黃政宗 馮澤華

競爭是市場經(jīng)濟(jì)的重要運行方式。競爭法通過維護(hù)市場競爭而促進(jìn)經(jīng)濟(jì)社會的發(fā)展。在“免費”“共享”的經(jīng)濟(jì)模式中，市場交易的主要標(biāo)的不是具體的商品和服務(wù)，而是使用商品和服務(wù)的“人”以及個人所產(chǎn)生的數(shù)據(jù)信息。用戶數(shù)據(jù)成為互聯(lián)網(wǎng)企業(yè)的“貨幣”。免費網(wǎng)絡(luò)服務(wù)平臺可以通過收集用戶數(shù)據(jù)進(jìn)行交易或者向用戶精準(zhǔn)推送廣告而盈利，其侵犯隱私的程度會超出用戶的可控、可知范圍。用戶要么在不知情的情況下被盜用了個人信息數(shù)據(jù)，要么在知道數(shù)據(jù)風(fēng)險情況下仍無法控制個人信息數(shù)據(jù)被濫用。網(wǎng)絡(luò)諺語稱“免費的才是最貴的”，或許正是喻指免費互聯(lián)網(wǎng)服務(wù)的潛在風(fēng)險。隱私保護(hù)水平?jīng)Q定了網(wǎng)絡(luò)服務(wù)的“服務(wù)質(zhì)量”并已成為互聯(lián)網(wǎng)企業(yè)的重要競爭手段。互聯(lián)網(wǎng)企業(yè)合并過程中，如果一方公司收集的個人數(shù)據(jù)無法獲得另一方公司的隱私政策的保護(hù)，那么合并可能導(dǎo)致個人隱私和個人數(shù)據(jù)的泄露。不同的互聯(lián)網(wǎng)企業(yè)所擁有的用戶數(shù)據(jù)的集中會形成市場支配地位，對個人信息自決權(quán)和市場競爭構(gòu)成威脅。

歐盟競爭法中個人數(shù)據(jù)保護(hù)的實踐探索

從歐盟地區(qū)的法律實踐來看，將個人數(shù)據(jù)保護(hù)納入競爭法規(guī)范領(lǐng)域正在逐步探索中。歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）于2018年5月25日開始實施，是歐盟在收集、使用、訪問、數(shù)據(jù)可攜權(quán)（right to data portability）等方面制定的統(tǒng)一的個人數(shù)據(jù)保護(hù)規(guī)則。以GDPR的通過時間為界限，可以看出歐盟在競爭法中對個人數(shù)據(jù)保護(hù)問題的立場轉(zhuǎn)變。

1.GDPR通過之前。2016年4月14日GDPR通過之前，歐盟在競爭法規(guī)范中排除個人數(shù)據(jù)保護(hù)。在2006年Ansef-Equifax V. Ausbanc一案中，歐洲法院認(rèn)為與個人數(shù)據(jù)保護(hù)有關(guān)的任何問題本質(zhì)上均非競爭法問題，應(yīng)該根據(jù)數(shù)據(jù)保護(hù)的相關(guān)規(guī)定加以解決。[1]在2008年谷歌（Google）與DoubleClick業(yè)務(wù)合并檢查中，歐盟委員會（European Commission）認(rèn)為批準(zhǔn)收購決定不會干擾競爭，但是雙方應(yīng)當(dāng)履行《歐盟基本權(quán)利憲章》（Charter of Fundamental Rights of the European Union）保護(hù)個人隱私的義務(wù)，特別是應(yīng)當(dāng)履行1995年《數(shù)據(jù)保護(hù)指令》（EU Data Protection Directive, Directive 95/46/EC）和2002年《電子通信隱私指令》（Directive on privacy and electronic communications, Directive 2002/58/EC）規(guī)定的義務(wù)。[2]在2014年Facebook收購WhatsApp的企業(yè)合并審查中，歐盟委員會認(rèn)為此次交易雖然可能會使Facebook控制的數(shù)據(jù)集中度增加，但是由此形成的隱私風(fēng)險不在歐盟競爭法的規(guī)制范圍，而是應(yīng)該由歐盟數(shù)據(jù)保護(hù)法規(guī)進(jìn)行規(guī)制。[3]Facebook回復(fù)歐盟委員會質(zhì)詢時指出，F(xiàn)acebook雖然完全控制其與WhatsApp合并成立的全資子公司，不過兩家公司的用戶賬戶之間無法自動匹配，因而不會造成用戶數(shù)據(jù)泄露風(fēng)險。

2.GDPR通過之后。GDPR通過后旋即對競爭法實踐產(chǎn)生明顯影響。在2016年8月，WhatsApp更新了隱私政策，允許Facebook連接WhatsApp的用戶標(biāo)識符（主要是電話號碼）進(jìn)而在線查找用戶的社交關(guān)系網(wǎng)絡(luò)，理由是此舉將有助于改善服務(wù)。歐盟委員會于2016年12月30日向Facebook發(fā)送反對意見書并勒令Facebook支付1.1歐元的罰款。[4]在微軟/LinkedIn企業(yè)合并審查中，歐盟委員會于2016年12月6日批準(zhǔn)了有條件收購的申請。合并的前提是企業(yè)擁有的用戶個人數(shù)據(jù)應(yīng)遵循GDPR進(jìn)行保護(hù)。[5]GDPR加強了用戶對個人數(shù)據(jù)的控制權(quán)利，會限制微軟訪問和處理用戶個人數(shù)據(jù)的權(quán)限。歐盟關(guān)于微軟/LinkedIn企業(yè)合并的審查的決定是歐盟將個人數(shù)據(jù)保護(hù)納入競爭法規(guī)范性構(gòu)成要件的標(biāo)志。

2019年2月6日，德國聯(lián)邦卡特爾辦公室（Bundeskartellamt）針對Facebook的德國子公司違反GDPR和德國《反限制競爭法》第19條的行為，下達(dá)了禁止合并不同來源的用戶數(shù)據(jù)的決定。[6]《根據(jù)德國〈反限制競爭法〉第32條第1款條做出的決定》指出，F(xiàn)acebook強迫用戶接受收集用戶數(shù)據(jù)和cookies的服務(wù)條款的行為違反了GDPR的基本原則和德國《反限制競爭法》第19條第1款的一般性條款，屬于濫用市場支配地位之行為。[7]用戶如果不同意Facebook全面收集和利用數(shù)據(jù)的服務(wù)條款，則無法使用Facebook的服務(wù)。而GDPR第6條第1款規(guī)定，用戶“同意”數(shù)據(jù)管理者處理其個人數(shù)據(jù)之前，應(yīng)當(dāng)清楚數(shù)據(jù)的特定用途或目的。Facebook如果沒有說明數(shù)據(jù)的準(zhǔn)確用途，即使事先聲明了其收集個人數(shù)據(jù)的行為也會被視為違法。

歐盟競爭法中個人數(shù)據(jù)保護(hù)的啟示

歐盟的法律實踐經(jīng)驗表明，在數(shù)字經(jīng)濟(jì)時代個人數(shù)據(jù)保護(hù)與競爭法息息相關(guān)。

1.針對數(shù)字經(jīng)濟(jì)市場構(gòu)建以數(shù)據(jù)可攜權(quán)為根本的法律架構(gòu)。在GDPR通過之前，歐盟競爭法與個人數(shù)據(jù)保護(hù)法之間缺乏底層法律架構(gòu)。數(shù)據(jù)保護(hù)法的目標(biāo)之一是消除數(shù)據(jù)管理者和數(shù)據(jù)主體之間的力量不對稱，確保兩者之間利益的適當(dāng)平衡。為了保護(hù)信息自決權(quán)（informational self-determination）這一基本權(quán)利，數(shù)據(jù)保護(hù)法賦予個人自由而不受強制地決定個人數(shù)據(jù)的權(quán)利。但是，信息自決權(quán)受到數(shù)據(jù)管理者的限制。

數(shù)據(jù)可攜權(quán)（Right to data portability）是GDPR第20條新創(chuàng)的個人數(shù)據(jù)權(quán)利，旨在保障個人數(shù)據(jù)高效、安全地在不同數(shù)據(jù)管理者之間傳輸。數(shù)據(jù)主體在不損害他人權(quán)利和自由的前提下，有權(quán)直接將個人數(shù)據(jù)從一個數(shù)據(jù)管理者轉(zhuǎn)移到另一個數(shù)據(jù)管理者。該權(quán)利的行為不得違反公共利益或者國家賦予特定數(shù)據(jù)管理者的職權(quán)范圍。數(shù)據(jù)可攜性的前提是數(shù)據(jù)無障礙傳輸，即數(shù)據(jù)管理者必須為用戶提供常用的、結(jié)構(gòu)化的、機(jī)器可讀的數(shù)據(jù)格式。目前在歐美發(fā)達(dá)國家，數(shù)據(jù)可攜權(quán)已經(jīng)成為個人數(shù)據(jù)保護(hù)的一項基礎(chǔ)性權(quán)利。2020年1月1日起生效的美國《2018年加州消費者隱私法案》（California Consumer Privacy Act of 2018, CCPA）要求掌握超過5萬人信息的企業(yè)，應(yīng)根據(jù)用戶申請而免費提供用戶自身的數(shù)據(jù)信息。用戶可以隨時通過電子郵件、手機(jī)通信等可能的途徑獲得本人的信息數(shù)據(jù)，而企業(yè)有義務(wù)配合用戶的查詢申請。另外，CCPA特別強調(diào)了用戶獲得的本人數(shù)據(jù)必須是允許用戶隨時可用并無障礙轉(zhuǎn)移的格式，即個人數(shù)據(jù)應(yīng)當(dāng)具有可攜性（portability）。[8]

第29條數(shù)據(jù)保護(hù)工作組（Article 29 Working Party）公布的《關(guān)于數(shù)據(jù)可攜權(quán)的指南》（Guidelines on the right to “data portability”）[9]中提出，數(shù)據(jù)可攜權(quán)支持個人數(shù)據(jù)在不同的數(shù)據(jù)管理者之間自由流動，從而促進(jìn)競爭、提高數(shù)據(jù)服務(wù)質(zhì)量。用戶數(shù)據(jù)是網(wǎng)絡(luò)服務(wù)平臺生存發(fā)展之基，互聯(lián)網(wǎng)企業(yè)需要提供更人性化的服務(wù)以吸引用戶、獲得更多可攜數(shù)據(jù)。數(shù)據(jù)可攜權(quán)是數(shù)據(jù)主體有權(quán)獲取由數(shù)據(jù)管理者收集的有關(guān)個人的信息數(shù)據(jù)，以機(jī)器可讀的方式保存并用于個人用途?？梢?，數(shù)據(jù)可攜權(quán)超越了傳統(tǒng)的數(shù)據(jù)訪問權(quán)，增加了個人保存、轉(zhuǎn)移、使用等相關(guān)權(quán)利。例如，當(dāng)數(shù)據(jù)主體在一個音樂平臺上獲得了音樂作品著作權(quán)許可，他有權(quán)在另一個音樂平臺上使用。數(shù)據(jù)可攜權(quán)有助于增強數(shù)據(jù)管理者之間的安全共享途徑，防止數(shù)據(jù)領(lǐng)域的“圈地運動”。

2.賦予數(shù)據(jù)主體個人對“用戶畫像”的拒絕權(quán)。數(shù)據(jù)可攜權(quán)保障個人信息自決權(quán)的作用無可置疑，但是對市場競爭的潛在影響仍是未知數(shù)。數(shù)據(jù)可攜權(quán)允許數(shù)據(jù)以通用格式在不同的數(shù)據(jù)管理者之間流通，如同貨幣一樣。數(shù)據(jù)主體可以根據(jù)自己的需要選擇個人數(shù)據(jù)的管理者，而不必受限于特定的網(wǎng)絡(luò)服務(wù)商。一方面，如果數(shù)據(jù)不可自由流動，必然強化用戶對特定網(wǎng)絡(luò)平臺服務(wù)商的數(shù)據(jù)依賴，從而提高市場的準(zhǔn)入門檻，限制新競爭者的進(jìn)入。網(wǎng)絡(luò)服務(wù)市場的壟斷企業(yè)可以聲稱數(shù)據(jù)以加密格式存儲在特定設(shè)備，拒絕用戶的訪問、提取或轉(zhuǎn)移。此類行為違背了《歐洲聯(lián)盟條約》（Treaty on European Union)第119條中自由競爭的開放市場原則。按此邏輯，數(shù)據(jù)可攜權(quán)將有利于打破數(shù)據(jù)準(zhǔn)入壁壘，促進(jìn)行業(yè)公平競爭。另一方面，數(shù)據(jù)可攜權(quán)允許用戶自由地把個人數(shù)據(jù)從中小型互聯(lián)網(wǎng)公司轉(zhuǎn)移至大型互聯(lián)網(wǎng)公司之中，可能會增加中小型互聯(lián)網(wǎng)公司的經(jīng)營成本和市場風(fēng)險，損害市場競爭。大型數(shù)據(jù)管理者可以憑借優(yōu)勢地位對中小型數(shù)據(jù)管理者進(jìn)行“數(shù)據(jù)掠奪”，中小型數(shù)據(jù)管理者則缺乏數(shù)據(jù)壁壘的緩沖和保護(hù)而處于競爭弱勢地位。數(shù)據(jù)壁壘既可能阻礙數(shù)據(jù)流動、強化數(shù)據(jù)壟斷，也可能在某種程度上保護(hù)中小型數(shù)據(jù)管理者的持續(xù)經(jīng)營和創(chuàng)新動力。數(shù)據(jù)可攜權(quán)雖然打破數(shù)據(jù)壁壘，但沒有消除大型數(shù)據(jù)管理者濫用市場支配地位、侵犯個人隱私的可能性。從數(shù)據(jù)掠奪的角度看，數(shù)據(jù)的自由流動甚至可能有助于大型數(shù)據(jù)管理者的數(shù)據(jù)集中戰(zhàn)略。大型的互聯(lián)網(wǎng)企業(yè)可能憑借其市場優(yōu)勢地位收集到更多可攜數(shù)據(jù)，從而生成更準(zhǔn)確的“用戶畫像”（profiling）并為用戶編織“信息繭房”（information cocoons）。

數(shù)據(jù)集中帶來的各種各樣的隱私風(fēng)險。比如Facebook/WhatsApp擅自改變隱私策略使用戶數(shù)據(jù)集中并生成“用戶畫像”。根據(jù)GDPR第4條（4）項的定義，“用戶畫像”是指數(shù)據(jù)管理者通過任何形式自動處理的個人數(shù)據(jù)生成的個人形象。這些個人數(shù)據(jù)主要是指可用于分析和預(yù)測自然人在工作、經(jīng)濟(jì)地位、健康、個人傾向、興趣愛好、可信度、行為、地點或行動方面的特定數(shù)據(jù)?！坝脩舢嬒瘛蹦転橛脩籼峁└憬萦行У木W(wǎng)絡(luò)服務(wù)，同時也可能導(dǎo)致隱私泄露，威脅到人類的精神自由和行動自由。因此，GDPR第21條賦予數(shù)據(jù)主體拒絕數(shù)據(jù)管理者處理個人數(shù)據(jù)的權(quán)利，第22條更是直接賦予用戶拒絕“用戶畫像”的個人數(shù)據(jù)自動化處理服務(wù)的權(quán)利。數(shù)據(jù)管理者如果不保護(hù)數(shù)據(jù)主體拒絕處理個人數(shù)據(jù)的要求，將會違反GDPR的規(guī)定而受到處罰。

3.嚴(yán)格區(qū)分個人數(shù)據(jù)和非個人數(shù)據(jù)。數(shù)據(jù)壁壘是企業(yè)為了維護(hù)競爭優(yōu)勢和市場地位而主動設(shè)置的行業(yè)準(zhǔn)入障礙，不僅涉及數(shù)據(jù)的技術(shù)壁壘，而且包含了法律方面的準(zhǔn)入障礙。數(shù)據(jù)的技術(shù)壁壘首先體現(xiàn)在技術(shù)的研發(fā)成本上。在市場競爭層面，大型企業(yè)等數(shù)據(jù)管理者在算法、大數(shù)據(jù)、機(jī)器學(xué)習(xí)等方面具備尖端的技術(shù)研發(fā)能力，可以不斷提高行業(yè)的技術(shù)壁壘，從而提高行業(yè)的市場準(zhǔn)入門檻。資金實力有限的企業(yè)將無法持續(xù)參與技術(shù)競賽而被迫退出市場。再者，不同的數(shù)據(jù)管理者采取了不同的數(shù)字設(shè)備和數(shù)據(jù)存儲標(biāo)準(zhǔn)，使得數(shù)據(jù)可攜權(quán)缺乏統(tǒng)一硬件和軟件標(biāo)準(zhǔn)。當(dāng)個人數(shù)據(jù)與特定數(shù)字設(shè)備或者數(shù)據(jù)存儲標(biāo)準(zhǔn)捆綁的時候，用戶將會喪失對個人數(shù)據(jù)的控制能力。數(shù)據(jù)管理者可以設(shè)備不兼容為由拒絕個人數(shù)據(jù)的流動，或者為用戶提供標(biāo)準(zhǔn)不兼容的個人數(shù)據(jù)。從數(shù)據(jù)壁壘的法律方面看，雖然競爭法反對數(shù)據(jù)管理者的市場壟斷行為，但是法律也保護(hù)企業(yè)商業(yè)秘密和數(shù)據(jù)所有權(quán)。個人數(shù)據(jù)是用戶在使用企業(yè)的產(chǎn)品或服務(wù)之后產(chǎn)生的。當(dāng)該產(chǎn)品或服務(wù)免費時，企業(yè)會將收集到的所有數(shù)據(jù)視為私有財產(chǎn)或者商業(yè)秘密。不可否認(rèn)，越來越多的產(chǎn)品、服務(wù)以數(shù)據(jù)為載體，與用戶個人數(shù)據(jù)混合在一起。此時，企業(yè)可以商業(yè)秘密或數(shù)據(jù)財產(chǎn)的理由掩飾其對個人數(shù)據(jù)的濫用，而法律需要在企業(yè)商業(yè)秘密、數(shù)據(jù)財產(chǎn)與個人數(shù)據(jù)可攜權(quán)之間進(jìn)行艱難的法益權(quán)衡。

為了避免數(shù)據(jù)可攜權(quán)可能造成的負(fù)面影響，歐盟對個人數(shù)據(jù)與非個人數(shù)據(jù)（non-personal data）采取了嚴(yán)格區(qū)分。從技術(shù)角度看，可攜之?dāng)?shù)據(jù)不僅包括個人數(shù)據(jù)，還包括非個人數(shù)據(jù)。個人數(shù)據(jù)可攜權(quán)的權(quán)利主體是自然人，而政府、企業(yè)等法人單位則是數(shù)據(jù)可攜權(quán)的義務(wù)主體。非個人數(shù)據(jù)可攜權(quán)的權(quán)利主體則主要是政府、企業(yè)等法人單位?！稓W盟非個人數(shù)據(jù)自由流動框架》（A framework for the free flow of non-personal data in the European Union）指 出，非個人數(shù)據(jù)主要來源于不斷擴(kuò)大的物聯(lián)網(wǎng)、人工智能和機(jī)器學(xué)習(xí)，將有利于推動工業(yè)自動化生產(chǎn)、農(nóng)業(yè)自動化、工業(yè)機(jī)器維護(hù)等領(lǐng)域的技術(shù)進(jìn)步。歐盟在非個人數(shù)據(jù)領(lǐng)域制定的明確、全面和可預(yù)測的法律框架，可以促進(jìn)非個人數(shù)據(jù)的自由流動，發(fā)展數(shù)字經(jīng)濟(jì)和提高歐盟的產(chǎn)業(yè)競爭力。

現(xiàn)實中，數(shù)據(jù)管理者由于設(shè)備的特殊性或者出于利用數(shù)據(jù)壁壘保護(hù)自身利益的目的，收集了大量的混合數(shù)據(jù)，以此規(guī)避個人數(shù)據(jù)保護(hù)的監(jiān)管。例如，自動駕駛汽車既包含了乘客的個人活動軌跡，又含有汽車設(shè)備運行的數(shù)據(jù)。如果不嚴(yán)格區(qū)分個人數(shù)據(jù)和非個人數(shù)據(jù)，那么自動駕駛汽車的數(shù)據(jù)管理者可以非個人數(shù)據(jù)的名義間接收集并非法使用大量的個人數(shù)據(jù)。對此，歐盟委員會指出，只要匿名的數(shù)據(jù)集可能通過技術(shù)手段轉(zhuǎn)化為個人數(shù)據(jù)或形成用戶畫像，則此類數(shù)據(jù)即屬于個人數(shù)據(jù)并根據(jù)GDPR規(guī)則進(jìn)行保護(hù)。除此之外的數(shù)據(jù)則歸屬于非個人數(shù)據(jù)。[10]企業(yè)把個人數(shù)據(jù)與非個人數(shù)據(jù)混同的行為，將導(dǎo)致企業(yè)所擁有的數(shù)據(jù)均被視為個人數(shù)據(jù)并應(yīng)當(dāng)允許隨時訪問，使其知識產(chǎn)權(quán)和商業(yè)秘密暴露給所有數(shù)據(jù)主體，顯然不利于企業(yè)自身利益。企業(yè)的最佳選擇只能是嚴(yán)格區(qū)分個人數(shù)據(jù)與非個人數(shù)據(jù)，把個人數(shù)據(jù)獨立保存并以通用格式隨時提供給數(shù)據(jù)主體。因此，歐盟通過明確并擴(kuò)大個人數(shù)據(jù)的概念內(nèi)涵，增進(jìn)數(shù)據(jù)主體的權(quán)利和自由，強化對數(shù)據(jù)集中行為的監(jiān)管，從而有效避免數(shù)據(jù)管理者以混合數(shù)據(jù)的形式逃避監(jiān)管。