黃政宗 馮澤華

競爭是市場經濟的重要運行方式。競爭法通過維護市場競爭而促進經濟社會的發(fā)展。在“免費”“共享”的經濟模式中，市場交易的主要標的不是具體的商品和服務，而是使用商品和服務的“人”以及個人所產生的數(shù)據(jù)信息。用戶數(shù)據(jù)成為互聯(lián)網企業(yè)的“貨幣”。免費網絡服務平臺可以通過收集用戶數(shù)據(jù)進行交易或者向用戶精準推送廣告而盈利，其侵犯隱私的程度會超出用戶的可控、可知范圍。用戶要么在不知情的情況下被盜用了個人信息數(shù)據(jù)，要么在知道數(shù)據(jù)風險情況下仍無法控制個人信息數(shù)據(jù)被濫用。網絡諺語稱“免費的才是最貴的”，或許正是喻指免費互聯(lián)網服務的潛在風險。隱私保護水平決定了網絡服務的“服務質量”并已成為互聯(lián)網企業(yè)的重要競爭手段?；ヂ?lián)網企業(yè)合并過程中，如果一方公司收集的個人數(shù)據(jù)無法獲得另一方公司的隱私政策的保護，那么合并可能導致個人隱私和個人數(shù)據(jù)的泄露。不同的互聯(lián)網企業(yè)所擁有的用戶數(shù)據(jù)的集中會形成市場支配地位，對個人信息自決權和市場競爭構成威脅。

歐盟競爭法中個人數(shù)據(jù)保護的實踐探索

從歐盟地區(qū)的法律實踐來看，將個人數(shù)據(jù)保護納入競爭法規(guī)范領域正在逐步探索中。歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）于2018年5月25日開始實施，是歐盟在收集、使用、訪問、數(shù)據(jù)可攜權（right to data portability）等方面制定的統(tǒng)一的個人數(shù)據(jù)保護規(guī)則。以GDPR的通過時間為界限，可以看出歐盟在競爭法中對個人數(shù)據(jù)保護問題的立場轉變。

1.GDPR通過之前。2016年4月14日GDPR通過之前，歐盟在競爭法規(guī)范中排除個人數(shù)據(jù)保護。在2006年Ansef-Equifax V. Ausbanc一案中，歐洲法院認為與個人數(shù)據(jù)保護有關的任何問題本質上均非競爭法問題，應該根據(jù)數(shù)據(jù)保護的相關規(guī)定加以解決。[1]在2008年谷歌（Google）與DoubleClick業(yè)務合并檢查中，歐盟委員會（European Commission）認為批準收購決定不會干擾競爭，但是雙方應當履行《歐盟基本權利憲章》（Charter of Fundamental Rights of the European Union）保護個人隱私的義務，特別是應當履行1995年《數(shù)據(jù)保護指令》（EU Data Protection Directive, Directive 95/46/EC）和2002年《電子通信隱私指令》（Directive on privacy and electronic communications, Directive 2002/58/EC）規(guī)定的義務。[2]在2014年Facebook收購WhatsApp的企業(yè)合并審查中，歐盟委員會認為此次交易雖然可能會使Facebook控制的數(shù)據(jù)集中度增加，但是由此形成的隱私風險不在歐盟競爭法的規(guī)制范圍，而是應該由歐盟數(shù)據(jù)保護法規(guī)進行規(guī)制。[3]Facebook回復歐盟委員會質詢時指出，F(xiàn)acebook雖然完全控制其與WhatsApp合并成立的全資子公司，不過兩家公司的用戶賬戶之間無法自動匹配，因而不會造成用戶數(shù)據(jù)泄露風險。

2.GDPR通過之后。GDPR通過后旋即對競爭法實踐產生明顯影響。在2016年8月，WhatsApp更新了隱私政策，允許Facebook連接WhatsApp的用戶標識符（主要是電話號碼）進而在線查找用戶的社交關系網絡，理由是此舉將有助于改善服務。歐盟委員會于2016年12月30日向Facebook發(fā)送反對意見書并勒令Facebook支付1.1歐元的罰款。[4]在微軟/LinkedIn企業(yè)合并審查中，歐盟委員會于2016年12月6日批準了有條件收購的申請。合并的前提是企業(yè)擁有的用戶個人數(shù)據(jù)應遵循GDPR進行保護。[5]GDPR加強了用戶對個人數(shù)據(jù)的控制權利，會限制微軟訪問和處理用戶個人數(shù)據(jù)的權限。歐盟關于微軟/LinkedIn企業(yè)合并的審查的決定是歐盟將個人數(shù)據(jù)保護納入競爭法規(guī)范性構成要件的標志。

2019年2月6日，德國聯(lián)邦卡特爾辦公室（Bundeskartellamt）針對Facebook的德國子公司違反GDPR和德國《反限制競爭法》第19條的行為，下達了禁止合并不同來源的用戶數(shù)據(jù)的決定。[6]《根據(jù)德國〈反限制競爭法〉第32條第1款條做出的決定》指出，F(xiàn)acebook強迫用戶接受收集用戶數(shù)據(jù)和cookies的服務條款的行為違反了GDPR的基本原則和德國《反限制競爭法》第19條第1款的一般性條款，屬于濫用市場支配地位之行為。[7]用戶如果不同意Facebook全面收集和利用數(shù)據(jù)的服務條款，則無法使用Facebook的服務。而GDPR第6條第1款規(guī)定，用戶“同意”數(shù)據(jù)管理者處理其個人數(shù)據(jù)之前，應當清楚數(shù)據(jù)的特定用途或目的。Facebook如果沒有說明數(shù)據(jù)的準確用途，即使事先聲明了其收集個人數(shù)據(jù)的行為也會被視為違法。

歐盟競爭法中個人數(shù)據(jù)保護的啟示

歐盟的法律實踐經驗表明，在數(shù)字經濟時代個人數(shù)據(jù)保護與競爭法息息相關。

1.針對數(shù)字經濟市場構建以數(shù)據(jù)可攜權為根本的法律架構。在GDPR通過之前，歐盟競爭法與個人數(shù)據(jù)保護法之間缺乏底層法律架構。數(shù)據(jù)保護法的目標之一是消除數(shù)據(jù)管理者和數(shù)據(jù)主體之間的力量不對稱，確保兩者之間利益的適當平衡。為了保護信息自決權（informational self-determination）這一基本權利，數(shù)據(jù)保護法賦予個人自由而不受強制地決定個人數(shù)據(jù)的權利。但是，信息自決權受到數(shù)據(jù)管理者的限制。

數(shù)據(jù)可攜權（Right to data portability）是GDPR第20條新創(chuàng)的個人數(shù)據(jù)權利，旨在保障個人數(shù)據(jù)高效、安全地在不同數(shù)據(jù)管理者之間傳輸。數(shù)據(jù)主體在不損害他人權利和自由的前提下，有權直接將個人數(shù)據(jù)從一個數(shù)據(jù)管理者轉移到另一個數(shù)據(jù)管理者。該權利的行為不得違反公共利益或者國家賦予特定數(shù)據(jù)管理者的職權范圍。數(shù)據(jù)可攜性的前提是數(shù)據(jù)無障礙傳輸，即數(shù)據(jù)管理者必須為用戶提供常用的、結構化的、機器可讀的數(shù)據(jù)格式。目前在歐美發(fā)達國家，數(shù)據(jù)可攜權已經成為個人數(shù)據(jù)保護的一項基礎性權利。2020年1月1日起生效的美國《2018年加州消費者隱私法案》（California Consumer Privacy Act of 2018, CCPA）要求掌握超過5萬人信息的企業(yè)，應根據(jù)用戶申請而免費提供用戶自身的數(shù)據(jù)信息。用戶可以隨時通過電子郵件、手機通信等可能的途徑獲得本人的信息數(shù)據(jù)，而企業(yè)有義務配合用戶的查詢申請。另外，CCPA特別強調了用戶獲得的本人數(shù)據(jù)必須是允許用戶隨時可用并無障礙轉移的格式，即個人數(shù)據(jù)應當具有可攜性（portability）。[8]

第29條數(shù)據(jù)保護工作組（Article 29 Working Party）公布的《關于數(shù)據(jù)可攜權的指南》（Guidelines on the right to “data portability”）[9]中提出，數(shù)據(jù)可攜權支持個人數(shù)據(jù)在不同的數(shù)據(jù)管理者之間自由流動，從而促進競爭、提高數(shù)據(jù)服務質量。用戶數(shù)據(jù)是網絡服務平臺生存發(fā)展之基，互聯(lián)網企業(yè)需要提供更人性化的服務以吸引用戶、獲得更多可攜數(shù)據(jù)。數(shù)據(jù)可攜權是數(shù)據(jù)主體有權獲取由數(shù)據(jù)管理者收集的有關個人的信息數(shù)據(jù)，以機器可讀的方式保存并用于個人用途?？梢姡瑪?shù)據(jù)可攜權超越了傳統(tǒng)的數(shù)據(jù)訪問權，增加了個人保存、轉移、使用等相關權利。例如，當數(shù)據(jù)主體在一個音樂平臺上獲得了音樂作品著作權許可，他有權在另一個音樂平臺上使用。數(shù)據(jù)可攜權有助于增強數(shù)據(jù)管理者之間的安全共享途徑，防止數(shù)據(jù)領域的“圈地運動”。

2.賦予數(shù)據(jù)主體個人對“用戶畫像”的拒絕權。數(shù)據(jù)可攜權保障個人信息自決權的作用無可置疑，但是對市場競爭的潛在影響仍是未知數(shù)。數(shù)據(jù)可攜權允許數(shù)據(jù)以通用格式在不同的數(shù)據(jù)管理者之間流通，如同貨幣一樣。數(shù)據(jù)主體可以根據(jù)自己的需要選擇個人數(shù)據(jù)的管理者，而不必受限于特定的網絡服務商。一方面，如果數(shù)據(jù)不可自由流動，必然強化用戶對特定網絡平臺服務商的數(shù)據(jù)依賴，從而提高市場的準入門檻，限制新競爭者的進入。網絡服務市場的壟斷企業(yè)可以聲稱數(shù)據(jù)以加密格式存儲在特定設備，拒絕用戶的訪問、提取或轉移。此類行為違背了《歐洲聯(lián)盟條約》（Treaty on European Union)第119條中自由競爭的開放市場原則。按此邏輯，數(shù)據(jù)可攜權將有利于打破數(shù)據(jù)準入壁壘，促進行業(yè)公平競爭。另一方面，數(shù)據(jù)可攜權允許用戶自由地把個人數(shù)據(jù)從中小型互聯(lián)網公司轉移至大型互聯(lián)網公司之中，可能會增加中小型互聯(lián)網公司的經營成本和市場風險，損害市場競爭。大型數(shù)據(jù)管理者可以憑借優(yōu)勢地位對中小型數(shù)據(jù)管理者進行“數(shù)據(jù)掠奪”，中小型數(shù)據(jù)管理者則缺乏數(shù)據(jù)壁壘的緩沖和保護而處于競爭弱勢地位。數(shù)據(jù)壁壘既可能阻礙數(shù)據(jù)流動、強化數(shù)據(jù)壟斷，也可能在某種程度上保護中小型數(shù)據(jù)管理者的持續(xù)經營和創(chuàng)新動力。數(shù)據(jù)可攜權雖然打破數(shù)據(jù)壁壘，但沒有消除大型數(shù)據(jù)管理者濫用市場支配地位、侵犯個人隱私的可能性。從數(shù)據(jù)掠奪的角度看，數(shù)據(jù)的自由流動甚至可能有助于大型數(shù)據(jù)管理者的數(shù)據(jù)集中戰(zhàn)略。大型的互聯(lián)網企業(yè)可能憑借其市場優(yōu)勢地位收集到更多可攜數(shù)據(jù)，從而生成更準確的“用戶畫像”（profiling）并為用戶編織“信息繭房”（information cocoons）。

數(shù)據(jù)集中帶來的各種各樣的隱私風險。比如Facebook/WhatsApp擅自改變隱私策略使用戶數(shù)據(jù)集中并生成“用戶畫像”。根據(jù)GDPR第4條（4）項的定義，“用戶畫像”是指數(shù)據(jù)管理者通過任何形式自動處理的個人數(shù)據(jù)生成的個人形象。這些個人數(shù)據(jù)主要是指可用于分析和預測自然人在工作、經濟地位、健康、個人傾向、興趣愛好、可信度、行為、地點或行動方面的特定數(shù)據(jù)?！坝脩舢嬒瘛蹦転橛脩籼峁└憬萦行У木W絡服務，同時也可能導致隱私泄露，威脅到人類的精神自由和行動自由。因此，GDPR第21條賦予數(shù)據(jù)主體拒絕數(shù)據(jù)管理者處理個人數(shù)據(jù)的權利，第22條更是直接賦予用戶拒絕“用戶畫像”的個人數(shù)據(jù)自動化處理服務的權利。數(shù)據(jù)管理者如果不保護數(shù)據(jù)主體拒絕處理個人數(shù)據(jù)的要求，將會違反GDPR的規(guī)定而受到處罰。

3.嚴格區(qū)分個人數(shù)據(jù)和非個人數(shù)據(jù)。數(shù)據(jù)壁壘是企業(yè)為了維護競爭優(yōu)勢和市場地位而主動設置的行業(yè)準入障礙，不僅涉及數(shù)據(jù)的技術壁壘，而且包含了法律方面的準入障礙。數(shù)據(jù)的技術壁壘首先體現(xiàn)在技術的研發(fā)成本上。在市場競爭層面，大型企業(yè)等數(shù)據(jù)管理者在算法、大數(shù)據(jù)、機器學習等方面具備尖端的技術研發(fā)能力，可以不斷提高行業(yè)的技術壁壘，從而提高行業(yè)的市場準入門檻。資金實力有限的企業(yè)將無法持續(xù)參與技術競賽而被迫退出市場。再者，不同的數(shù)據(jù)管理者采取了不同的數(shù)字設備和數(shù)據(jù)存儲標準，使得數(shù)據(jù)可攜權缺乏統(tǒng)一硬件和軟件標準。當個人數(shù)據(jù)與特定數(shù)字設備或者數(shù)據(jù)存儲標準捆綁的時候，用戶將會喪失對個人數(shù)據(jù)的控制能力。數(shù)據(jù)管理者可以設備不兼容為由拒絕個人數(shù)據(jù)的流動，或者為用戶提供標準不兼容的個人數(shù)據(jù)。從數(shù)據(jù)壁壘的法律方面看，雖然競爭法反對數(shù)據(jù)管理者的市場壟斷行為，但是法律也保護企業(yè)商業(yè)秘密和數(shù)據(jù)所有權。個人數(shù)據(jù)是用戶在使用企業(yè)的產品或服務之后產生的。當該產品或服務免費時，企業(yè)會將收集到的所有數(shù)據(jù)視為私有財產或者商業(yè)秘密。不可否認，越來越多的產品、服務以數(shù)據(jù)為載體，與用戶個人數(shù)據(jù)混合在一起。此時，企業(yè)可以商業(yè)秘密或數(shù)據(jù)財產的理由掩飾其對個人數(shù)據(jù)的濫用，而法律需要在企業(yè)商業(yè)秘密、數(shù)據(jù)財產與個人數(shù)據(jù)可攜權之間進行艱難的法益權衡。

為了避免數(shù)據(jù)可攜權可能造成的負面影響，歐盟對個人數(shù)據(jù)與非個人數(shù)據(jù)（non-personal data）采取了嚴格區(qū)分。從技術角度看，可攜之數(shù)據(jù)不僅包括個人數(shù)據(jù)，還包括非個人數(shù)據(jù)。個人數(shù)據(jù)可攜權的權利主體是自然人，而政府、企業(yè)等法人單位則是數(shù)據(jù)可攜權的義務主體。非個人數(shù)據(jù)可攜權的權利主體則主要是政府、企業(yè)等法人單位?！稓W盟非個人數(shù)據(jù)自由流動框架》（A framework for the free flow of non-personal data in the European Union）指 出，非個人數(shù)據(jù)主要來源于不斷擴大的物聯(lián)網、人工智能和機器學習，將有利于推動工業(yè)自動化生產、農業(yè)自動化、工業(yè)機器維護等領域的技術進步。歐盟在非個人數(shù)據(jù)領域制定的明確、全面和可預測的法律框架，可以促進非個人數(shù)據(jù)的自由流動，發(fā)展數(shù)字經濟和提高歐盟的產業(yè)競爭力。

現(xiàn)實中，數(shù)據(jù)管理者由于設備的特殊性或者出于利用數(shù)據(jù)壁壘保護自身利益的目的，收集了大量的混合數(shù)據(jù)，以此規(guī)避個人數(shù)據(jù)保護的監(jiān)管。例如，自動駕駛汽車既包含了乘客的個人活動軌跡，又含有汽車設備運行的數(shù)據(jù)。如果不嚴格區(qū)分個人數(shù)據(jù)和非個人數(shù)據(jù)，那么自動駕駛汽車的數(shù)據(jù)管理者可以非個人數(shù)據(jù)的名義間接收集并非法使用大量的個人數(shù)據(jù)。對此，歐盟委員會指出，只要匿名的數(shù)據(jù)集可能通過技術手段轉化為個人數(shù)據(jù)或形成用戶畫像，則此類數(shù)據(jù)即屬于個人數(shù)據(jù)并根據(jù)GDPR規(guī)則進行保護。除此之外的數(shù)據(jù)則歸屬于非個人數(shù)據(jù)。[10]企業(yè)把個人數(shù)據(jù)與非個人數(shù)據(jù)混同的行為，將導致企業(yè)所擁有的數(shù)據(jù)均被視為個人數(shù)據(jù)并應當允許隨時訪問，使其知識產權和商業(yè)秘密暴露給所有數(shù)據(jù)主體，顯然不利于企業(yè)自身利益。企業(yè)的最佳選擇只能是嚴格區(qū)分個人數(shù)據(jù)與非個人數(shù)據(jù)，把個人數(shù)據(jù)獨立保存并以通用格式隨時提供給數(shù)據(jù)主體。因此，歐盟通過明確并擴大個人數(shù)據(jù)的概念內涵，增進數(shù)據(jù)主體的權利和自由，強化對數(shù)據(jù)集中行為的監(jiān)管，從而有效避免數(shù)據(jù)管理者以混合數(shù)據(jù)的形式逃避監(jiān)管。