王宇欣（中南財經(jīng)政法大學 法學院，湖北 武漢 430073）

一、引言

當數(shù)據(jù)僅僅作為“使用某種語法接收或感知的數(shù)字表示”而存在時，其本身并不具備任何經(jīng)濟價值。然而在大數(shù)據(jù)時代，隨著個人數(shù)據(jù)被無時無刻收集、分析，并被廣泛應用于信息推送、廣告推薦等經(jīng)濟行為后，經(jīng)過處理的數(shù)據(jù)實質(zhì)上已具備一定的貨幣化趨勢與經(jīng)濟價值。出于經(jīng)濟利益的考量，有能力的平臺企業(yè)就會傾向于收集更多用戶數(shù)據(jù)，通過技術(shù)處理將其轉(zhuǎn)化為企業(yè)收益。用戶數(shù)據(jù)作為用戶在網(wǎng)絡(luò)上行為的直觀反映，其本身攜帶大量的個人隱私印記，而平臺在收集與分析大量用戶數(shù)據(jù)后，利用算法針對性施行的“大數(shù)據(jù)殺熟”“個性化推送”等行為，已然將用戶數(shù)據(jù)的利用異化為一種壓榨消費者剩余、剝削消費者福利的不正當手段。因此，對用戶數(shù)據(jù)進行保護迫在眉睫。今年8月施行的新《反壟斷法》分別在總則與分則中增設(shè)數(shù)字平臺反壟斷專項條款，對經(jīng)營者“利用數(shù)據(jù)和算法、技術(shù)以及平臺規(guī)則等”從事的壟斷行為進行明確規(guī)制，這代表平臺對用戶數(shù)據(jù)的收集行為應存在“度”的把握。平臺出于正常經(jīng)營與服務(wù)需求的用戶數(shù)據(jù)收集行為應符合一定實體與程序要件，以回應法律對其行為正當性與合理性的要求。我國現(xiàn)行法律體系中，存在以《個人信息保護法》為代表的常態(tài)化個人數(shù)據(jù)法律體系保護機制，以及以《反壟斷法》為主要規(guī)制工具的個人數(shù)據(jù)非常態(tài)化保護機制。目前鮮少有學者從《個人信息保護法》與《反壟斷法》的協(xié)調(diào)關(guān)系出發(fā)，對個人信息保護的完善進路進行系統(tǒng)論證。同時，現(xiàn)有文獻的研究重點也多集中于如何規(guī)制平臺企業(yè)行為，缺乏基于用戶權(quán)益保障視角下對多方因素的全面省思。由是，本文擬以用戶權(quán)益保障作為視角，以《個人信息保護法》與《反壟斷法》的協(xié)調(diào)為切入，探求平臺數(shù)據(jù)收集行為的用戶權(quán)益保障體系之建構(gòu)路徑。

二、反壟斷法視域下對用戶數(shù)據(jù)不當收集行為的非常態(tài)法律規(guī)制審視

（一）平臺對用戶數(shù)據(jù)不當收集行為的可規(guī)制性

對于用戶數(shù)據(jù)，超級數(shù)字平臺一般采取“獲得→利用→限制→強化”的方式，在不斷提升自身競爭優(yōu)勢的同時，削弱甚至限制其他平臺獲取有關(guān)數(shù)據(jù)的途徑與能力，進而造成對用戶數(shù)據(jù)進行剝削性濫用的可能后果。對于過度收集用戶隱私數(shù)據(jù)的行為所造成的競爭損害后果，可以從排除限制競爭效果以及創(chuàng)新?lián)p害后果兩方面進行分析。

1.過度收集用戶隱私行為具有排他性效果

過度收集用戶隱私行為在表面上并不會造成排除限制競爭的效果，但實則不然。由于數(shù)據(jù)具有非排他性，用戶的個人數(shù)據(jù)可以同時或先后被多個數(shù)據(jù)服務(wù)商獲取利用。但用戶對于個人數(shù)據(jù)的授權(quán)使用情況會隨著軟件的使用反饋、獲得的成本收益分析以及對于隱私泄露的擔憂等因素不斷變化，具有一定的主觀性與不確定性。在此情形下，越早獲取數(shù)據(jù)的運營商就將獲得更多的競爭優(yōu)勢。由此，數(shù)據(jù)服務(wù)商就會傾向于在用戶授權(quán)階段盡可能多地收集用戶數(shù)據(jù)。雖然數(shù)據(jù)具有非排他性，但收集隱私數(shù)據(jù)的行為和能力具有排他性效果[1]67，故此種行為能否被反壟斷法規(guī)制的關(guān)鍵就在于其實施程度是否滿足排除限制競爭效果。

從數(shù)據(jù)驅(qū)動型企業(yè)對于數(shù)據(jù)的使用方式出發(fā)可以更好地考察行為的競爭損害后果。經(jīng)營者對于用戶數(shù)據(jù)的使用方式一般分為兩種：直接使用與間接使用。前者通過用戶畫像給用戶推送專屬定制廣告從而獲取收益，而后者則通過明確不同的用戶需求提供個性化服務(wù)，從而穩(wěn)定用戶群體，獲得長遠發(fā)展的動力。通過直接使用用戶數(shù)據(jù)而獲取廣告收益，實質(zhì)上是將無經(jīng)濟屬性的用戶數(shù)據(jù)轉(zhuǎn)化為了現(xiàn)實的經(jīng)濟利益，用戶接受廣告是為其免費獲取有關(guān)服務(wù)而支付的“對價”。但用戶對于廣告的反應多為排斥或厭惡，眾多廣告屏蔽軟件的興起則是一例證。為了在穩(wěn)定用戶群體的同時又能盈利，因占據(jù)市場支配地位而享有獨立定價權(quán)的大企業(yè)就傾向于在特定階段減少廣告來吸引用戶，而其他小型企業(yè)則無法通過同種方式留住用戶，從而被迫邊緣化甚至逐漸被擠占出市場。此即造成了排除限制競爭的后果。此外，基于互聯(lián)網(wǎng)的鎖定效應與網(wǎng)絡(luò)外部性效應，通過間接使用用戶數(shù)據(jù)而形成的用戶個性化服務(wù)，將令運營者在牢牢固定老用戶的同時，不斷吸收大量新用戶，并由此形成閉環(huán)。在用戶量穩(wěn)中有增的基礎(chǔ)上，數(shù)據(jù)的獲取顯然就變得更加簡單與快捷，同時這也進一步增加了其他企業(yè)獲取用戶數(shù)據(jù)的難度，即構(gòu)成了對其他企業(yè)的經(jīng)營限制。也有學者將上述情形總結(jié)為“用戶反饋循環(huán)”與“貨幣化反饋循環(huán)”，當兩類循環(huán)模式共同作用，在為中心主體提供規(guī)模經(jīng)濟效應的同時，也為數(shù)字市場的新進入者構(gòu)建起了一個牢固的市場準入壁壘[2]141。

2.過度收集用戶隱私行為可能危及市場創(chuàng)新

由于過度收集用戶隱私數(shù)據(jù)行為會使得用戶數(shù)據(jù)多集中在占據(jù)市場支配地位的頭部企業(yè)，在掌握大量資源的基礎(chǔ)上，頭部企業(yè)所傾向的不是繼續(xù)創(chuàng)新，而是維持其既有資源，并抑制其他同類型企業(yè)的生長與崛起，防止其危及自身的統(tǒng)治地位。同時，在此種背景下，小企業(yè)因無法充分獲取用戶數(shù)據(jù)而喪失了與大企業(yè)競爭的可能性，從而使得市場整體創(chuàng)新力降低，不利于市場的長遠發(fā)展。此外，通過過度收集用戶隱私數(shù)據(jù)來吸引用戶，其實質(zhì)是一種不當行為，與之相對的是通過改善用戶隱私保護措施來吸引用戶，此種方式將更有利于增加用戶的整體福利水平，卻需要企業(yè)加大隱私保護措施的技術(shù)研發(fā)與投入?；凇俺杀尽找妗钡目剂?，絕大多數(shù)企業(yè)都會更傾向于維持現(xiàn)狀。

新《反壟斷法》第22條增加了經(jīng)營者濫用市場支配地位的認定形態(tài)，再次明確了平臺企業(yè)利用數(shù)據(jù)、算法等新要素從事不當行為的可規(guī)制性，同時也回應了執(zhí)法部門對填補法律空缺的現(xiàn)實需求。在學理分類上，學界一般認為平臺對于用戶數(shù)據(jù)的過度收集行為屬于“剝削性濫用行為”①。

（二）反壟斷規(guī)制方式對用戶權(quán)益保障的困境

1.反壟斷法多為事后規(guī)制

傳統(tǒng)上對于以“過度收集用戶數(shù)據(jù)”為代表的剝削性濫用行為的規(guī)制節(jié)點多集中在事后，即待損害后果發(fā)生后再予以法律規(guī)制。此即反壟斷規(guī)制方式的消極性與滯后性。但數(shù)字經(jīng)濟背景下，傳統(tǒng)的規(guī)制方式已無法完全回應剝削性濫用行為的新特點。

首先，由于數(shù)據(jù)處理存在一定的隱蔽性與較強的技術(shù)性，對于危害行為的取證往往存在一定難度。比如平臺基于過度收集用戶數(shù)據(jù)而實施的定制廣告推薦、大數(shù)據(jù)殺熟等行為，若非用戶專門進行多方對比，否則很難發(fā)現(xiàn)。即使被用戶發(fā)現(xiàn)，由于其數(shù)據(jù)被掌握在平臺內(nèi)部，用戶無法通過公開的外部渠道獨自獲取證據(jù)，只能寄望于公權(quán)力機關(guān)取證調(diào)查。但數(shù)據(jù)處理具有精密性與專業(yè)性，由非專業(yè)的公權(quán)力機關(guān)進行調(diào)查、取證與分析往往存在較大的技術(shù)難度，且案件的訴訟流程一般需要以年為單位進行計算，上述各項流程累加無疑會加重受害者的訴訟成本。

其次，平臺企業(yè)的數(shù)據(jù)收集行為覆蓋面廣，單個消費者所受的損害可能由于過于細微而被忽略不計，同時，單憑幾個消費者“單打獨斗”也無力與大企業(yè)抗衡?；陔[私危害的“累積效應”②以及對整體消費者福利的考量，具備一定滯后性的反壟斷規(guī)制行為已然不能及時回應用戶需求，落后現(xiàn)實需要。

2.注重整體保護而忽視個體保護

從文本出發(fā)，現(xiàn)行《反壟斷法》第一條就明確指出，該法所保護的對象為消費者利益與社會公共利益。但應當說明的是，此“消費者利益”與《消費者權(quán)益保護法》中的消費者利益有所不同?！断M者權(quán)益保護法》中所保護的“消費者利益”一般指單個或特定群體消費者的可合法追求的相應利益，而《反壟斷法》對“消費者”的保護主要是通過維護公平的競爭秩序來提高消費者的總體福利，故此處的“消費者利益”不局限于消費者個人應享有的合法權(quán)益，還包括良好的市場秩序。作為關(guān)注社會整體利益的經(jīng)濟法分類下的反壟斷法，其所注重的經(jīng)濟效率也并非個人或個體企業(yè)的效率，而是社會整體經(jīng)濟效率與創(chuàng)新。

由于大數(shù)據(jù)的發(fā)展，平臺企業(yè)的數(shù)據(jù)收集行為一般涵蓋平臺內(nèi)的所有用戶，涉及面廣，受影響的用戶數(shù)以萬計，其不當行為將會對消費者的群體福利造成較大減損。但若將損害落實到個體消費者，其實具體的損害后果難以量化，而且可能涉及金額并不高。這就導致針對消費者的個體保護存在缺憾。

3.“價格中心主義”下數(shù)據(jù)價值難以衡量及確定

由于宣揚“經(jīng)濟效率至上”的芝加哥學派影響甚廣，而價格變化又是市場競爭狀態(tài)是否被扭曲以及扭曲程度的直觀展現(xiàn)，因此在傳統(tǒng)的反壟斷法規(guī)制中，司法實踐多秉持“價格中心主義”，即以價格作為衡量市場競爭是否受限的重要依據(jù)。如針對“經(jīng)營者集中”行為，司法實踐多采取的是營業(yè)額申報制度。然而，在數(shù)據(jù)僅僅作為平臺企業(yè)提供產(chǎn)品或服務(wù)的參考要素而非獨立的交易對象時，其價格在反壟斷法中是無法被充分體現(xiàn)的。這也是將平臺企業(yè)過度收集用戶數(shù)據(jù)的行為界定為剝削性濫用行為的一個難點，即在傳統(tǒng)意義上，剝削性濫用針對的是價格剝削，但在新型數(shù)字經(jīng)濟背景下，“用戶數(shù)據(jù)是否具有一定的貨幣價值、且該價值又該如何界定”等問題均有待商榷。

首先，針對用戶數(shù)據(jù)在貨幣價值上的可衡量性，有學者認為，“數(shù)字平臺通過對個人數(shù)據(jù)的收集整合與分析加工，增強了產(chǎn)品質(zhì)量與定價能力，提升了盈利能力與收益”[3]3。即用戶在平臺上的每一次搜索、每一次點擊，都促成了數(shù)據(jù)的貨幣化轉(zhuǎn)變。從另一角度出發(fā)，一些平臺企業(yè)會通過分析用戶數(shù)據(jù)進行“算法歧視”，即針對同一種物品，不同的用戶群體（如男性與女性、新客與熟客、老人與小孩等）在平臺上所被推送的價目是不同的。通過此種方式，以獲取最大利潤為最終目的的平臺將不斷增加對消費者剩余的壓榨，從不同消費者身上獲取最大價值，減損消費者福利。這實質(zhì)上構(gòu)成了不公平的價格剝削。而若將用戶數(shù)據(jù)視作數(shù)字經(jīng)濟視域下的“新型貨幣”，那么平臺企業(yè)對于用戶數(shù)據(jù)的“過度”收集，即可類比為“過高定價”，從而形成剝削性濫用行為的一種。

其次，對于用戶數(shù)據(jù)的價值界定問題以及其是否滿足“過高定價”的程度標準，由于目前尚不存在一個統(tǒng)一的客觀衡量標準，而主觀衡量又存在過多的不確定性，因此，有學者提出需要對隱私數(shù)據(jù)保護的價格進行貨幣層面的量化確定，并從政府定價與市場定價兩個可能角度分別進行探討[1]69-70；也有學者提出從行為本身著手，通過比例原則劃定一定的程度界限后再進行評估的范式[3]7-8。但無論采取何種方式，在全國統(tǒng)一的數(shù)據(jù)價值體系建設(shè)缺位的情形下，對于數(shù)據(jù)價值的人為衡量都存在不妥：對數(shù)據(jù)價值的過低衡量會導致違法成本的降低，違法企業(yè)將更加有恃無恐；而過高的處罰又可能過猶不及，反而令平臺企業(yè)喪失市場信心，抑制市場創(chuàng)新活力。因此，在“價格中心主義”尚未有效破解的前提下，數(shù)據(jù)價值的確定將始終成為個人數(shù)據(jù)反壟斷保護的一大困境。

三、個人信息保護法視域下對于用戶數(shù)據(jù)的常態(tài)保護機制反思

（一）“隱私自我控制機制”已不能滿足現(xiàn)實需要

“隱私自我控制”機制曾是個人信息保護的主要方式。其在《個人信息保護法》中也有多種體現(xiàn)。該機制通過強調(diào)給予數(shù)據(jù)主體一定的同意權(quán)以及知情權(quán)，從而達到對個人數(shù)據(jù)的自我管理。也有學者將其總結(jié)為“個人信息自決權(quán)”。我國《個人信息保護法》第1條、第44條均在文義上明確了個人享有“對個人信息的自主決定權(quán)”[4]4。該種隱私保護模式源于“公平信息實踐原則”，其主要通過對數(shù)據(jù)控制者施加一定的數(shù)據(jù)保護義務(wù)以及賦予數(shù)據(jù)主體一定的權(quán)利來達成“信息公平”③。賦予用戶對數(shù)據(jù)使用的“同意權(quán)”即體現(xiàn)了這一理念。然而，基于行為經(jīng)濟學理論，人們一般更注重眼下所能獲得的即刻利益，而不傾向于考慮行為可能帶來的長遠利益。因此，在面對個人信息保護條款時，數(shù)據(jù)的享有主體通常并沒有甚至不情愿花費一定時間去了解平臺的隱私使用條例及自身的“同意”行為可能帶來的實際后果，而只有在個人利益受到侵害后才會意識到此類問題。而眾多App在用戶注冊時，雖然會彈出針對平臺使用用戶數(shù)據(jù)的“用戶告知書”，但此類“告知書”多為“拒絕即禁用”條款，用戶若想繼續(xù)使用平臺服務(wù)，就必須同意平臺的隱私條例，此種“形式同意”制度實質(zhì)剝奪了用戶的同意權(quán)與選擇權(quán)，并進一步加劇了上述不良后果。

具言之，“隱私自我控制”機制的弊端主要體現(xiàn)在如下幾點。

首先，隨著大數(shù)據(jù)的發(fā)展，單邊的數(shù)據(jù)收集模式已經(jīng)逐漸演化為“多主體、多層次”的多邊收集模式。例如，我們可能僅僅登錄了一個平臺，但在平臺中又會通過內(nèi)置鏈接轉(zhuǎn)入其他平臺，而這些平臺又會在“主平臺”之外暗自收集用戶數(shù)據(jù)，且它們背后既可能是作為組織存在的企業(yè)，也可能僅僅是單獨創(chuàng)建平臺服務(wù)的個人。所以繼續(xù)沿用以調(diào)整“個人—組織”為核心的傳統(tǒng)數(shù)據(jù)管理機制已難以應對新情勢。

其次，數(shù)據(jù)的聚合效應令“隱私自我控制”機制的局限性顯現(xiàn)。隨著數(shù)據(jù)處理技術(shù)的不斷成熟，對于數(shù)據(jù)的利用方式不斷革新，一些個體的非敏感數(shù)據(jù)在集合之后就可能會成為針對個體的敏感數(shù)據(jù)，看似毫無關(guān)聯(lián)的數(shù)據(jù)聚合之后可能就會構(gòu)成一個較為完整的數(shù)據(jù)畫像……這其實超出了數(shù)據(jù)控制者在收集數(shù)據(jù)的當下對于數(shù)據(jù)用途的預期，因此，此時若繼續(xù)要求數(shù)據(jù)控制者對數(shù)據(jù)的合理使用承擔過多責任，不免有強人所難之嫌。

再者，數(shù)據(jù)的多維度利用顯然也超出了作為數(shù)據(jù)的擁有主體本身所掌握的范疇，這不僅僅是通過行使“知情同意權(quán)”所能控制的。因此，新的數(shù)據(jù)保護機制亟需出現(xiàn)。

（二）“通過設(shè)計保護隱私機制”的引入

“通過設(shè)計保護隱私”是一種全過程保護機制，也是風險預防原則在個人數(shù)據(jù)保護中的應用④。歐洲網(wǎng)絡(luò)與信息安全局于2015年發(fā)布了《大數(shù)據(jù)中的通過設(shè)計保護隱私》，這即是“通過設(shè)計保護隱私”理念的重要體現(xiàn)。該機制力求將隱私保護理念融入系統(tǒng)的設(shè)計與操作過程。具體而言，其首先要求在數(shù)據(jù)處理時應秉持“最小化原則”，數(shù)據(jù)僅保留所需要的最小限度。但這也與大數(shù)據(jù)對于數(shù)據(jù)收集數(shù)量“盡可能多”以便更為精準地分析有關(guān)規(guī)律以及軌跡的要求背道而馳。為了平衡雙方關(guān)系，歐盟通過將大數(shù)據(jù)分析鏈劃分為具體四個步驟，即數(shù)據(jù)的收集、分析、整理儲存與使用的方式，以便于對數(shù)據(jù)分析的各個步驟分別進行隱私規(guī)則的具體設(shè)計，從而在整體上達到“最小保留”的預期目標。除此之外，“通過設(shè)計保護隱私”機制還包括“以默認方式保護隱私”“正和思維范式”等七大基本原則⑤。但就《個人信息保護法》的立法現(xiàn)狀而言，前述幾種核心原則依然處于空白狀態(tài)，目前立法多以個人對信息的自決權(quán)為著眼點，著重強調(diào)個人知情同意權(quán)的行使以及賦予對應企業(yè)一定的自我限制與保護義務(wù)來進行數(shù)據(jù)保護。但卻忽略了，在目前立法缺少從客觀的系統(tǒng)設(shè)計上植入隱私保護理念的情況下，由于認知水平不均及利益沖突的存在，過于依賴權(quán)利義務(wù)人對于權(quán)利與義務(wù)的主觀行使必然存在一定的局限性與不確定性。

總而言之，“通過設(shè)計保護隱私”機制旨在強調(diào)對用戶隱私數(shù)據(jù)在不受任何主觀因素影響的客觀方面進行“多方位、全過程”的保護，利用技術(shù)手段來踐行“風險預防”之理念。此種保護機制能更好地契合數(shù)字經(jīng)濟的時代背景，是我國個人信息保護法律體系未來的完善方向。下文也將以此種機制為理念指導，對我國個人數(shù)據(jù)保護的整體規(guī)制路徑進行厘清與重塑。

四、“兩法”協(xié)調(diào)下個人數(shù)據(jù)保護整體規(guī)制路徑的厘清與重塑

（一）革新規(guī)制理念：以保護用戶權(quán)益為主

由于作為數(shù)據(jù)主體的用戶與作為數(shù)據(jù)控制者的企業(yè)在技術(shù)利用、認知基礎(chǔ)以及對于隱私數(shù)據(jù)的掌握等方面存在較大的信息不對稱，普通用戶在面對企業(yè)時往往處于較大的劣勢地位。同時，數(shù)據(jù)收集行為在經(jīng)濟層面給用戶造成的影響較難量化，而在非經(jīng)濟層面，若平臺因疏忽或不當使用而造成用戶個人數(shù)據(jù)的泄漏、非法買賣等情形，那么將對用戶在現(xiàn)實生活中的財產(chǎn)乃至人身安全構(gòu)成嚴重威脅。因此法律應對該群體予以特別保護?！秱€人信息保護法》中針對用戶權(quán)益保障進行了諸多細化規(guī)定，如在數(shù)據(jù)控制者拒絕用戶行使其正當權(quán)利時，賦予用戶起訴權(quán)⑥；針對用戶因信息劣勢而存在舉證困難的問題，對平臺企業(yè)直接適用“過錯推定”⑦；對于少數(shù)用戶維權(quán)困難的情況，構(gòu)建個人信息保護公益訴訟機制等⑧。

初看，臺詞中的人稱“你們”連得突兀，刪去似乎更貫通，但仔細分析研讀，便知此處“你——你們”的變化正是曹禺的匠心安排。要娶“有錢有門第的小姐”的是周樸園個人，所以用“你”，而出面“逼著”侍萍“冒著大雪出去”的應是周的父母等人。這樣安排人稱，準確地反映出事情的原貌，讓讀者進一步看清周家的封建思想色彩。

“通過設(shè)計保護隱私”機制中也有“以用戶為中心”原則，其強調(diào)在系統(tǒng)運行的制度設(shè)計中，將用戶始終置于中心地位進行保護。因此，基于個人數(shù)據(jù)保護的整體視角，應以保障用戶權(quán)益最大化為整體規(guī)制理念。但需明確，用戶權(quán)益最大化并不意味著要放棄對市場創(chuàng)新狀態(tài)以及競爭秩序的維護。《反壟斷法》中，“保護消費者利益”和“保護競爭”的價值目標總是緊密聯(lián)系在一起[5]22。對消費者權(quán)益的保護多通過維護競爭秩序來實現(xiàn)，這在一定程度上會造成對于消費者權(quán)益的忽視。因此，在此意義上重申個人數(shù)據(jù)領(lǐng)域中的“用戶權(quán)益保障”，是在維護市場有序競爭狀態(tài)的基礎(chǔ)上，對《反壟斷法》中忽視消費者權(quán)益保護現(xiàn)狀的矯正，同時也回應了《個人信息保護法》對個人信息法律救濟途徑的不斷完善的諸多規(guī)定，符合未來趨勢。

（二）轉(zhuǎn)換規(guī)制節(jié)點：以“著重事后救濟”轉(zhuǎn)變?yōu)椤邦A防為主，救濟為輔”

出于對消費者整體福利的考量，對于傳統(tǒng)規(guī)制節(jié)點的提前無疑能更好地保護消費者，同時也能通過事先預防機制的確立加大對平臺行為的警示效應，因此，應從“著重事后救濟”轉(zhuǎn)向“預防為主，救濟為輔”的規(guī)制范式。這也是“通過設(shè)計保護隱私”機制中“主動而非被動，預防而非補救”原則的一大體現(xiàn)。因此，就《個人信息保護法》與《反壟斷法》的協(xié)調(diào)關(guān)系而言，對于個人數(shù)據(jù)保護，應以《個人信息保護法》為核心，《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》為基本與補充，以“通過設(shè)計保護隱私”機制為指導理念的個人信息保護體系應貫穿隱私保護全周期，旨在通過風險預防機制，在源頭上將平臺對用戶法益的侵害風險降到最低限度。

在新興經(jīng)濟模式對傳統(tǒng)規(guī)制框架的沖擊下，反壟斷法對于數(shù)據(jù)驅(qū)動型企業(yè)的濫用行為應否規(guī)制、如何規(guī)制、在何種程度和多大范圍內(nèi)進行規(guī)制，成為擺在各國反壟斷執(zhí)法機構(gòu)面前的重要現(xiàn)實難題[6]149。因此，在目前反壟斷法對于個人數(shù)據(jù)保護的規(guī)制尚不成熟的情況下，應保持較高的準用門檻，待平臺對用戶數(shù)據(jù)的收集行為達到一定程度后再介入，秉持其適用的謙抑性原則的同時，也能確保法律調(diào)整的精準度與確定性。當然，確立《反壟斷法》“救濟為輔”的規(guī)制節(jié)點并不代表反壟斷規(guī)制不重要，而是基于反壟斷法本身的適用特性以及現(xiàn)實需要，將其作為一個補充性的兜底保障方式，從而最大化發(fā)揮法律的規(guī)制效果。此種制度設(shè)計，也能最大程度地發(fā)揮法律在個人數(shù)據(jù)保護方面的預防作用，同時也有相應的兜底措施進行最后的法律救濟。從法經(jīng)濟學的角度出發(fā)，即“利用最少的立法與執(zhí)法成本投入獲得最大的法律實效產(chǎn)出”。

（三）建立分層規(guī)制規(guī)則：用戶、企業(yè)、國家三維度

1.用戶層面：知情同意權(quán)的重申以及數(shù)據(jù)可移植權(quán)的引入

我國對于個人信息收集使用的“同意權(quán)”立法經(jīng)歷了從無到有，從概括到具體的過程。2017年施行的《網(wǎng)絡(luò)安全法》雖然也規(guī)定網(wǎng)絡(luò)產(chǎn)品與服務(wù)在收集用戶信息時應獲得用戶同意，但該法并未對“同意”的內(nèi)涵進行明確界定，也并未描述其構(gòu)成要件與內(nèi)容。對此，有外國學者評價道：“迄今為止，與歐盟相比，中國對個人數(shù)據(jù)的使用采取了最低限度的同意方式”[7]234。但隨著《個人信息保護法》的出臺及實施，我國對于用戶知情同意權(quán)的有關(guān)規(guī)定，已經(jīng)從“享有、決定、限制、拒絕、撤回”等方面初步形成了一個較為完整的框架。經(jīng)檢索，“同意”一詞在法規(guī)全文內(nèi)就出現(xiàn)高達27次，從數(shù)據(jù)上就可見我國《個人信息保護法》對于用戶知情同意權(quán)的重視。此外，法律還針對不滿十四周歲未成年人同意權(quán)的行使進行了特別規(guī)制。

當然，就如何獲得個人同意、獲得同意的方式不同是否影響其效力等問題，我國現(xiàn)行法尚處于缺位狀態(tài)。同時，基于隱私保護及社會整體利益考慮，有些數(shù)據(jù)即使取得用戶同意也不宜進行收集與利用。這些問題都有待之后的立法予以完善。

此外，我國《個人信息保護法》還首次引入了“數(shù)據(jù)可移植權(quán)”⑨。其實，歐盟早在2018年5月正式生效的《通用數(shù)據(jù)保護條例》（GDPR）第20條中即規(guī)定了“數(shù)據(jù)可移植權(quán)”，其通過賦予用戶對個人數(shù)據(jù)的更多控制權(quán)，以使用戶可以有效抵制數(shù)字服務(wù)中的鎖定效應，自由切換至其他服務(wù)提供商。然而，與歐盟相比，我國“數(shù)據(jù)可移植權(quán)”在適用上顯然還存在一些局限性，如增加了“符合國家網(wǎng)信部門有關(guān)要求”的前置條件，以及并未對數(shù)據(jù)控制者如何轉(zhuǎn)移個人信息以及轉(zhuǎn)移的限度等方面進行具體規(guī)定。因此，“數(shù)據(jù)可移植權(quán)”究竟能在多大程度上促進數(shù)據(jù)共享，又能在何種程度上真正為消費者提供數(shù)據(jù)轉(zhuǎn)移便利等問題，還有待考證。同時，“數(shù)據(jù)可移植權(quán)”的真正落地，還需要依靠“個人信息管理系統(tǒng)”（PIMS）的設(shè)立，該系統(tǒng)將通過為用戶提供一個集中性的平臺來監(jiān)測與控制其個人數(shù)據(jù)的流動，并為用戶數(shù)據(jù)的轉(zhuǎn)移提供幫助[8]265。那么，該系統(tǒng)運行的中立性、可持續(xù)性以及配套運營與監(jiān)管機制的設(shè)立等也需要有關(guān)部門進行規(guī)劃與針對性設(shè)計。

2.企業(yè)層面：事前承諾、數(shù)據(jù)共享及算法透明度的公開

“事前承諾”指企業(yè)在針對用戶服務(wù)平臺的設(shè)計階段，就應該將“承諾保護用戶權(quán)益”鐫刻入程序算法中。這即是“通過設(shè)計保護隱私”機制中“隱私嵌入式設(shè)計”原則的體現(xiàn)，將有助于對企業(yè)行為在事前進行合理約束，從而達到風險預防之效用。同時，該機制中的“最小保留原則”，即平臺應默認在收集用戶數(shù)據(jù)過程中采取“最小化原則”，也將有助于用戶數(shù)據(jù)的合理收集。

根據(jù)供求規(guī)律，市場上愈稀缺的資源，其價值愈高。對于數(shù)據(jù)市場而言，掌握了稀缺性數(shù)據(jù)，即關(guān)鍵且高質(zhì)量數(shù)據(jù)的主體，在市場上就更具主導與優(yōu)勢地位。因此，在獨享數(shù)據(jù)的預期收益遠高于共享數(shù)據(jù)時，掌握了原始數(shù)據(jù)的平臺企業(yè)在面對其他企業(yè)共享數(shù)據(jù)的請求時就會多持消極態(tài)度。同時，這些企業(yè)也會通過數(shù)據(jù)獨占協(xié)議、技術(shù)性阻斷數(shù)據(jù)流通等多種手段積極地保護自身掌握的數(shù)據(jù)信息。此時，個人數(shù)據(jù)的自由流動將有助于破解“數(shù)據(jù)孤島”的產(chǎn)生。經(jīng)合組織（OECD）在2019年的一項報告中曾指出，數(shù)據(jù)共享將更好地促進創(chuàng)新，如公共部門的數(shù)據(jù)將產(chǎn)生0.1%～1.5%的GDP價值，而私營部門數(shù)據(jù)的GDP價值在1%～2.5%之間（在部分研究中則高達4%），這將產(chǎn)生廣泛的社會經(jīng)濟效應[8]264。數(shù)據(jù)共享與用戶的數(shù)據(jù)可移植權(quán)相對應，但在數(shù)據(jù)可移植權(quán)還未完全成型的當下，在必要時，針對某些掌握了海量個人關(guān)鍵數(shù)據(jù)的超級平臺，我國可以考慮采取強制數(shù)據(jù)共享的方式，以打破行業(yè)壟斷壁壘，促進市場創(chuàng)新。

提升算法透明度、將算法推送機制公開也將促進用戶數(shù)據(jù)保護。這也是“保持開放性原則”在“通過設(shè)計保護隱私”機制中的體現(xiàn)。在此種機制下，用戶有權(quán)知道自己被推送的產(chǎn)品及價格是基于算法而展現(xiàn)的。因此，在個性化推薦時，平臺應提供算法推薦產(chǎn)品的有關(guān)計算機制，令用戶明悉這些產(chǎn)品與服務(wù)是如何被推薦到自己面前的。此外，在保障用戶知情權(quán)的基礎(chǔ)上，用戶也應當享有選擇權(quán)，即用戶也有權(quán)利拒絕基于算法而產(chǎn)生的個性化推送，因此，平臺應提供“關(guān)閉算法推薦”選項，將是否接受算法推薦的選擇權(quán)交還用戶。

3.國家層面：自律他律相結(jié)合，完善制度保障

一般而言，在一個較為健康的市場環(huán)境內(nèi)，適當突破現(xiàn)有制度框架的“違法”有時反而會帶來商業(yè)進步與技術(shù)創(chuàng)新，而國家對于市場行為的過度監(jiān)管很可能會窒息市場創(chuàng)新活力。因此，如何在個人數(shù)據(jù)保護與市場秩序維護之間達到平衡，則是國家層面需要考慮的重要一環(huán)。除了基本的制度供給外，對于平臺的數(shù)據(jù)收集行為可能對個人數(shù)據(jù)安全造成的威脅，國家可以通過“自律與他律”機制的有機結(jié)合來應對與化解。

重要平臺企業(yè)的守門人義務(wù)會發(fā)揮他律的作用，分散政府監(jiān)管的壓力[9]35。因此，通過對在特定領(lǐng)域內(nèi)具有較強影響力與控制力的“守門人企業(yè)”施加額外的義務(wù)，令其承擔一定的市場責任，可以實現(xiàn)風險的市場化解決。除此之外，平臺企業(yè)自身也需要自律管理。在德國，對于通過自動化手段處理個人數(shù)據(jù)的企業(yè)而言，數(shù)據(jù)保護官是一個被強制設(shè)置的角色。谷歌、Facebook等大型數(shù)字企業(yè)均設(shè)置了首席隱私官（CPO）的角色。而許多組織、大學等第三方機構(gòu)則專門為隱私保護專業(yè)人士提供相應培訓與認證[10]192。這種數(shù)據(jù)保護官即可成為平臺企業(yè)中相對獨立的第三方監(jiān)管人員，代替國家與用戶來監(jiān)督企業(yè)行為。我國《個人信息保護法》也規(guī)定了類似制度⑩。

但是，當平臺的數(shù)據(jù)收集行為已達到或有證據(jù)表明即將造成一定的危害程度時，國家就必須干預，即提供“兜底性”的法律強制力保障。此時，企業(yè)就必須服從法律法規(guī)的強制性規(guī)定，圍繞用戶數(shù)據(jù)不斷研發(fā)隱私保護技術(shù)。此時，隱私保護技術(shù)的推進不僅僅會提升消費者的整體福利，很可能也會革新對企業(yè)消費者數(shù)據(jù)的利用方式，從而引發(fā)新一輪的技術(shù)創(chuàng)新，為數(shù)字社會創(chuàng)造出新的價值。

五、結(jié)語

數(shù)字經(jīng)濟時代，數(shù)據(jù)儼然已成為新的生產(chǎn)要素。出于對經(jīng)濟利益的考量，平臺企業(yè)都傾向于更多地收集用戶數(shù)據(jù)以在競爭中占據(jù)優(yōu)勢地位。辯證來看，用戶數(shù)據(jù)的收集一方面可以為用戶提供更好的服務(wù)，另一方面也會成為平臺剝削用戶的重要工具。因此，個人數(shù)據(jù)保護逐漸被提上立法日程。常態(tài)化機制下，以《個人信息保護法》為首的各類法律將通過各種制度設(shè)計，對企業(yè)收集用戶數(shù)據(jù)的行為進行規(guī)范與預防；而當出現(xiàn)嚴重危害或有證據(jù)表明嚴重危害即將發(fā)生的非常態(tài)化情形下，《反壟斷法》就將發(fā)揮其效用，對此種違法行為進行嚴厲打擊。兩種法律互相協(xié)調(diào)，共同構(gòu)成了我國個人數(shù)據(jù)保護的法律體系，但其中也存在一定的不足之處。此時，“通過設(shè)計保護隱私”理念的引入，在設(shè)計上將用戶隱私保護納入軟件運行的全過程，力求從源頭上規(guī)范平臺企業(yè)行為，杜絕企業(yè)對用戶數(shù)據(jù)的不當收集現(xiàn)狀，這也為我國之后的立法改革奠定了理論基礎(chǔ)。由此，我國將通過立法、執(zhí)法、監(jiān)督三維度控制，政府、企業(yè)、用戶多方位協(xié)調(diào)實現(xiàn)對隱私數(shù)據(jù)的全面保護。

注 釋：

①不同于歐盟立法中對于濫用市場支配地位的行為進行“排他性濫用”及“剝削性濫用”的劃分方式，我國《反壟斷法》并未明確規(guī)定剝削性濫用行為，但其中第22條“不公平定價”“附加不合理限制條件”等規(guī)定可以視作剝削性濫用行為的在我國立法中的具體體現(xiàn)。

②正如數(shù)據(jù)的價值是一個不斷匯聚的過程一樣，隱私危害也具有很強的累積性，上一階段合法收集的數(shù)據(jù)，很可能就會成為下一階段隱私危害的線索，這進一步導致數(shù)據(jù)主體“難以承受隱私損害之重”。參見張濤.個人數(shù)據(jù)保護中“通過設(shè)計保護隱私”的基本原理與制度建構(gòu)[J].華東理工大學學報（社會科學版）,2020,35(06):137.

③公平信息實踐原則包括：（1）個人數(shù)據(jù)記錄系統(tǒng)的透明度，（2）關(guān)于此類記錄系統(tǒng)的通知權(quán)，（3）未經(jīng)同意不得將個人數(shù)據(jù)用于新用途的權(quán)利，（4）改正或修改個人記錄的權(quán)利，（5）防止數(shù)據(jù)持有者濫用數(shù)據(jù)的責任。參見前引②，張濤文，第136頁。

④參見前引②，張濤文，第132頁。

⑤“通過設(shè)計保護隱私”的七大原則具體指：（1）主動而非被動，預防而非補救；（2）以默認方式保護隱私；（3）隱私嵌入式設(shè)計；（4）所有的功能：正和而不是零和；（5）端對端安全性：全生命周期的保護；（6）可視性和透明度：保持開放性；（7）尊重用戶個人隱私：以用戶為中心。參見李維揚.通過設(shè)計保護隱私[J].信息安全與通信保密，2018（1）：36-38.

⑥《中華人民共和國個人信息保護法》第50條第2款：個人信息處理者拒絕個人行使權(quán)利的請求的，個人可以依法向人民法院提起訴訟。

⑦《中華人民共和國個人信息保護法》第69條第1款：處理個人信息侵害個人信息權(quán)益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾?quán)責任。

⑧《中華人民共和國個人信息保護法》第70條：個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

⑨《中華人民共和國個人信息保護法》第45條第3款：個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉(zhuǎn)移的途徑。

⑩《中華人民共和國個人信息保護法》第52條：處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。個人信息處理者應當公開個人信息保護負責人的聯(lián)系方式，并將個人信息保護負責人的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。