个人信息的反垄断法保护：理据证立、实践难题及破解方案

摘要：当前，围绕个人信息展开的竞争逐步加剧，个人信息保护与反垄断产生了越来越多的交集。关于个人信息保护是否能纳入反垄断分析框架，学理和实践中尚存争议。为回应救济市场竞争机制失灵引致的个人信息权益损害的现实需求，以及个人信息保护与反垄断法益保护目标上的耦合，可以证明反垄断法介入个人信息保护具有必要性和可行性。然而，当前反垄断法保护个人信息在宏观层面尚面临两大难题：如何划定反垄断法规制个人信息侵权行为的范围；如何抉择反垄断法保护个人信息的模式。鉴于此，有必要以个人信息权益损害为前提、以竞争损害为核心，构建“个人信息权益损害+竞争损害”的二阶损害体系，划定反垄断法的保护范围；依托垄断行为规制，构筑直接保护和间接保护相统一的双轨制保护模式，切实回应个人信息保护的急迫需求。

关键词：个人信息；反垄断法；竞争损害

一、问题的缘起：反垄断与个人信息保护成为一个交叉问题

党的十九届四中全会在《推进国家治理体

系和治理能力现代化若干重大问题的决定》中提出，要健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制，明确将数据列为五大生产要素之一，数据的经济价值愈发凸显。数字经济时代以数据为载体的个人信息的经济价值被深度挖掘和释放，成为竞争的新焦点，特别是在平台经济双边市场条件下，平台企业的运营模式对用户个人信息极为依赖。一方面，不管是交易型平台还是非交易型平台都倚赖用户数据来提升用户需求和服务内容的匹配度，迎合用户的个性化消费需求。另一方面，以数据资产的积累助推企业平台化，夯实企业生存基础。平台化是经营者市场力量多领域延伸的表现，迈向平台化、搭建平台生态系统意味着需要实现跨市场、多领域互联互通，个人数据的积累则是从一个领域跨入另一领域的基石和杠杆。

当个人信息成为市场竞争的关键参数，针对个人信息展开的角逐空前激烈，而数据竞争与数据保护之间存在天然张力，信息争夺不可避免地对个人信息带来损害。经营者为了维持在市场竞争中取得的优势，利用自身市场力量实施的包括但不限于违法收集、不当使用、限制携带等行为，均给用户个人信息权益带来潜在威胁和现实损害。而经营者通过分析携带大量个人隐私印记的用户数据，利用算法针对性施行的“大数据杀熟”“个性化推送”等行为，已然将数据的利用异化为剥削消费者福利的手段，危及用户的个人信息安全和自由利益。

针对个人信息利用中出现的诸多风险和损害，2021年我国专门出台了《个人信息保护法》，意在通过规范个人信息的利用行为实现对个人信息权益的保护。除此之外，在《民法典》《消费者权益保护法》《电子商务法》《网络安全法》《数据安全法》等立法中亦有涉及个人信息保护的相关规定，从私法面向上构建了相对完善的个人信息保护规范。但当滋生于数据竞争的垄断行为给用户个人信息权益保护造成威胁，如何在竞争法框架内更好地处理个人信息保护问题，成为时下无法回避的现实问题。

从既有理论研究看，关于反垄断法是否可以介入个人信息保护的研究已较为丰硕，这些研究从多个视角进行了探赜，但就研究结论看，关于反垄断法是否可以介入保护，观点呈对立状态。而在反垄断法介入保护后，仍有以下问题需深入探讨：其一，反垄断法保护个人信息有其特定范围，如何界定反垄断法与其他部门法在规制个人信息侵权行为上的边界，仍需进一步厘清；其二，反垄断法保护个人信息存在不同的保护模式，哪种模式能在遵循反垄断法制度的基础上有效保护个人信息，尚待深挖。针对上述问题，本文首先对反垄断法是否可以介入个人信息保护这一前置问题进行回应，从现实需求和法益保护目标出发，多层次证立数字经济时代反垄断法保护个人信息的必要性和可行性。在此基础上，解析反垄断法的保护边界限定及保护模式选择难题，并提出针对性的解决方案，以为反垄断法有效保护个人信息，构建协同、全面的个人信息保护规范体系提供智力支持。

二、反垄断法保护个人信息的理据证立

从个人信息保护进入竞争法视野以来，域内外对二者之间关系的讨论形成了“肯定说”和“否定说”两种观点：“肯定说”支持个人信息保护与反垄断法相结合，比如莫里斯·Ｅ. 斯图克（Maurice E. Stucke）和艾伦·P. 格鲁内斯（Allen P. Grunes）在《大数据与竞争政策》中提出隐私保护是质量要素的重要维度，应当将数据、隐私和竞争法相结合；“否定说”则反对二者的结合，比如丹尼尔·索科尔（Allen P. Grunes）和罗辛·E. 康福德（Roisin E. Comerford）在《反垄断与大数据监管》中表示，竞争法在某种程度上是处理企业之间竞争关系的法律，用竞争法的框架规制数据问题不具有法律正当性。后续研究中，学者们亦从不同角度对上述两种观点进行了深入分析和探讨。支持“否定说”的主要论据在于，两个领域在法律保护目标和方式上存在显著差异，同时从执法层面考虑反垄断法保护个人信息会增加执法难度。“肯定说”则认为两个领域在保护目标上存在交叉，反垄断法可以特殊方式实现对个人信息的有效保护。从更深层次看，上述理论争议实际上源于切入角度的不同而对反垄断法的价值目标、运行机理等方面存在认识上的偏差。下文将回归反垄断法的逻辑起点，证立反垄断法介入个人信息保护有其必要性及可行性。

（一）反垄断法保护的必要性证立：市场竞争机制失灵引致的个人信息权益损害亟待救济

市场竞争机制失灵导致的个人信息权益损害凸显反垄断法介入保护的必要性。《个人信息保护法》的制度回应主要聚焦于经营者在使用用户数据过程中造成的信息不对称等部分市场失灵行为，对于市场竞争机制失灵带来的个人信息权益损害实难顾及。竞争法的市场规制理论则可以为个人信息保护提供很好的补充，弥补《个人信息保护法》之不足，借助反垄断法保护个人信息有其现实必要性。

1.市场竞争机制失灵引致的个人信息权益受损问题凸显

传统经济领域出现的个人信息损害是多种市场失灵引致的结果，其中信息不对称是造成个人信息损害的主要原因。然而，在数字经济领域，相较于信息不对称，市场竞争机制的失灵是引致个人信息损害更深层的端由。个人信息权益内涵丰富，比较法上普遍认为保护个人信息的目的在于保护个人信息自决，因此，个人信息权益的核心权益是个人对个人信息处理所享有的知情与自主决定权利。而当市场竞争机制失灵，市场处于弱竞争状态，个人享有的个人信息自决权面临被架空的风险，特别是在平台经济高度集中的结构性垄断市场中，个人信息权益遭受侵损的现实威胁尤为显著。

具言之，平台经济中网络效应和规模经济导致“赢者通吃”现象普遍，市场极易发生倾侧，加之数据、算法的加持，以平台生态系统为主导的垄断性市场结构趋于常态。在平台竞争中，网络效应和规模经济效应为那些具备先发优势的经营者提供了迅速扩展市场力量的契机，具有先发优势的经营者持有的用户数据极为可观，其通过数据“喂养”算法，进而“反哺”服务质量，这种持续的正反馈不断助推其扩增市场力量，企业的相对竞争优势逐渐演化为绝对的结构性市场垄断。在此情形下，技术巨头对数据和数据主体拥有极大的数据权力，用户的个人信息权益处于可以被肆意剥削的危险境地。申言之，垄断主体出于对个人信息的强化控制，利用市场力量实施的滥用市场支配地位或数据驱动型经营者集中，往往伴随着违法收集、不当使用、限制携带等侵权行为。由于行为实施主体是拥有极强数据权力的数字平台，相较于普通个人信息侵权，上述行为对个体的信息自决权将带来更为严重的侵损。同时，由于平台面对的是不特定的用户群体，这也导致其造成的个人信息损害范围更广、规模更大，影响程度更深。值得注意的是，结构性垄断市场的形成还显著加剧了信息不对称现象。占主导地位的企业通过排除竞争对手向用户持续实施不对称的隐私政策，并且在阻碍用户转换的同时，鼓励竞争者效仿他们实施同样不对称的隐私政策。由此，即使不占支配地位的企业也实施类似行为，整个市场信息不对称的现象加速蔓延，持续侵损用户权益。

此外，经营者之间就个人信息保护水平达成合谋的垄断协议行为，即便不直接对市场结构产生影响，也将对消费者的信息自决造成限制。当相关市场的经营者就个人信息保护政策达成一致，市场的集中和服务的趋同进一步限缩用户的自主选择空间，个人信息保护法赋予用户的诸多权利被架空，难以充分行使和得到保护。故而，规制因市场竞争机制失灵引发的个人信息侵权行为的现实需求外驱反垄断法介入个人信息保护，以构建多机制协同并进的个人信息保护规范体系，实现对个人信息的有效保护。

2.《个人信息保护法》和其他权益保护性法律制度具有内生局限

观诸实践，与个人信息保护相关的法律规范主要分为保障数据信息安全和保护个人信息权益两大类，后者真正从用户权益视角保护个人信息，具体包括《个人信息保护法》《民法典》等保护性规范。但在高度集中的数字市场，上述保护性规范具有局限性，对个人信息权益的救济稍显迟滞。

（1）保护方式局限

《个人信息保护法》作为保护个人信息的专门性规范，主要通过在个人信息利用行为上设置排他性权利，构建以“告知——同意”规则为核心的个人信息处理机制，赋予个人对其数据更多的控制。这一机制是实现个人信息保护的根基和有效手段，在个人信息保护领域被奉为圭臬，但数字市场的结构性垄断妨害了知情同意原则适用的基础，保护效果并不尽如人意。“告知——同意”机制的设置意在补强信息主体的劣势地位，提供一套制衡性法权结构将信息处理者与信息主体重置于相对平等的位置。而当市场出现结构性失衡，经营者具有的绝对市场力量使法律赋予信息主体的补强优势被削弱，“持续性不平等信息关系”被推至极致，加之网络效应和锁定效应的影响，该机制发挥的作用大大削弱，用户实际失去了对数据的掌控。正如有学者所言，若经营者具有支配地位，其提供的不过是一套复杂的“不要拉倒”（take it or leave it）的隐私政策，不管用户是否完全理解这些条款蕴含的风险，经营者自始至终就没有给予用户自由选择的空间。加之告知同意机制本身存在的制度短板，用户的同意往往“流于形式”。在企业公开关于隐私收集、处理范围等信息有限，且条款冗长、内容晦涩的情况下，很难认定用户选择的“同意”是基于阅读和完全理解该隐私条款而做出的真实意思表示。故而，当个人信息的主体（用户）与信息处理者（经营者）之间处于严重的非对称权力结构，告知同意机制内嵌的民事权利极易被虚化。

而从《民法典》视角分析，个人信息权益本就是民事权益在特殊场景下的特别强调，《民法典》规定的个人信息条款与《个人信息保护法》具有制度工具上的同质性，两法在相关内容上高度相似，比如《民法典》也规定了个人信息处理应遵循“合法、正当、必要”原则，个人在信息处理中享有查询、复制、更正、删除等权利。不难看出，《民法典》保护个人信息的方式与《个人信息保护法》并无本质区别，当然也存在同样的困境。

（2）救济力度不足

《个人信息保护法》《民法典》等权益保护性规范的事后救济和行为救济模式无法触及根本症结，对个人信息的保护力度有限。主要原因有二：

其一，《个人信息保护法》《民法典》等规范主要通过整改、罚款、赔偿等形式进行救济，上述救济形式未触及作为根本的市场力量，只要其市场力量存在，仍然有重蹈覆辙损害个人信息的可能性，因此无法从根源上预防和解决市场竞争机制失灵引致的个人信息损害。此外，由于数字经济领域平台经营者面对的是不特定的用户，造成的损害具有规模性和群体性特征。仅仅依赖对个体的处罚、赔偿，很难完全填补垄断行为带来的巨大利益损失，较低的违法成本无法对经营者起到威慑作用。其二，上述规范规定的行为救济多为私权救济，要求权益受损方证明损害后果。但事实上，鉴于互联网行业内存在的诸多约束与限制，消费者对于个人信息损害识别具有显著的认知障碍，其是否被侵权、被谁侵权，侵权带来的损失有多少，实际难以获知。这给个人信息权益受损的用户获得救济苛加了过高要求，分散的个体维权方式难以达到预期的救济效果。

反观作为市场规制法的反垄断法，其可以通过规制侵害个人信息的垄断行为，矫正失衡的市场结构、维护市场竞争秩序，对个人信息施以根本性、底层式的强化保护。同时，反垄断法的事前审查制度为个人信息提供的预防性救济可以有效应对数字经济领域大规模的个人信息侵权行为。由此可以看出，反垄断法独特的差异优势恰好可以弥补权益保护性规范的局限，与之相辅相成，共同发力，为个人信息提供更为全面、有效的保护。

因此，《个人信息保护法》及其他权益保护性法律制度对个人信息权益损害的救济无能进一步呼吁反垄断法介入，以市场规制理论和制度为个人信息提供强化保护。

（二）反垄断法保护的可行性证立：法益保护目标上的耦合

规制市场竞争机制失灵引致的个人信息权益损害证明了反垄断法介入个人信息保护有其必要性，而个人信息保护与反垄断法保护目标上的契合则可为反垄断法介入个人信息保护提供理论支持。从保护目标层面分析，“否定说”的理由之一在于其认为竞争法主要致力于追求经济效率，而个人信息保护的核心在于权益的维护，这与经济效率并非同一维度的目标，将竞争法进行跨领域适用，难免存在矛盾冲突。然，推本溯源，任何法律实际都是以保护某类特定对象的利益为旨归。若从法益保护视角出发，结合数字经济时代个人信息竞争行为的形式和特性，不难发现个人信息保护与市场竞争秩序维护、消费者利益和公共利益保护具有内在契合性，可以为现代反垄断法的多元立法目标所涵盖，二者在法益保护目标上实质耦合。故扩张反垄断法的作用场域，介入个人信息保护具有可行性。

1.“竞争”层面的个人信息保护

反垄断法保护竞争，调整竞争关系，基于个人信息保护所处的非价格竞争维度，将个人信息纳入反垄断分析框架具有可行性。首先，反垄断法产生之初最直接的目标就是保护市场竞争，竞争被认为能够带来诸多好处，反垄断法的目的在于通过保护竞争满足人们对竞争的所有合理期望。不论当前反垄断法的目标被解释为对市场权力形成的制约，还是被重塑为保护消费者福利，本质上都是基于对市场竞争秩序的关注。而竞争维度本身就内嵌了隐私保护问题。正如莫里斯·Ｅ. 斯图克所言，把隐私保护法和竞争法作为具有不同法律目的之分析本身就是一种误解，在大数据里面，反垄断法保护的竞争本身内含了隐私保护上的竞争问题。

具言之，经营者在个人信息保护层面展开竞争，竞争利益和个人信息权益内在联通，共生共长。零价商业模式下，个人信息是消费者交易中主要的成本支出，个人信息保护更好的产品对消费者来说意味着更低的成本消耗，更容易获得消费者的青睐。例如，在脸书与WhatsApp公司并购完成后，为更好地保护个人隐私数据，部分用户改用安全系数更高的Telegram通信软件。个人隐私保护的市场需求反向激励经营者提供满足用户隐私偏好的产品来提升市场竞争力，经营者的市场竞争力部分即体现为个人信息保护水平的高低。此外，从反垄断法质量损害理论看，个人信息保护成为衡量产品或服务质量的重要维度，较差的质量体现为企业降低个人信息保护的标准以实现更多的个人数据收集。个人信息保护成为竞争参数之一，市场竞争充分与否时刻影响个人信息保护水平，当经营者基于争夺个人信息而实施的垄断行为导致个人信息保护水平降低，无法满足人们对个人信息权益保护的期待，反垄断法即具有了介入保护的空间。2014年的“脸书收购WhatsApp案”中，欧盟委员就已认识到隐私保护是竞争的重要场域，只是当时欧盟委员秉持“分离主义”，拒绝在竞争法框架内考虑隐私保护问题。而2016年“微软收购领英案”中，欧盟委员会态度有了明显转变，其指出隐私保护可能是一个重要的竞争参数，而针对该案进行的市场调查结果也确证了这一点，比如在德国和奥地利，XING（社交网络运营商）即比LinkedIn提供了更高程度的隐私保护水平。这一实践在法益保护目标层面为反垄断法介入个人信息保护提供了重要支撑。

其次，当前反垄断法介入个人信息保护一定程度上被传统竞争损害理论所束缚。受芝加哥学派影响，传统反垄断分析方法是典型的价格范式，以价格损害作为行为违法性判断标准，而个人信息保护与以价格为中心的竞争分析框架格格不入，这也是持否定说的学者反对反垄断法介入个人信息保护的另一重要理由。这实则是对反垄断法本身保护竞争的价值定位理解偏差所致。依前所论，反垄断法通过保护竞争达到追求其他价值的目的，重点仍是保护竞争过程本身。故而，反垄断法不应被特定的竞争损害内容所束缚。数字经济时代竞争方式发生颠覆性变革，竞争损害内容也有变革之势并呈现一定的开放性。新布兰代斯学派对芝加哥学派批评的核心在于，其认为芝加哥学派狭隘地将反垄断法对竞争的保护限缩为单纯的价格维度分析，忽视了对整个竞争过程的关注。诚如其所言，实际上当个人信息成为竞争因素，经营者为圈占用户个人信息实施的垄断行为还会对个人信息保护水平、隐私安全等造成损害，这也是数据竞争格局下出现的竞争损害内容。在“微软收购领英案”中，欧盟委员会对竞争损害的评估便已不再仅局限于价格因素，开始考虑个人信息保护层面的内容。基于经营者在个人信息保护层面展开竞争的确凿证据，欧盟委员会在评估合并对市场竞争造成的影响时，特别考虑了合并对个人信息保护带来的影响。其认为合并会使得比LinkedIn提供更好隐私保护水平的竞争者被边缘化，进而限制消费者的选择空间，降低整体市场的隐私保护水平。鉴于此，欧盟委员会最后虽然同意了合并，但仍在决定中附加了隐私保护的相关限制性条件。故而，当基于个人信息争夺而展开的竞争行为导致市场竞争秩序受损，个人信息保护水平降低，而无法提供好的个人信息保护时，反垄断法具有介入保护的正当性。

2.“消费者利益”维度的个人信息保护

依据《反垄断法》第22条的规定，保护消费者利益是反垄断法的多元目标之一。消费者利益的核心为消费者福利，个人信息保护作为数字经济时代消费者福利的内容，被纳入反垄断法保护范围具有正当性。受制于工业经济时代的经济基础，传统反垄断分析框架中消费者福利以“价格福利”为核心。但事实上，消费者福利本身是一个处于快速变化中的二维概念。进入数字经济时代，它不仅需要忠实于竞争法的法律基础（规范维度），还应当反映数字经济中消费者的事实需求（事实维度），及时回应数字经济中消费者的现实利益。将个人信息保护纳入消费者福利即适应数字经济变革，回应消费者需求的应然之举。

首先，个人信息保护是“价格”维度的消费者福利。在零价商业模式下，个人信息内蕴的“交易对价”属性使得其并非与价格完全无关。互联网交易中，用户通过授权、许可经营者收集、使用自身个人信息，以获得其提供的各类服务，在此过程中，个人信息实质代替“价格”，是获取服务的新对价，具有类货币的属性，与价格发生内在关联。个人信息侵害与价格剥削带来的损害具有同质性。经营者过度收集用户隐私数据、强制消费者接受不合理的隐私数据条款、超范围使用个人数据等侵损个人信息的行为都可视为对消费者福利的损害。

其次，个人信息保护与“选择”维度的消费者福利挂钩。对“符合个人信息保护需求”的产品享有选择权是消费者福利内涵的题中之意。从竞争过程分析，竞争被认为建立在选择的基础上，数字经济领域，相较于产出和价格，平台及其产品的可选择性对消费者而言更为重要。由于个体之间对个人信息的重视度参差不一，个人信息保护需求主观色彩浓厚，良好的竞争应当向消费者提供针对不同个人信息保护水平产品的选择空间，满足消费者的多样性偏好。当具有市场支配地位的企业凭借自身优势地位，强制用户接受其隐私保护政策，限制其转向其他“个人信息保护水平与自身需求相契合”的经营者时，从宏观层面限缩了消费者的选择空间，侵损了消费者的选择福利。德国“脸书案”即为典型例证，该案历经德国卡特尔局、杜塞尔多夫高等地区法院以及德国联邦最高法院多个审理程序，从德国联邦最高法院最后做出的临时裁定看，其在分析对消费者造成的损害时，考量的是消费者的选择福利。其认为脸书提供的服务条款没有为用户提供符合自身个人信息保护需求的个性化选项，剥夺了用户的自主选择权，损害了消费者利益，由此构成剥削性滥用行为。可以看出，在选择福利层面，限制消费者在个人信息保护上的选择也是对消费者福利的侵损。

故而，从消费者利益维度审视，推动个人信息保护与消费者福利内涵实现多层衔接，反垄断法保护个人信息是保护消费者福利的逻辑使然。

3.“公共利益”属性的个人信息保护

我国反垄断法明确将公共利益作为法益保护目标之一，而个人信息损害具有的公共利益受损属性使得其介入保护具有可行性。公共利益这一概念虽由来已久，但从比较法的角度来看，少有法律对公共利益内涵作出明确定义，反垄断法中亦是如此。结合理论和实践层面对反垄断法中公共利益的内涵解读，公共利益理念的内涵主要包括有效竞争、消费者利益及整体经济利益等，所涉利益范围极广且呈现一定开放性。

剖析个人信息损害的外在表现和特征，不难发现个人信息损害实际上具有公共利益受损属性。其一，个人信息上的利益价值本身内嵌了公共利益价值。个人信息中利益价值具有显著的“衍生利益的多层次性”，其至少包含了个人、企业、社会和国家四个层面的利益。个人信息赋有的公共利益属性主要来自个人信息处理活动中产生的正外部性效应。个人信息经过收集、分析后形成的大数据信息，融入市场各环节，可以推动产业创新、完善社会治理，对社会生产生活具有重要价值。换言之，数据的收集和使用成为实现公共利益的特殊工具和必要途径，个人信息形成的数据集也承载了各类公共价值，呈现复杂的利益形态，个人信息保护与社会信息技术发展、商业价值以及个人权益紧密相连。其二，从个人信息损害形式上看，相较于个体间的个人信息侵权行为，垄断行为带来的个人信息损害具有突出的公共性和群体性特征。在数字经济领域平台、算法、数据三元融合的新型架构下，消费者通常散见于不同时空和区域，经营者面对的是不特定的用户群体，垄断行为带来的损害将同时大范围辐射到现有的以及潜在的消费者，损害形态呈现为一种特殊的“集合损害”。传统个人信息侵害仅停留于个人层面，而数字经济时代垄断行为所实施的个人信息侵害则在整个社会层面呈现，个人信息权益保护的内涵表现出“社会本位”特征。当行为损害对象为不特定多数消费者利益时，很难说其与社会公共利益无关。

总而言之，反垄断法关切个人信息并不是对其内在机理的颠覆，而是适应经济发展，在新环境下对市场规制与消费者权益保护层次的即时丰富。其与权益保护性规范之间的关系也从来不是非此即彼的替代，而是相辅相成的补充。适用反垄断法保护个人信息也并非简单的制度堆砌，而是通过理论拓展实现不同保护机制间的衔接，进而构建起多机制协同并进的个人信息保护体系。

三、反垄断法保护个人信息的实践难题

个人信息纳入反垄断法保护框架虽然在逻辑上具有正当性，但在具体落实层面仍面临诸多窒碍，亟待解决。

（一）个人信息的反垄断法保护边界不清

个人信息具有的个人权益和竞争价值二元属性，使得个人信息保护问题不再如过去一般泾渭分明，数字市场中的同一个竞争行为，可能同时引起隐私保护与竞争关切。反对反垄断法介入个人信息保护的观点之一即认为，将消费者个人信息数据纳入反垄断法分析框架，可能会导致反垄断法与其他权益性保护规范冲突，模糊反垄断法的边界。虽然这并不能完全证成反垄断法不应介入个人信息保护，但在专门性保护立法的前提下，廓清反垄断法与其他权益保护性规范在个人信息保护上的范围和边界，是推动反垄断法适用、构建协调统一的个人信息保护规范体系的前置要件。

首先，反垄断法的谦抑性及其补充保护的功能定位决定了其保护个人信息的范围有限，与其他权益保护法之间存在边界划分。一方面，反垄断法作为市场规制法具有明显的国家干预色彩，这内嵌了必要、适度、克制的谦抑执法理念。此种适度和克制的理念，要求反垄断法介入保护个人信息应具有范围限制，以防止反垄断法泛化适用。另一方面，个人信息保护是一个复杂的系统性问题，从法的分工与整合看，与《个人信息保护法》的适用逻辑不同，反垄断法以行为规制方式补位发力，实现对个人信息权益的补充、强化保护，呈现不同的功能定位，这决定了其保护范围的有限性。

其次，执法实践对此问题进行模糊处理，如何协调不同性质法律规范之间的关系，廓清各自功能边界，难以探知。德国“脸书案”是利用反垄断法强化个人信息保护的典例。此案中，德国联邦卡特尔局推行适用“双重程序”（dual proceedings）规则，即同时推进反垄断规则和数据保护规则（GDPR）两套执法程序，将数据保护规则纳入，作为适用反垄断法的考量因素。德国联邦卡特尔局主要是基于这样一种考量：脸书具有的市场主导地位是其实施违法收集、不当使用等违反数据保护法行为的前提条件，而通过违反数据保护法强化了其市场竞争优势，数据平台的市场力量与其数据违法行为之间存在内在关联，因此将两法的规则进行融合适用。该种认定程序虽然是对“肯定说”观点的践行，但实际上存在适用偏误，其带来的次生问题即导致反垄断法与数据保护规范的过度融合。质言之，“双重程序”规则将违反GDPR作为滥用市场支配地位的认定因素。一方面，数据保护法规则成为反垄断法认定的考量因素，致使规则层面反垄断法与数据保护法过度融合。反垄断法保护个人信息应实现与其他法的相互补充，而非规则层面的融合替代。另一方面，“双重程序”规则中主程序为反垄断执法程序，次程序为数据保护法程序，并且次程序是主程序的过程要素。这消解了作为数据专门保护法GDPR的适用空间，反垄断法在个人信息保护上的适用边界被进一步扩展。数据竞争格局下损害市场竞争秩序和侵犯个人信息权益的行为不断涌现，过度倚重单一的规范依据，很可能引发更严重的法律适用的系统性问题。故而，廓清反垄断法保护个人信息的边界是推动其正确适用必须处理的现实难题。

（二）个人信息的反垄断法保护模式待定

基于个人信息纳入反垄断法保护的维度不同，反垄断法保护个人信息存在两种模式：间接保护模式和直接保护模式。不同的保护模式不仅会影响实践中处理问题的可操作性、合理性、便捷性等，还可能会带来实践和理论上更深层次的矛盾，其重要性不言而喻。反观既有的反垄断法规则，《国务院反垄断委员会关于平台经济领域的反垄断指南》第16条规定了强制收集非必要用户信息可能构成附加不合理交易条件的行为，然囿于该规则位阶较低且内容较为含糊，尚未指明确切的保护模式。而从模式本身出发，间接保护与直接保护两种模式在适用上各有优劣，如何抉择，未有定论。

1.间接保护模式保护力度不足

间接保护模式下反垄断法提供个人信息保护的逻辑是：个人信息保护水平作为质量竞争内容，当经营者降低个人信息保护水平、产品质量变差、消费者福利受损，反垄断法可进行保护。即体现为“个人信息保护水平—质量—消费者福利”的逻辑链条，以质量链接竞争效果从而衔接个人信息保护。不难看出，该模式仍置于传统反垄断分析框架之内，但是以质量作为连接桥梁，还存在若干问题。

首先，依循上述逻辑链条，实现个人信息保护实际需历经多层连接和跳转，其中涉及的个人信息保护水平、质量等因素在实现连接过程中需要进行多重论证和关联性分析，而相关问题尚处于探索之中。比如，由于对用户信息的认知限制以及对价格过于敏感，更高的个人信息保护水平对用户而言不一定意味着更高的质量，换言之，促进竞争在个人信息保护上不太可能产生与通常在产品质量上一样的效果。此外，个人信息保护作为质量因素分析，质量损害的量化也是横亘在此模式中的现实难题。

其次，较为迂回的间接保护模式应对实践中涌现的直接侵害用户个人信息权益的垄断行为力不从心。当数据成为竞争的重要资源，而数字平台的业务活动通常直接面对消费者，其可以通过滥用自身的优势地位，以实施过度收集、不当使用等侵犯用户个人信息的方式获得竞争优势地位。此情形下，反竞争行为导致的直接结果为用户个人信息权益的损害，竞争损害相对不明显，若仍适用间接保护模式以质量连接竞争损害，可能难以即时有效地保护用户个人信息。

2.直接保护模式存在风险隐忧

直接保护模式的基本逻辑是以“个人信息”替代“价格”作为独立的消费者福利内容，侵害个人信息权益等同于损害消费者福利。这是依托反垄断法提供的更高规格的保护模式，目的在于为消费者数据隐私提供更加直接有效的保护。目前已有不少学者持此观点，主要基于这样一种考量：数字经济时代个人信息与价格具有同等地位，个人信息保护构成了数字市场竞争的一个重要方面，或代表了交易理由的重要因素，其价值的独立性昭彰。在此情况下，如果实现个人信息保护必须经过多次转换才能与反垄断法关联，那么很难认可其是一个竞争法问题。此外，伴随着平台经济发展，逐渐形成以消费者为中心的市场竞争格局，消费者地位愈发凸显，利益却更易受侵损，主张将反垄断法对消费者保护的定位从间接保护转换为直接保护的呼声渐起。循此逻辑，个人信息作为消费者利益的重要内容，由反垄断法进行直接保护似乎也是反垄断法制度的应有之义。

但是，回溯反垄断法制度可以发现，直接保护模式实际上脱离了传统反垄断分析框架，激进适用可能给反垄断制度体系带来冲击。其一，直接保护模式与当前反垄断规则相悖。反垄断法对于垄断协议、滥用市场支配地位以及经营者集中等行为的规制，均要求其具有排除或限制竞争的效果。直接保护模式回避了竞争效果分析，与当前的反垄断规则相矛盾。若要消解矛盾，则必须发展新的竞争损害理论以作支撑。其二，直接保护模式可能导致反垄断法保护目标之间的冲突。直接保护模式脱离竞争效果分析，实际是将消费者利益保护作为直接保护目标，如此一来，一则颠覆了当前反垄断法间接保护消费者利益的目标定位，二则由于个人信息的人格属性，可能致使价值目标间的冲突。比如，构成必要设施的数字平台以保护用户个人数据为由拒绝向第三方平台共享必要数据，在竞争秩序作为直接保护目标的情况下，只要企业拒绝开放共享数据损害市场竞争即会被反垄断法禁止，但若个人信息也被纳入直接保护范围，共享数据对个人信息带来的损害和拒绝共享引致的竞争破坏实际上难以平衡。其三，时下如果适用直接保护模式，反垄断法存在明显的制度短板，需要对规则和分析方法作出极大的拓展和调整。而个人信息保护并不仅是某部法律的任务，反垄断法是否有必要为了实现个人信息保护而重新拓展理论并构建新的制度规则，有待商榷。特别是在当前执法资源有限的情况下，直接保护模式对执法资源和执法能力提出了更高的要求，反垄断法保护个人信息投入的资源和获得的实际保护效果之间可能难以达到实质平衡。

四、反垄断法保护个人信息难题的破解方案

针对上述问题，需要恪守反垄断法的谦抑性，通过条件设置廓清其保护边界，依托行为规制重塑其保护模式，以解反垄断法保护个人信息的现实之困。

（一）反垄断法保护个人信息的边界廓清

厘清反垄断法保护个人信息的基本逻辑是廓清反垄断法保护个人信息边界的前提条件。循其保护逻辑，适用反垄断法保护个人信息可以按“竞争损害+个人信息权益损害”的二阶损害体系框定其适用范围。

1.边界廓清的基础：反垄断法保护个人信息的逻辑解构

从法的构建逻辑层面审视，《个人信息保护法》作为权益保护法，其通过在个人信息利用行为上设置一定的排他性权利，保障个人对个人信息利用过程享有一定程度的排他性控制。这一机制构建起了“个人信息民事主体权利—个人信息处理者义务”的分析框架，凸显其赋权保护的特性。相较之下，反垄断法通过规制侵害个人信息的垄断行为达到保护个人信息权益的目的，核心关注点仍在于维护市场竞争秩序，侧重于审视宏观市场竞争状况对个人信息权益保护带来的影响。二者提供个人信息保护的逻辑理路截然不同。以作为个人信息保护理论基底的“个人信息自决权”的保护为例，个人信息保护法通过赋予弱势一方主体包括查询、复制、更正、删除等一系列权利，施与个人信息处理者相应的义务，以保护信息主体在信息处理中充分享有个人信息的自主控制权。而反垄断法对个人信息自决权的保护是通过提供有效供给的方式来实现的。申言之，反垄断法通过规制垄断行为，促进市场充分竞争，确保用户享有充分的选择空间，以优化供给的方式，解决因市场供给不足导致的选择受限，进而无法行使自决权的问题。故而，反垄断法更多是从市场的整体角度出发，通过维护竞争秩序来保障个人信息的安全和权益，这与《个人信息保护法》赋权约束的特性形成了鲜明的对比，也为其保护边界的限定奠定了制度基础。

2.边界廓清的条件：“个人信息权益损害+竞争损害”的二阶损害体系

承前所述，反垄断法保护个人信息不应随意背离行为规制法的内在逻辑，因此，若要激活反垄断法在个人信息保护领域的效用，应确保侵害个人信息行为引发的损害构成二阶侵权损害体系，即“个人信息权益损害+竞争损害”。以个人信息权益损害作为前提条件限制，若个人信息权益未受损，则无需讨论保护与否的问题。从个人信息权益内涵分析，非法处理个人信息而导致的人身权益、财产权益上的损害或人格尊严、人身自由侵害都构成个人信息权益的侵损，符合介入保护的基础条件。然，该条件的基础性也决定了其不可能作为边界限定的唯一条件，因为保护个人信息权益本就是《个人信息保护法》的旨归。由此，需要引入反垄断法层面的特殊条件——竞争损害，以其作为核心条件，构成二阶损害体系，界分反垄断法的保护边界。申言之，只有当个人信息权益受到侵损的并产生反竞争效应时，才能触发反垄断法的保护机制。竞争损害条件实质上是划定反垄断法保护个人信息边界的关键依托。

（1）竞争损害条件设置之理论归因

在二阶损害体系构建中，竞争损害要件实际是主要着力点。首先，以竞争损害作为界分反垄断法保护个人信息边界的核心要件是遵循反垄断法规制逻辑的内在要求。反垄断法作为一种克服市场失灵的法律机制，从诞生之初就被定位为对竞争的保护，承担建立和保护竞争的责任。即便其适用场域拓展至个人信息保护领域，也不能突破这一立法之根本，因此，对个人信息的保护仍需根植于市场竞争机制的修复基础之上，以保证竞争的优位性。

其次，从制度运行的效率和成本考虑，超脱反竞争效果要件可能会出现若干副作用，对反垄断制度造成负向冲击。其一，致使反垄断法适用标准不清晰，容易造成对市场的过度干预。根据反垄断法理论，只有当市场上出现了垄断或者垄断趋势的时候，政府方可干预市场，而竞争损害则是垄断行为所致的直接后果。若在没有竞争损害的情况下，反垄断法不当介入，很可能会造成反效果。其二，竞争效果要件缺位可能导致行为的违法性认定标准不清，进而扩张反垄断法保护个人信息的范围，加剧反垄断法与个人信息保护相关法律规范的执法冲突。即便个人信息保护有其特殊性，但在竞争法的场景中，脱离竞争价值而空谈消费者利益保护始终是竞争法所难以承受之重。由此，以竞争价值来划设反垄断法介入保护的边界，有助于防止反垄断法过度扩张，避免造成难以承受的后果。

在德国“脸书案”中，支持“双重程序”适用的学者也指出，竞争法上的损害是触发“双重程序”的必要条件，如果违反数据保护法的行为仅仅损害消费者利益，“双重程序”并无适用空间，只有在有确凿证据证明竞争受到损害的情况下，违反数据保护的行为才能被视为违反竞争规则。但是，德国“脸书案”的“双重程序”规则存在不周之处。德国卡特尔局仅凭对数据保护法的违反就推定经营者滥用市场支配地位，却未能提供确凿证据证明数据违法行为与竞争损害之间存在必然因果关系。因此，该案中脸书被认定构成滥用市场支配地位实质上缺乏了竞争损害要件，此种认定方式明显超脱了反垄断法的规制范畴，与其规制逻辑相悖。

（2）竞争损害条件内容的灵活判定

反垄断法对个人信息的保护仍需基于对市场竞争损害的判断，但受限于个人信息权益的侵害形态，竞争损害分析过程中应做适时调适。一方面，随着个人信息成为新竞争要素，判断垄断行为侵害个人信息是否造成竞争损害的标准不应过于严苛。特别是对于直接侵害用户隐私的垄断行为，过高的标准可能导致垄断行为造成的个人信息损害无法得到应有的救济。以平台强制过度收集个人信息行为为例，该行为除了直接损害用户的个人信息权益外，通过数据积累带来的竞争优势也可能损及其他竞争者的利益，平台垄断地位的形成还会对数据交易条件、数据的流通和共享带来影响，损害市场竞争秩序。故而，在此意义上，平台强制过度收集个人信息的行为本身也对竞争造成一定程度的损害，是一种具有排他倾向的非纯粹剥削性滥用。另一方面，可以以个人信息保护层面的损害作为衡量市场机制受损的标准。比如数据驱动型经营者集中的主要目的在于实现信息数据的聚合，因此其市场影响自然主要体现在个人信息保护上。垄断行为所导致的个人信息保护方面的选择空间减少以及个人信息保护水平降低都可以视为竞争损害的内容。纵观各反垄断司法辖区，执法实践已开始将个人信息保护水平作为竞争损害的考量因素纳入，比如在“微软诉领英案”中，欧盟委员会考察了合并对于市场上具有更高隐私保护水平企业的影响，认为合并将限制隐私保护水平更高的企业进入相关市场，将隐私保护水平降低视作竞争损害的内容之一。

此外，基于数字经济领域的特殊性，侵害个人信息的垄断行为所带来的竞争损害展现出一种更为错综复杂、正负效应交织的形态。比如，经营者利用市场支配地位过度收集用户个人信息不一定意味着产品质量的降低，依靠个人信息提供的个性化服务和精准营销同样可以提升产品质量，增进消费者福利。因此，在分析此类竞争损害时，需全面审视并平衡多方利益。为实现精准分析，可以引入比例原则这一分析工具，从“适当性”“必要性”及“相称性”三个维度，深入剖析侵害个人信息的垄断行为及其带来的竞争损害。申言之，首先可以分析该行为是否有助于反垄断法目标的实现，其次评估所采取手段的必要程度，以此判断行为的适当性与必要性。在此基础上，进行利益衡量，若行为带来的积极效果超过消极效果，则视为结果均衡，符合比例原则，反之，则违背比例原则的基本要求，具有反竞争效果。

（二）推动直接保护与间接保护双轨并行的复合保护模式

承前所论，直接保护或间接保护的单一保护模式在适用中都存在缺憾，易陷入规则失灵和应用脱节的窘境。究其根本，是因为单一模式并未与反垄断制度实现内在适配。符合反垄断法规制逻辑和实现个人信息有效保护，吁求复合型保护模式的出场。一方面，反垄断法行为规制法的本质决定了反垄断法语境下的两种保护模式可以平行存在，并行不悖。原因在于反垄断法保护个人信息离不开垄断行为规制这个“中介”，而保护效果则取决于所规制的垄断行为类型，若反垄断法针对直接侵害用户个人信息权益的垄断行为进行规制，那么个人信息便能得到直接保护，反之亦然。另一方面，不同垄断行为引发的个人信息损害性质各异，既存在因经营者限制市场竞争使得消费者个人信息权益难以体现的间接损害，也有因平台垄断直接导致个人信息权益减损的直接损害。复合保护模式提供的差异化思路，可以实现对各类形式的个人信息权益损害的全面、有效救济。

数字经济领域经营者实施垄断行为侵害个人信息的行为主要有两种表现形式：一是经营者通过数据驱动型集中获得或进一步巩固垄断地位，以排除竞争对手在个人信息保护上开展的竞争，从而导致个人信息保护水平降低；二是经营者基于市场支配地位对个人信息进行排他性滥用或剥削性滥用。依据上述行为不同的行为表征和损害特性，匹配相应的保护模式方可实现最佳的保护效果。

1.直接保护：通过规制剥削型滥用行为保护个人信息

剥削型滥用行为是指具有市场支配地位的经营者，利用其市场力量，强迫交易相对方接受明显不合理的交易价格或者其他条件，侵犯交易相对方合法权益的行为。将直接保护模式限定为剥削性滥用行为是遵循反垄断法制度、缓释回应个人信息保护需求与防止反垄断法保护边界扩张之间巨大张力的妥适之策。

首先，对剥削性滥用行为适用直接保护模式在根本上与反垄断制度契合，能有效避免反垄断法保护边界的不当扩张。直接保护模式的逻辑理路看似突破了以竞争损害保护为直接目标的反垄断制度，但由于剥削性滥用行为的前提是经营者具有市场支配地位，将其限缩适用具有合理性。因为当经营者具有支配地位，市场已缺乏充分竞争，用户个人信息被剥削的根本原因就是市场竞争机制被破坏。换言之，剥削性滥用虽并不涉及对竞争过程的限制，但其仍然是那些不受有效竞争约束、反竞争的市场力量造成的结果。直接保护模式下规制个人信息的剥削滥用实际上仍合乎反垄断法通过维护竞争秩序来保护消费者福利的底层逻辑。此外，从《反垄断法》第22条规定的不公平高价和附加不合理交易条件规则中可探知，我国当前反垄断法制度中，滥用市场支配地位本身与排除、限制竞争具有可分性。故而，通过规制剥削性滥用保护个人信息并未背离反垄断分析框架。

其次，直接保护模式适用剥削性滥用是回应个人信息保护实践需要的应然之举。数据竞争格局下，经营者利用市场力量剥削用户个人信息的行为正逐步涌现。由于数字平台与消费者直接交互，其可以通过强制收集、不当使用用户个人信息来获取数据竞争优势，用户的个人信息权益成为平台滥用市场力量直接侵害的对象，这与传统反垄断法中竞争受损进而损害消费者利益的因果链条形成鲜明对比。面对剥削个人信息带来的大规模且直接的消费者利益损害，直接保护模式在保护效果上更显有效和直接。

为推动直接保护模式的落实，将不排除、限制竞争但直接损害消费者利益的剥削性滥用行为新设为一种独立的滥用类别是较为合适的选择。如此，实践中经营者利用市场力量实施的违法收集、处理、使用用户个人信息等直接侵害用户个人信息权益的行为，都可以通过剥削型滥用条款进行规制。需要注意的是，虽然《反垄断法》第22条规定了不公平高价和附加不合理交易条件两种类型的剥削性滥用行为，但在第7条的总则性规定中仍将反竞争效果作为滥用市场支配地位行为的核心要件。承前所述，规制剥削性滥用意在对个人信息权益进行直接保护，因此可以在第7条中加入“消费者利益保护”的内容，为剥削个人信息的行为提供制度支撑。

2.间接保护：通过规制数据驱动型经营者集中和排他性滥用来保护个人信息

排他性滥用和数据驱动型经营者集中行为给用户个人信息权益带来的损害均为间接损害，符合传统“竞争受损—消费者利益受损”的逻辑链条。以竞争效果分析为中介连接的间接保护模式可以满足其保护需求。

数据驱动型企业为了聚合更多个人信息从而提升市场竞争力，并购营业额虽不高却拥有丰富数据资源的初创型企业，此种以圈占数据为目的的并购行为即为数据驱动型经营者集中。数据驱动型经营者集中行为带来的直接损害仍体现在市场竞争层面，只是其损害的性质由价格面向演变成包括个人信息保护在内的非价格面向。数字经济领域，数字平台的竞争行为更多地指向个人信息保护，而正如传统经济领域集中行为带来的价格下降一样，数据市场如果集中之后竞争弱化，隐私保护水平下降将是大概率事件。比如在脸书并购WhatsApp后，WhatsAapp突然一改此前提供的高水平的个人信息保护，更改原隐私服务条款，将用户电话号码与其账号相关联，整体降低用户的隐私保护水平。因此，个人信息保护水平降低仍是竞争损害的内容，用户个人信息权益受损依然是市场竞争遭受破坏的结果。故而，可以通过规制违法集中行为防止个人信息保护水平降低，以实现对个人信息的间接保护。

经营者滥用市场支配地位侵犯个人信息的行为也可能构成排他性滥用。根据经济合作与发展组织大数据报告，经营者通过自身市场力量提取其他竞争对手无法获得的个人信息，进而利用这些数据来排除竞争对手或提高市场进入壁垒，即构成利用个人信息实施的排他性滥用行为。此类行为的根本目的在于通过数据积累提高市场进入壁垒，排挤其他竞争者，以消除潜在的竞争威胁。显然，侵害个人信息的排他性滥用行为带来的更为显著的后果是侵损其他竞争者的竞争利益，破坏市场竞争秩序。因此，对排他性滥用行为的规制，实质上是通过保护市场竞争的公平性，间接保护个人信息，防止个人信息被不当利用和直接盘剥。

故而，排他性滥用与数据驱动型集中带来的直接损害仍聚焦于竞争本身，对个人信息权益造成的损害较为间接。通过规制上述两类垄断行为可以在修复竞争机制的基础上，为个人信息提供间接保护。

五、结语

随着个人信息竞争价值的不断挖掘，数据保护与数据竞争之间的张力日益凸显，反垄断法保护个人信息的议题热度居高不下。而关于反垄断法是否可以介入个人信息保护，作为反垄断法保护的起始点，一直是讨论的焦点。市场竞争机制失灵导致的个人信息权益损害，呼吁反垄断法介入解决竞争不足这一深层缘由，通过行为规制的方式，为个人信息提供强化保护。同时，从法益保护目标角度剖析，不管从反垄断法保护竞争还是保护消费者利益、公共利益层面分析，个人信息保护都能为其保护目标内容所涵盖，充分印证反垄断法介入个人信息的保护具有可行性。然而，即便反垄断法介入个人信息的保护具有正当性，但仍面临反垄断法的保护边界模糊、具体保护模式不明等诸多挑战。对此，应从反垄断法的规制逻辑出发，恪守反垄断的谦抑性，以竞争损害作为反垄断法介入的核心条件，构建“个人信息权益损害+竞争损害”二阶损害体系，限定反垄断法保护个人信息的范围。保护模式的选择则应遵循反垄断法行为规制法的性质，依托垄断行为规制，推动构建直接保护与间接保护相结合的双轨制保护模式。诚然，由于篇幅所限，本文仅对反垄断法介入个人信息保护的理据及宏观层面的问题进行了探讨，在实际推进反垄断法保护个人信息的过程中，还有许多细节问题亟待深究，如反垄断法保护个人信息的规范实现、监管层面的应对以及工具层面的革新等，仍待进一步深挖，从而助推反垄断法在个人信息保护领域发挥更大的作用。

Anti-Monopoly Law Protection of Personal Information： Theoretical Evidence， Practical Problems and Solutions

Abstract： As competition around personal information intensifies， the issues of personal information protection and antitrust are gradually intersecting. Whether the protection of personal information can be included in the framework of antitrust analysis is controversial in doctrine and practice. Responding to the practical needs for remedying the damage to personal information rights and interests caused by the failure of the market competition mechanism， as well as the coupling of the protection of personal information and the goal of the protection of anti-monopoly interests， it can be proved that it is necessary and feasible to intervene in the protection of personal information in the anti-monopoly law. However， at present， the anti-monopoly law mainly faces two major problems in protecting personal information at the macro level： how to delineate the scope of personal information infringement under anti-monopoly laws and regulations， and how to choose the mode of personal information protection under the anti-monopoly law. In view of this， it is necessary to construct a second-order damage system of “damage to personal information rights and interests and competition harm” on the premise of damage to personal information rights and interestsand competition harm as the core， delineate the scope of protection of the anti-monopoly law， and build a dual-track protection model that unifies direct protection and indirect protection by relying on the regulation of monopolistic behavior， so as to effectively respond to the urgent needs of personal information protection.

Keywords： Personal Information; Anti-Monopoly Law; Competitive Harm