种立法目的。但是，在互联网大数据主导的市场环境中，数字平台采用免费的自由商业模式，获取用户个人隐私，由此形成排他性或剥削性滥用，运用传统反垄断法分析范式已经无法衡量这种行为是否具有反垄断的效果，使得以反垄断法为理论依据的价格规制工具无法适用。我国反垄断执法实践中，已经吸取和借鉴欧盟、美国等竞争执法机构有关经验和实践，把隐私泄露当作一种非价格因素或者可变因素对竞争产生作用，逐步引入了以质量下降为基础的假定垄断者测试法（SSNDQ），对传统的以价格上涨为基础的假定垄断者测试法（SSNIP）进行补充。

我国的数据要素政策才出台不久，目前，还没有制定出一套行之有效的方法来衡量数据价值与成本，很难使数据的价值与费用与商业分离开来，因此，以政策为导向，建立规范的数据市场秩序是非常必要的。新《反垄断法》对数字市场中数据隐私保护的基础价值进行了明确规定，反垄断规范目的是协调数据使用中的利益度量，以及质量评估体系的介绍，弥补了免费产品或者服务和用户数据缺少可准确衡量的市场交易价格问题，对价格中心主义传统分析范式进行了修正，确立以质量和其他非价格竞争为主要评价手段的反垄断法的分析范式。

近些年来，新布兰代斯学派尤其迅速兴起，许多美国学者提倡，不再把经济效率作为损害的唯一标准，而是着眼于垄断所引发的社会问题。从而使消费者在隐私保护、选择权以及其他非经济利益上获得的利益，也应当引起反垄断法关注，充分体现于反垄断法价值目的之中。传统芝加哥学派的核心关注点在于反垄断规则应该如何制定而不是如何运用，并且还提出把消费者福利作为最终的政策目标，必须与把消费者福利最大化作为具体案件中可执行的反垄断规则区别开来。在数字化时代，消费者已经不单纯注重价格了，但更加注重隐私、质量、服务和其他非价格因素，如果这时消费者利益只限于价格，将使反垄断法在数字市场中面临竞争损害时，很难对其进行规制。传统消费者利益内涵主要体现在价格方面，已很难实现对消费者的保护，免费交易这一商业模式，打破了以价为主的消费者利益观念，对用户数据进行隐私保护，就成了维护消费者利益的关键。

（三）构建保护分析工具评估损害程度

在竞争损害程度的评价中，可以以货币为基础对价格进行定量分析，而隐私保护通常会出现不能精确定量的困难，因此，如果需要用反垄断法来衡量隐私保护竞争损害程度就需要建构隐私保护分析工具。反垄断法直接规制滥用市场支配地位及侵犯用户隐私的行为会在反垄断法理论和实践中面临诸多困境，反垄断法应当保持审慎的态度，反垄断执法机构更应当积极执法。

为此，欧盟委员会在《数字市场法》法案中引入了守门人制度，是反垄断法在数字经济领域的体现。该法案的基本方法是为核心平台服务的提供商引入一项事前监管制度，其中一小部分已经具有相当的规模和经济实力，有资格根据本条例被指定为守门人。这些守门人对准入数字市场的实质性控制产生重大而根深蒂固的影响，从而导致许多企业用户严重依赖他们，甚至在某些情况下会对平台用户出现不公平行为。通常而言，守门人的特点是能够通过其服务连接许多商业用户与消费者，这种能力反过来使得他们能够利用其优势，如访问大量数据，通过一个活动领域影响另一个领域。这些提供商中的一部分在数字经济中控制了整个平台生态系统，从而在结构上极难受到现有或新的市场经营者的挑战或竞争，无论这些市场经营者如何创新和高效。特别是由于存在非常高的进入或退出壁垒，包括在退出时不能或不容易收回的高投资成本以及缺乏或减少获得数字经济中的一些关键投入，竞争性降低。因此增加了底层市场无法很好运行或即将无法良好运行的可能性。一旦确定是守门人，平台对欧盟数字市场的竞争将承担具体义务，例如，核心平台所提供的服务不应结合守门人企业的其他个人数据、应使终端用户能够卸载核心平台服务中的任何预安装软件应用程序、对企业用户或者终端用户活动中生成的数据进行高效的可携带性。对于系统性违约，欧盟委员会在必要时，采取任何适度且必要的行为及结构性补救措施。笔者认为欧盟的守门人制度也值得研究和借鉴。